Privacy-Shield-Abkommen gekippt – europäische Lösungen gesucht
Der Europäische Gerichtshof (EuGH) hat das Privacy-Shield-Abkommen für ungültig erklärt. Damit gibt es keine rechtliche Grundlage für die Übermittlung von personenbezogenen Daten in die USA. Was bedeutet das für Nutzer von E-Mail-Systemen, die von US-amerikanischen Betreibern angeboten werden?
Gmail, Facebook, WhatsApp und viele andere Dienste aus dem privaten Bereich haben Einzug in unseren täglichen Alltag gehalten und sind nicht mehr wegzudenken. Die Aktienkurse und Gewinne zeigen, dass die US-Datenkonzerne als große Sieger hervorgehen. Schon lange sind wir keine Konsumenten dieser Dienste mehr, sondern das eigentliche Produkt, da wir kostenfrei Daten liefern, die für Werbezwecke, Analysen für politische Meinungsbilder und Co. genutzt werden. Während man im privaten Bereich den Nutzungsbedingungen zustimmen muss und damit für sich selbst entscheiden kann, ob die Leistung dem Gegenwert entspricht, sieht das Ganze im geschäftlichen Umfeld etwas anders aus.
Spielen wir aber vorerst ein Gedankenexperiment für Ihre Firmen-IT durch. Überlegen Sie einmal, wie viel Sie in den letzten Jahren in Ihre IT investiert haben, beispielsweise für Border Security, Serverinfrastruktur plus Software, Cloud-Services, Business-Applikationen, Clients für die Anwender oder Mobiltelefone im Unternehmen. Ziehen Sie nun alles, was aus den USA kommt, ab und überprüfen Sie, ob Sie mit dem verbleibenden Rest auch nur einen einzigen Tag Ihre Geschäftsabläufe abwickeln können. Die Antwort liegt auf der Hand und zeigt, dass die IT-Industrie in eine geo- und datenpolitische Schieflage geraten ist.
Zugegeben, die rein europäischen Alternativen, um heutzutage eine moderne, kostengünstige und flexible IT zu betreiben, sind beschränkt. Dies zeigen prominente Beispiele wie das der Stadtverwaltung München, die von Open Source auf Windows zurückstieg. So scheiterte das „LiMux-Projekt“ unter anderem aufgrund von mangelndem Komfort und Kompatibilitätsproblemen.
Also lassen wir alles beim Alten und klammern uns an die Verträge, in denen Unternehmen zugesichert wird, dass die Daten in Europa bleiben? Blicken wir der Realität ins Auge: Diese Versprechen können bei großen Cloud-Anbietern vom Kunden nicht überprüft werden. Kein Cloud-Anbieter würde es zulassen, einen technischen Auditor des Kunden physisch ins Rechenzentrum zu lassen, um einen internen Security-Audit zu starten. Dieser würde das System in den untersten Ebenen auf Backdoors, Datenkopieraufträge in die USA oder die Entschlüsselung von vertraulichen Daten prüfen und aufgrund der Komplexität von Cloud-Rechenzentren wahrscheinlich auch nur Teilbereiche abdecken.
Digitale Souveränität dank Verschlüsselung
Was wir also brauchen, um mit der Situation umzugehen, sind kreative Lösungen. Die Kryptographie könnte dabei eine zentrale Rolle spielen. Schon Edward Snowden hat 2013 nach dem Datenschnüffelskandal der NSA gesagt: „Das Einzige, was hilft, ist verschlüsseln.“
Der anhaltende Trend zu europäischen Sicherheits- und Verschlüsselungslösungen ist ein Lichtblick, der das Unbehagen der Kunden mit der aktuellen Situation widerspiegelt. Das Gebot der Stunde ist, die Dienste nutzen zu können, aber die Schlüssel zum Königreich selbst zu verwalten. Dabei könnten die Cloud-Anbieter den ersten Schritt machen. Denn meinten sie es wirklich ernst, würden sie die Verschlüsselung auf Basis eines nicht einsehbaren Schlüssels von ihren Kunden fordern.
Vielleicht sehen wir in Zukunft ja Verträge von US-Firmen, in denen folgender Satz steht:
„Wir speichern Ihre Daten nur dann, wenn sie sowohl im Transport als auch in der Speicherung mit einem nicht hackbaren Schlüssel verschlüsselt sind und wir nicht in den Besitz dieses Schlüssels kommen können.“
Ob wir das noch erleben werden?