IGF: In der Wolke brauchen Daten besonderen Schutz

Cloud Computing ist das Buzzword der Stunde. Höchste Zeit, finden Experten, sich mit dem Datenschutz in der Cloud zu beschäftigen. Dazu bedürfe es dringend einer internationalen Debatte, forderte die scheidende Kommissarin der US Federal Trade Commission (FTC) Pamela Jones Harbour auf dem vierten Internet Governance Forum (IGF) am Montag im ägyptischen Sharm El Sheik. Wenn Anwender über die Wege ihrer Daten durch die Cloud und deren Nutzung zu wenig informiert würden, reiche der Wettbewerb als Regulativ womöglich nicht aus, meint Harbour. "Dann könnte der Gesetzgeber zusätzliche Regulierung ins Auge fassen", sagte die US-Amerikanerin, unterstrich dabei aber, nicht für die FTC zu sprechen.

Beim Cloud Computing, das als Basis für eine effiziente Software-Versorgung durch das Internet gilt, liegt der Schwerpunkt der Rechenleistung, Anwendungsbereitstellung und Datenspeicherung nicht auf dem Client, sondern bei den Servern, die in Grids und großen Serverfarmen organisiert sind. Die gestiegenen Möglichkeiten zur Profilbildung auf Basis der Nutzerspuren in der Cloud schaffen neue Datenschutzprobleme, mahnte Harbour: "Behavioural Targeting auf Steroiden". Viele Nutzer wüssten nicht, dass Firmen ganze digitale Dossiers über sie untereinander austauschten. Die Chancen, dass Daten auf den verschlungenen Wegen durch internationale Wolken verloren gingen, nehme ebenfalls enorm zu. Ähnlich wie bei Banken sollte Sicherheit in der Cloud möglicherweise zum gesetzlich festgelegten Standard gemacht werden.

Joseph Alhadeff von Oracle warnte dagegen vor zusätzlicher Regulierung für den Datenschutz und sprach sich für die Anwendung der bestehenden Instrumente aus. Sicherheitsexperte Bruce Schneier von der British Telecom unterstützte dagegen Harbours Standpunkt. Er brachte einen international gültigen "Gesellschaftsvertrag" mit Mindeststandards in die Diskussion. Der könne das Verhalten auch gerade der Cloud-Anbieter regeln, die keine direkten Verträge mit den Anwendern haben. Am Ende müssten Kunden ihren Providern trauen, denn eine Kontrolle, welche Datenspuren man wo hinterlasse, sei dem Nutzer nicht mehr möglich.

Simon Davies, Chef der britischen Initiative Privacy International, erinnerte daran, dass die Frage nach dem jeweils geltenden Recht Nutzer und Regierungen vor erhebliche Probleme stellen werden. Auch Davies forderte internationale Standards für den Datenschutz in der Cloud. Der Datenschutzexperte warnte auch davor, dass wegen der schwierige Strafverfolgung die Neigung wachsen werde, ganze Klassen von Datensätzen bei Anbietern abzufragen.

"Strafverfolgungsbehörden muss es möglich sein, den Ursprung eines Angriffs zu identifizieren, und sie brauchen die dafür notwendigen Kundendaten", forderte deshalb auch Alexander Seger, Experte für die Cybercrime Convention des Europarates. Schon heute erlaube die Cybercrime Convention in eng eingegrenzten Fällen, dass Strafverfolger entsprechende Informationen von einem Provider in einem anderen Land einholten, sagte Seger. "Davon werden wir in Zukunft mehr sehen, denke ich." Er forderte gleichzeitig auch einen internationalen Standard, der Nutzern erlaube, die in anderen Ländern über sie gespeicherten Daten abzufragen.

Sowohl der Europarat als auch die Organisation für Wirtschaftliche Zusammenarbeit und Entwicklung (OECD) arbeiten daran, ihre Rechtsinstrumente und Standards zu überarbeiten. Der Europarat startete im vergangenem März Vorarbeiten zu einer möglichen Neufassung der "Konvention zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten" aus dem Jahr 1981. Gleichzeitig werde beim Europarat auch an einer Ausweitung der Haftungsregeln gearbeitet, sagte Christos Velasco von North American Consumer Project on Electronic Commerce (NACPEC).

Zum Internet Governance Forum 2009 siehe auch:

• Top-Level-Domains mit nicht-lateinischen Zeichen
• Ein steiniger Weg zur Meinungsfreiheit?
• Mehr oder weniger geliebt: das Internet Governance Forum

(vbr)