In der definieren Privatsphäre anders als Deutsche. Indische Ladenbesitzer fragen Kundinnen ohne Kinder ungezwungen, ob sie gynäkologische Probleme haben, Schulnotenlisten werden einfach an öffentliche Wände gepinnt, beschreibt die Journalistin Semini Sengupta. Doch als die Regierung kürzlich einen biometrischen Personalausweis einführen wollte, ging eine wilde Diskussion um den Datenschutz und das Recht auf Privatsphäre los. Als Folge hat Indien jetzt sein erstes Gesetz, das die Privatsphäre der Bürger schützt - und keinen biometrischen Ausweis.
So fängt es an mit einer datenschutzbewussteren Gesellschaft. Ähnliches hat Deutschland erlebt, Anfang der achtziger Jahre, als eine Volkszählung anstand, bei der Beamte von Haus zu Haus gehen sollten. Bürger legten Verfassungsbeschwerden ein, und das Bundesverfassungsgericht erschuf das Recht auf informationelle Selbstbestimmung, wonach jeder Mensch grundsätzlich selbst entscheiden können soll, welche persönlichen Daten er preisgibt.
Eine Frage der Weltanschauung
Ob eine Gesellschaft Datenschutz für notwendig erachtet, ist also vor allem eine Frage der Weltanschauung. Wie viel Schutz wirklich nötig ist, um Leib und Leben und das Vermögen zu schützen, weiß niemand. Allerdings kursieren Zahlen darüber, welchen Schaden Datendiebe auf der Welt anrichten - ein dreistelliger Milliardenbetrag soll es sein.
Solche Zahlen spielen Cloud-Betreibern in die Hände. Zwar wird den Anbietern von Speicherplatz und von Software, die aus der Internetleitung kommt, generell viel Argwohn entgegengebracht. Aber da der Trend zur Cloud ohnehin als unaufhaltsam erachtet wird, ist eine besondere Datensicherheit ein hübsches Unterscheidungsmerkmal im Wettbewerb. Und so wird geworben: Mit der deutschen Cloud oder mit Festungen von Rechenzentren hoch im kühlen Skandinavien, wo niemand hinkommt und beste Datenschutzgesetze herrschen.
Mit zwei Fragen muss sich ein Unternehmen befassen, das Daten zur weiteren Verarbeitung in die Cloud schicken will: Die erste ist eine Frage des Vertrauens. Welchem Cloud-Anbieter ist zu trauen? Er muss technisch so gut sein, dass er es mit Hackern aufnehmen kann. Und er sollte keine bösen Absichten verfolgen, etwa die Daten weiterzuverkaufen. Das wäre eine Katastrophe, entweder weil das Unternehmen wichtiges Geschäfts-Knowhow in die Cloud geschickt hat, das dann futsch ist - oder, weil es sich um die Daten Dritter handelte, deren Haftungsansprüchen das Unternehmen ausgesetzt ist.
Wasserdichte Verträge
Das führt zur zweiten Frage: Welche Datenschutzgesetze sind einzuhalten? Ein deutsches Unternehmen unterliegt einer Fülle von Regeln, wie es insbesondere mit Kunden- oder Arbeitnehmerdaten umzugehen hat. Der Datentransfer in andere Länder ist oft nur dann erlaubt, wenn in dem Land ein EU-adäquates Datenschutzniveau herrscht.
Diese Compliance-Aufgaben sind sehr aufwendig, und es stellt sich die Frage, warum man nicht einfach seine Daten auf Datenspeichern in der EU belässt. „Die Vorstellung, man könne Daten in der Cloud allein in einem Land abspeichern, geht fehl“, sagt Christoph Rittweger, Datenschutzexperte der Kanzlei Baker & McKenzie. Die Unternehmen müssten sich nach der Decke strecken. „Wenn die beste Cloud-Lösung ihre Rechenzentren in Australien stehen hat, müssen sich die Unternehmen eben überlegen, ob sie entweder nur die zweitbeste Cloud-Lösung nehmen wollen, weil diese in der EU steht, oder ob sie den Aufwand betreiben, die Verträge mit dem australischen Cloud-Anbieter wasserdicht zu machen.“ Außerdem sei es in internationalen Konzernen ganz normal, dass Daten über Ländergrenzen hinweg ausgetauscht werden. Generell wird sich kein Unternehmen leisten können, bei der Dateninfrastruktur national zu denken, glauben die Analysten von Forrester: „Unternehmen müssen sich davon verabschieden, selbst die Infrastruktur zu diktieren. Sie müssen lernen, zu managen, was sie nicht kontrollieren können.“
In Russland, China und Singapur ist es günstig
Die vielen Gesetze, die von Unternehmen hohe Sorgfalt im Umgang mit Daten verlangen, machen Juristen jede Menge lukrative Arbeit. Insbesondere gestalten sie die Verträge mit Cloud-Anbietern. Problematisch sei, dass viele Cloud-Anbieter es ungern sagen, wenn sie Speicherplatz bei Subunternehmern dazukaufen, sagt Rittweger: „Das Unternehmen in Deutschland muss das aber eigentlich wissen und kontrollieren können.“ Grundsätzlich muss auch der Kunde wissen, wo sich seine Daten befinden. Rechtsanwälte verbringen viel Zeit damit, solche Sachverhalte aufzuklären - und manchmal müssen sie von einer Zusammenarbeit mit einem Cloud-Dienst abraten.
Aber nicht jede Kategorie von Daten unterfällt solchen Regeln. Weniger wichtige Daten können ohne weiteres dorthin gebracht werden, wo es günstig ist. Das ist es zum Beispiel in Russland, China oder Singapur, das, verglichen mit anderen Ländern, eine hohe Dichte an Cloud-Rechenzentren hat. Niedrige Stromkosten locken, genauso wie Geld, das anderswo für Sicherheitssysteme ausgegeben werden müsste, hier aber eingespart werden kann. Nikolaus Forgó, Juraprofessor an der Leibniz Universität Hannover, sieht keinen Grund, Cloud-Anbieter zu dämonisieren, die in solche Länder gehen. „Das kann sinnvoll sein. Wichtig ist nur, dass die Unternehmen einen guten, europäischen Standards entsprechenden Rechtsrahmen haben, der dafür sorgt, dass die Privatsphäre geschützt wird, wo es nötig ist.“ Daran wirkt Forgó durch seine Arbeit für das europäische Infrastrukturprojekt Optimis mit, das Cloud-Computing untersucht. Ebenso gefährlich wie unsichere Staaten findet Forgó irrationale Ängste. „Die Ängste der Menschen sind oft noch diffus. Das führt zu Technikfeindlichkeit.“
Unsichere deutsche Cloud
Ängste sind es auch, die den Begriff „deutsche Cloud“ überhaupt erst entstehen ließen. Das war vor rund zwei Jahren, als die ersten Datenwolken in Amerika aufkamen und sich zugleich die Nachricht verbreitete, deutsche Daten seien dort nicht sicher vor amerikanischen Behörden. Weitreichende Sicherheitsgesetze wie der „US Patriot Act“ zur Terrorbekämpfung ließen Europäer argwöhnen.
In der amerikanischen Datenschutzkultur überwiegt oft das Sicherheitsinteresse - dann gehen die Behörden sogar über die Landesgrenzen hinaus. „Auch die deutsche Cloud ist insofern nicht sicher“, sagt Peter Bräutigam, Fachanwalt für IT-Recht in der Kanzlei Noerr. Denn deutsche Unternehmen können dem Patriot Act unterfallen und verpflichtet sein, Daten an amerikanische Behörden zu geben. Dafür reicht, eine Tochtergesellschaft in Amerika zu haben oder auch nur gewisse Mindestkontakte dorthin zu unterhalten. „Allerdings ist die ganze juristische Debatte völlig überzogen“, fügt Bräutigam hinzu. „Sicherheitsgesetze mit ähnlichen Befugnissen gibt es auch in Deutschland, und sowohl hier als auch dort ist ein Behördenzugriff an enge Voraussetzungen geknüpft.“ Trotzdem kann der Patriot Act Betroffene in eine Zwickmühle bringen, denn wer sich weigert, die Daten herauszugeben, obwohl die Voraussetzungen vorliegen, verstößt gegen amerikanisches Recht. Wer aber die Daten herausgibt, verstößt womöglich gegen deutsches Recht.
Jedoch: Fälle, in denen die Amerikaner auf der Basis des Patriot Act an die Tür geklopft haben, kennt keiner. Sowieso tut sich etwas in Amerika, sagt Christoph Rittweger: Allein schon, weil all die Anwälte, die früher Asbest- oder Tabak-Sammelklagen gemacht hätten, jetzt auf Datenschutz umgesattelt seien.
