Editorial: Daten machen nicht an Landesgrenzen halt
Cloud-Server mit EU-Standort
Foto: Deutsche Telekom
Microsoft hat jüngst versprochen,
Europäische Clouddaten sollen in Europa bleiben.
Die Probleme mit diesem Satz beginnen schon bei der Frage, was
"europäische Clouddaten" sind? Wenn beispielsweise ein europäischer
Office-365-User zwei Wochen lang Urlaub in den USA macht und von
dort aus auf seinen Account zugreift, um zwei von seiner Firma
dringend benötigte Dokumente zu senden, sind seine Daten dann noch
"europäische" Daten? Oder sind sie zumindest während seiner Nutzung
aus den USA dann doch "amerikanische" Daten? Und selbst wer nicht in die
USA reist, kann internettechnisch vorübergehend oder dauerhaft in den USA
angesiedelt sein, beispielsweise bei Nutzung eines VPN, um auf
bestimmte, nur in den USA angebotene Streaming-Dienste zugreifen
zu können. Wer dann allen Datenverkehr über das VPN leitet, befindet
sich dann aus Providersicht sogar dauerhaft in den USA (oder einem
anderen Land, in dem das VPN seinen Endpunkt hat).
Hinzu kommt: Nur weil die Daten auf europäischen Servern liegen, bedeutet das mitnichten, dass Konzerne wie Microsoft nicht mehr unter dem Druck der USA stünden, die Kundendaten für deren Geheimdienste zugänglich zu machen. Klar ist nach mehreren BGH-Urteilen: Die unverschlüsselte Speicherung von Daten in der Cloud von US-Anbietern ist eben wegen dieses Geheimdienstzugriffs nicht DSGVO-konform. Und das ist jetzt vollkommen unabhängig davon, wo sich die Server physisch befinden, denn logisch stehen diese alle unter der Kontrolle des jeweiligen Cloud-Betreibers.
Da seit dem EU-Austritt von Großbritannien kein EU-Land mehr Mitglied des berüchtigten Spionagebündnisses five eyes ist, gibt es auch politisch kaum noch Gründe, die Datensammelwut der US-Konzerne noch zu dulden. Zwar bekommt man in Europa von den Five Eyes sicher den einen oder anderen Hinweis auf einen gefährlichen Terroristen oder allgemeine Einschätzungen zur weltpolitischen Sicherheitslage. Im Gegenzug setzt man aber alle europäischen Unternehmen der Gefahr der Industriespionage aus. Und auch Privatpersonen geraten schnell in Gefahr, wenn die US-Dienste sie allgemeiner antiamerikanischer Umtriebe verdächtigt. Verweigert man künftig den Five Eyes den Generalzugriff auf die Daten europäischer Bürger und Unternehmen, steigt entsprechend die Sicherheit aller in Europa.
Konsequenz: Abmeldung
Cloud-Server mit EU-Standort
Foto: Deutsche Telekom
Die laut DSGVO meines Erachtens derzeit einzig mögliche Konsequenz ist, dass
sämtliche europäischen Behörden ihre Verträge mit Microsoft kündigen und
auf Betriebssysteme umstellen, die nicht Megabyte-weise "Telemetriedaten"
nach Hause schicken, Filenamen und Nutzereingaben inklusive. Außer
Verbindungen zum Update-Server zum Download
von Sicherheits-Patches oder freiwilligen und
anonymisierten Nutzungsdaten gibt es eigentlich nichts, was
der Betriebssystem-Hersteller benötigt.
Im PC-Bereich gibt es zum Glück auch datenschutzkonforme Alternativen zu Microsoft - die allerdings als deutlich schwieriger in der Bedienung gelten. Entsprechend droht den Politikern, die Microsoft aus der Verwaltung verbannen, ein gewaltiger Shitstorm. München hatte es schonmal probiert, dann aber nach einigen Jahren doch das Handtuch geworfen. Zum Nutzer-Protest kommt dann noch das Problem der Uralt-Software, die vielerorts für gelegentliche Spezialaufgaben benötigt wird, aber meist nicht oder nur nach hohem Installationsaufwand auf den alternativen Betriebssystemen läuft. Sie müsste also aktualisiert oder neu beschafft werden - zu entsprechenden Kosten.
Google und Apple genauso betroffen
Schließlich gilt, dass man nach der Umstellung und Absicherung der PCs noch lange nicht fertig ist. Kein modernes Smartphone lässt sich in Betrieb nehmen, ohne einen Cloud-Account bei Google oder Apple anzulegen, auf den dann ebenfalls alles mögliche synchronisiert wird. In der Vergangenheit war es ein Skandal, dass die NSA das Handy von Angela Merkel abgehört hatte, insbesondere die von ihr getippten SMS. Stand heute benötigen die Geheimdienste diese Chuzpe gar nicht mehr - die nur schwer abschaltbaren Cloud-Backups von Android und iOS liefern ihnen die wichtigsten Daten sowieso frei Haus.