Cloud Computing hat Hochkonjunktur: nicht nur in der IT-Branche, sondern auch unter Juristen. Dürfen persönliche Daten im weltweiten Netz zirkulieren oder verhindert das Datenschutzrecht deren Verlagerung in die Wolke? Für Prof. Dirk Heckmann fordern technische Innovationen eher vertrauensbildende Maßnahmen als formaljuristische Kautelen.
"Versprechen und halten ... beides zusammen geht nicht". Als Wissenschaftsjournalist Ranga Yogeshwar am 6. Oktober 2010 diese Kölner Weisheit zitierte, hatte er die Lacher auf seiner Seite. Dabei war das Thema durchaus ernst: Der Branchenverband BITKOM hatte zur Internationalen Cloud Computing Konferenz nach Köln eingeladen und sie kamen (fast) alle: Microsoft-Chef Steve Ballmer, der Vorstandsvorsitzende der Deutschen Telekom AG René Obermann, Amazon-CTO Werner Vogels sowie Lufthansa-Vorstand Dr. Thomas Endres und mit ihm eine Vielzahl seiner Kollegen aus dem CIOcolloquium, Deutschlands führendem CIO-Netzwerk.
Das Stelldichein künftiger Cloud-Anbieter und Cloud-Nutzer hatte ein gemeinsames Credo: Cloud Computing ist möglich, notwendig und verändert alles. Aber ist die Verlagerung von Datenherrschaft, die Lockerung von Datenkontrolle, so effizient sie auch sein mag, auch datenschutzkonform?
Und so beeilten sich alle Akteure nachzuschieben: Natürlich werde die Cloud so organisiert, dass sie strengsten deutschen und europäischen Datenschutzvorschriften entspreche. Das könne man versprechen. Was den Moderator der Konferenz wie eingangs zitiert bewog, den genius loci zu beschwören – und damit die spannende Frage aufzuwerfen: Kann ein Versprechen, Datenschutz und Datensicherheit in einer Cloud-Infrastruktur zu gewährleisten, überhaupt eingehalten werden?
Echtes Cloud Computing oder bloß IT-Outsourcing?
Bevor diese Frage beantwortet werden kann, ist allerdings zu klären, was überhaupt unter Cloud Computing zu verstehen ist. Das Grundprinzip ist die Auslagerung von Software- und Hardwarefunktionen der Anwender auf weltweite Server-Netzwerke. Das ist zunächst aber nichts anderes als "Application Service Providing" oder "Software as a Service", alles bekannte Formen des IT-Outsourcing im Sinne einer Auslagerung von Diensten an kompetente IT-Dienstleister.
Beließe man es dabei, wäre Cloud Computing vielleicht tatsächlich nichts anderes als ein Super-Hype, wie es die Analysten von Gartner in ihrem Hype Cycle Report 2009 zum Ausdruck gebracht haben. Immerhin weist Google für "Cloud Computing" die 12-fache Treffermenge gegenüber "IT-Outsourcing" aus; das Marketing funktioniert offenbar.
Zur echten Neuerung avanciert Cloud Computing aber erst, wenn die IT-Leistungen in weltweit verteilten Serverstrukturen erbracht werden. Denn durch die Belegenheit in unterschiedlichen Zeitzonen greift das Geschäftsmodell, Daten immer dort zu hosten und entsprechende Dienste anzubieten, wo Speicherkapazitäten und Energiekosten mangels Auslastung günstig sind (ähnlich wie bei intelligenten Stromnetzen, den smart grids). Die intelligente, weltweite Auslagerung hat dabei aber zur Folge, dass sich oft nicht mehr feststellen lässt, wo sich welche Anwenderdaten gerade befinden.
In einer solchen Cloud-Infrastruktur dürfte Datenschutz daher, wie er bisherigem formaljuristischem Verständnis entspricht (mit weitgehender Datenherrschaft, Weisungs-, Kontroll- und Betretungsrechten gegenüber externen Dienstleistern, wie in § 11 Abs. 2 Bundesdatenschutzgesetz aufgelistet), schwer zu verwirklichen sein. Und dies schon gar, wenn die Serverstandorte in "unsicheren Drittländern" gelegen sind - wozu letztlich auch die USA zählen müssten, soweit beteiligte (Sub-) Unternehmen nach dem zuletzt in die Kritik geratenen Safe Harbor Prinzip nicht als sicherer (Daten-) Hafen einzustufen sind.
Cloud "made in Germany"
Genau hier setzt der Vorschlag an, Datenschutz dadurch zu gewährleisten, dass man sich auf "nationale Clouds" oder "private Clouds" beschränkt. Nun mögen Datenherrschaft und Datenkontrolle um so eher gelingen, je stärker man das Terrain begrenzt, in dem Datenverarbeitung stattfinden soll. Man muss sich aber auch im Klaren darüber sein, dass von dem, was Cloud Computing eigentlich bedeutet und was es leisten kann, nicht mehr allzu viel übrig bleibt - überspitzt formuliert: ein Wölkchen. Oder eben herkömmliches IT-Outsourcing.
Und damit sind wir bei der in jüngster Zeit häufiger angestrengten Technologie- oder Innovationsdebatte. Entfalten sich in aller Welt neue IT-Infrastrukturen und daran anknüpfende Geschäftsmodelle und Services, so geht man in Deutschland eher "auf Nummer sicher". Die Frage ist allerdings, ob formaljuristisches Denken hier weiterhilft. Natürlich gilt es, personenbezogene Daten, seien es Kundendaten, Mitarbeiterdaten oder Bürgerdaten, in einem ausreichenden Maße zu schützen. Dies muss aber in einem ausgewogenen Verhältnis zur Technologieentwicklung und deren immanenten Vorteilen und Modernisierungspotentialen stehen.
Das Recht auf informationelle Selbstbestimmung ist nicht schrankenlos gewährleistet. So wie im Straßenverkehr die Verkehrssicherheit mit den Belangen der Mobilität abzuwägen ist (und selbst tagtägliche Verkehrsunfälle die Verkehrsinfrastruktur nicht prinzipiell in Frage stellen, sondern permanent zu ihrer gemeinverträglichen Optimierung herausfordern), gilt es auch auf der Datenautobahn, technologische Innovationen nicht als Gefahr, sondern als Chance zu begreifen.
Wenn auf der Kölner Konferenz nun die "Cloud made in Germany" ausgerufen wurde, so sollte das nicht als Startschuss zur "nationalen Cloud" missverstanden werden, sondern als Wiederbelebung eines Qualitätssiegels, dessen Herkunftsbezeichnung sich nicht auf Cloud-Serverstandorte, sondern auf den Ideenreichtum des Datenschutz- und Sicherheitskonzepts bezieht. Letztlich geht es um einen sachorientierten Umgang mit kalkulierbaren Risiken.
Innovation. Qualität. Vertrauen
Was aber kann dieses Gütesiegel ausmachen? Zunächst muss man sich wohl an den Gedanken gewöhnen, dass unter den Bedingungen globaler Datenverarbeitung Datenherrschaft nicht mehr als "Datenbesitz" organisiert werden kann. An dessen Stelle tritt vielmehr die Investition berechtigten Vertrauens in jene Dienstleister, denen man seine Daten anvertraut. Und auch anvertrauen sollte, weil und soweit sie IT-Sicherheit angesichts permanenter Gefahren besser, professioneller und wirtschaftlicher organisieren können. Der unternehmens- oder behördeneigene Server ist nicht immer die sichere Alternative.
Damit ein solches Vertrauen berechtigt ist, bedarf es tatsächlich wirksamer vertrauensbildender Maßnahmen schon während des Aufbaus von Cloud-Infrastrukturen und fortwährend im Betrieb. Der Kunde sollte möglichst genau wissen, welcher Grad an Datensicherheit gewährleistet werden kann und wo Risiken verbleiben. Nur dann kann er selbstbestimmt entscheiden, welche Cloud-Services für welche Datenbestände er in Anspruch nimmt. Datenschutz ist so letztlich nichts anderes als ein Risikomanagement, das auf Seiten der Anbieter die Bereitschaft zu mehr Offenheit und auf Seiten der Kunden ein höheres Maß an IT-Kompetenz im Sinne eines Verständnisses für grundlegende Zusammenhänge voraussetzt.
Dies zu gewährleisten – anstatt Innovationen zu verhindern – ist auch eine Aufgabe des Rechts. Innovatives Recht kümmert sich um die Stärkung von Transparenz, Kompetenz und Vertrauen und erzeugt Maßstäbe für eine verhältnismäßige Teilung von Verantwortung für den riskanten Übergang in eine modernere Welt. In diesem Sinne könnte "Made in Germany" zum Vertrauensgaranten werden, das hierzulande entwickelte Konzept einer vertrauenswürdigen Cloud-Infrastruktur mehr bewirken als jedes formaljuristische Versprechen, das doch nur in der Hoffnung vertraglich fixiert wird, es werde schon nichts passieren. Nur wenn man in diesem Sinne nachvollziehbare Fakten schafft, kann Vertrauen zur (krisenfesten) Währung der globalen Informationsgesellschaft werden.
Prof. Dr. Dirk Heckmann ist Inhaber des Lehrstuhls für Öffentliches Recht, Sicherheitsrecht und Internetrecht an der Universität Passau sowie Leiter des Center for IT-Compliance and Trust an der Zeppelin University Friedrichshafen. Außerdem ist er Mitglied des Vorstands der Deutschen Gesellschaft für Recht und Informatik und des Deutschen EDV-Gerichtstages.
Mehr im Internet:
Heckmann, Cloud Computing zwischen Vertrauen und Verantwortung (Folien des Vortrags auf der BITKOM-Konferenz)
Dirk Heckmann, Datenschutz: . In: Legal Tribune Online, 15.11.2010 , https://www.lto.de/persistent/a_id/1929 (abgerufen am: 21.11.2024 )
Infos zum Zitiervorschlag