Webwissenschaften

[Marnau und Schlehahn 2011] beschäftigen sich mit dem Thema der grenzüberschreitenden Datenverarbeitung im Bereich des Cloud Computing. Besonderer Augenmerkt wird dabei auf die Übermittlung der personenbezogenen Daten in Drittstatten wie USA gelegt, weil diese mit großen Rechtsunsicherheiten für die Kunden verbunden ist.  Die europäische Datenschutzrichtlinie definiert Rahmenbedingung für die Erhebung, Verarbeitung und Speicherung von personenbezogenen Daten innerhalb der Europäischen Union und ermöglicht sogar einzelnen Mitgliedsstaaten die nationalen Datenschutzgesetze in vielen Bereichen strenger zu formulieren als das auf der EU-Ebene der Fall ist. Es reicht aber, dass der Cloud-Service-Provider den Sitz außerhalb der EU hat und/oder er Subunternehmern aus dem nichteuropäischen Ausland für die ihm übertragene Datenverarbeitung einbezieht und die Geltung diese Gesetzgebung wird in Frage gestellt. Infolgedessen hat die Gesellschaft für Informatik zehn Thesen zu Sicherheit und Datenschutz im Bezug auf die Cloud Computing in einem Paper definiert und betont, dass die Cloud intransparent und somit unkontrollierbar ist. Durch die fehlende Kontrolle kann der Anwender nicht erkennen, wo seine Daten gespeichert und verarbeitet werden oder wer auf diese Daten den Zugriff hat. [Gesellschaft der Informatik 2010]

Bereits im Jahre 2000 wurde zwischen der Europäischen Kommission und dem US Handelsministerium das so genannte Safe Harbor Abkommen geschlossen um die wirtschaftliche Zusammenarbeit zwischen Europa und den USA zu fördern. Dies stellt eine Selbstregulierung für US-Unternehmen und soll es“[…] durch eine Unterwerfung unter die von der amerikanischen Federal Trafe Commision vorgegebenen Safe Harbor Prinzipien ermöglichen[…]“, ein angemessenes Niveau von Datenschutz zu garantieren und dieses auch mit einem Zertifikat zu bestätigen. Diese Unterwerfung erfolgt auf freiwilliger Basis. Firmen die über diese Zertifizierung verfügen sind u. a. Google Inc., salesforce.com Inc, oder Amazon.com.

Die Safe Harbor umfasst sieben Datenschutzprinzipien. Diese werden in kompakter Form vorgestellt:

• Benachrichtigung - Benachrichtigung des Betroffenen z.B. über die Erhebung seiner Daten und den Zweck deren Verarbeitung,
• Freiwilligkeit – der Benutzer soll über die Wahlmöglichkeit verfügen bezüglich der Erhebung, Verarbeitung und Übermittlung seiner personenbezogenen Daten,
• Übermittlung -  Die Datenübermittlung an Dritte darf nur unter der Voraussetzung der ersten zwei Prinzipien stattfinden,
• Datensicherheit – Ein angemessenes Niveau von Sicherheit muss gegeben werden, um Schutz vor dem Datenverlust, dem Missbrauch oder unbefugter Kenntnisnahme zu  gewährleisten,
• Datenintegrität – Die Daten müssen im Bezug auf den Erhebungszweck relevant und verlässlich sein,
• Zugang – Die betroffenen Nutzer verfügen über das Recht, Informationen über die auf sie bezogenen Daten zu bekommen
• Durchsetzung- Für die Umsetzung der Prinzipien in die Praxis sind effektive Maßnahmen einzusetzen.

Die Zertifizierung mit Safe Harbor ist für einen sicheren Umgang mit personenbezogenen Daten aus europäischer Sicht unzureichend. Erstens unterliegen viele Branchen wie Finanzinstitute, Luftverkehrsunternehmen oder Telekommunikationsanbieter der Gerichtsbarkeit der FTC nicht und somit auch den Safe Harbor Prinzipien nicht. Zweitens werden die Anforderungen des Abkommens unzureichend kontrolliert. Um eine Zertifizierung zu bekommen haben die Unternehmen die Möglichkeit eine selbstbindende Datenschutzerklärung abzugeben, die mit den SafeHarbor Prinzipien vereinbar ist. Dies bietet die Möglichkeiten unternehmensinterne angepasste Regelungen zu treffen. Darüber hinaus werden nur bestimmte Kategorien von Daten wie Personaldaten, Kundendaten oder nur für online übermittelte personenbezogene Daten nach den Safe Harbor Schutzprinzipien behandelt. „Diese Einschränkung ist jedoch häufig nicht der Datenschutzerklärung der Unternehmen zu entnehmen sondern dem Selbstzertifizierungseintrag.“ Zusätzlich dazu haben mehrere Studien Ergebnisse, die aufzeigen, dass es bezüglich der Safe Harbor Zertifizierung eine große Zahl von Falschangaben gibt. Sogar die FTC-Homepage mit einer Auflistung von zertifizierten Unternehmen weist fehlerhafte Angaben  (z.B. abgelaufener Zertifizierung) auf. All dies führte zu einem Beschluss der obersten Aufsichtsbehörden für den Datenschutz der s.g. Düsseldorfer Kreis, dass das deutsche datenexportierende Unternehmen sich nicht auf das Safe Harbor Zertifikat verlassen soll und  weitere Mindestkriterien zu prüfen hat. Dies ist mit großen Schwierigkeiten verbunden, weil die marktdominierende Cloud-Service-Provider alleine schon aus Wettbewerbsgründen keine Auskünfte über Ihre Vorgehensweisen zum Beispiel im Umfeld der Sicherheitsmaßnahmen und Sicherheitsstrategie erteilen.

Folgende Beispiele illustrieren die Abweichungen von den Safe Harbor Prinzipien in den Datenschutzerklärungen der Cloud-Service-Provider:

·      Amazon.com bietet keine Benachrichtigung über die Erhebung der Daten und den Zweck der Verarbeitung. Der Speicherort und die zugriffsberechtigte Stellen werden ebenfalls nicht bekannt gegeben. „Im Falle einer Änderung von Daten werden Kopien der früheren Versionen einbehalten, ohne dass dies mit der erforderlichen Zweckbindung erforderlich ist“  Die Freiwilligkeit für den Nutzer bezüglich der Erhebung,  Verarbeitung und Übermittlung der personenbezogenen Daten ist ebenfalls nicht gegeben.

·       Google Inc. Informiert in seiner Datenschutzerklärung über die Bereitschaft  die Compliance mit den Prinzipien der Safe Harbor laufend zu prüfe. Diese Erklärung ist jedoch nicht rechtsverbindlich ausgestaltet.

Quellen

[Gesellschaft der Informatik 2010]
GI stellt zehn Thesen zu Sicherheit und Datenschutz in Cloud Computing vor. http://www.gi.de/presse/pressearchiv/pressemitteilungen-2010/pressemitteilung-vom-1-dezember-2010.html Zugriff am 09.01.2013

[Marnau und Schlehahn 2011
Marnau N., Schlehahn E.: Cloud Computing und Safe Harbor. In Datenschutz und Datensicherheit. Band 35, Ausgabe 5, S. 311-316

http://han.ubl.jku.at/han/springerlinkdb/link.springer.com/article/10.1007/s11623-011-0077-z, Zugriff am 06.01.2013