Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

Grenzüberschreitende Datensicherheit: eine Bedrohung für das Internet?

Geschrieben von Michael Buckbee | Nov 18, 2015 8:05:00 AM

Sicher haben Sie schon von der geplanten Datenschutz-Grundverordnung (DS-GVO) der EU gehört, die die Datenschutzrichtlinie von 1995 ablösen soll. Derzeit erlässt jeder EU-Mitgliedsstaat eigene Gesetze, um die Datenschutzrichtlinie zu erfüllen. Doch mit der neuen DS-GVO legt die Europäische Kommission Regeln fest, die für sämtliche EU-Länder gelten.

Vielleicht haben Sie auch von weitreichenden Gerichtsurteilen zu Technologie- und Datenschutzthemen, insbesondere in der EU, gehört. Zum Beispiel das 2014 bestätigte Recht auf Vergessenwerden oder die aktuelle Entscheidung des Europäischen Gerichtshofs zur Abschaffung des Safe-Harbor-Abkommens aus dem Jahr 2000, das es den 4.000 teilnehmenden US-Unternehmen erlaubte, personenbezogene Daten legal in die USA zu übermitteln.

Daten ohne Grenzen

Was in den Medien jedoch weitaus weniger thematisiert wird, ist der Versuch von Regierungen, Unternehmen außerhalb ihrer Gerichtsbarkeit zu regulieren und ihnen gegebenenfalls hohe Geldbußen aufzuerlegen. Sehen wir uns ein paar aktuelle Fälle und die dadurch entstehenden Probleme an:

Französische Datenschutzbehörde CNIL vs. Google, 1. Runde: 2012 kündigte Google an, die Datenschutzbestimmungen für seine verschiedenen Produkte zu einer Richtlinie zusammenzufassen. Dies hatte zur Folge, dass Google die in einem der Dienste gesammelten personenbezogenen Daten auch dann nutzen kann, wenn jemand einen anderen Google-Dienst verwendet.

Die französische Datenschutzaufsicht CNIL untersuchte den Fall und kam zu dem Schluss, dass die neue Richtlinie gegen das französische Datenschutzgesetz verstößt. Anfang 2014 verhängte die CNIL eine Geldstrafe von 150.000 EUR gegen Google – die höchste Strafe ihrer Geschichte. (Die spanische Datenschutzbehörde AEPD sah das ähnlich und verdonnerte Google zu einer Strafe von 900.000 EUR.)

Derzeit ziehen mehrere EU-Länder in Erwägung, Google dazu zu verpflichten, eine Opt-out-Möglichkeit für seine konsolidierte Datenschutzrichtlinie anzubieten.

Französische Datenschutzbehörde CNIL vs. Google, 2. Runde: Mitte 2014 urteilte ein spanisches Gericht, dass jede Person das Recht hat, von einer Suchmaschine die Löschung von Links zu Daten zu verlangen, die sie als irrelevant oder veraltet erachtet. Der Angeklagte war zwar erneut Google, doch das Urteil betrifft alle Suchmaschinen. Kurz danach führte Google ein System ein, mit dem die Nutzer das Löschen personenbezogener Informationen beantragen können (siehe dieses Online-Formular). Wird dies von Google bewilligt, werden die Links zu den jeweiligen Informationen im Land des Antragstellers gelöscht.

Im Juni 2015 forderte die französische CNIL Google förmlich dazu auf, die Suchergebnisse aus den Google-Domains aller Länder weltweit zu entfernen, wenn ein EU-Bürger sein Recht auf Vergessenwerden reklamiert. Denn bisher löscht Google die entsprechenden Suchergebnisse lediglich innerhalb der EU. Die Datenschutzbehörde drohte Google mit Sanktionen, sollte das Unternehmen der Aufforderung nicht nachkommen.

USA vs. Microsoft: 2013 forderten die US-Justizbehörden Microsoft zur Herausgabe von E-Mail-Daten eines Nutzers auf. Dabei handelte es sich um einen Nutzer aus Irland. Microsoft übergab zwar die nicht inhaltsbezogenen Informationen, die in den USA gespeichert waren, weigerte sich jedoch, die Inhalte des Nutzerkontos zu übergeben – mit der Begründung, dass US-Recht hier nicht gelte. Microsoft hat zwar kürzlich ein Berufungsverfahren verloren, will sich der Aufforderung der Justizbehörden jedoch weiterhin widersetzen.

Das Unternehmen wird dabei von 28 Technologie- und Medienunternehmen, 23 Wirtschaftsverbänden und Interessengruppen und 35 Informatikprofessoren unterstützt, die ihre Rechtsansicht dem zuständigen New Yorker Gericht in einem eigenen Schriftsatz mitgeteilt haben. Im entgegengesetzten Fall könnte eine deutsche Behörde von einer deutschen Bank den Zugriff auf Informationen oder den Inhalt eines Tresorfachs in einer Zweigstelle in New York verlangen – und zwar ohne dass die betroffene Person davon in Kenntnis gesetzt würde und ohne Berücksichtigung des amerikanischen Rechts!

Die Domain-Registry xyz.com hat der ICANN einen Vorschlag überreicht, nach dem neue Domänennamen, die Begriffe aus einer schwarzen Liste der chinesischen Regierung enthalten, automatisch blockiert würden. Laut Bericht einer branchenspezifischen Nachrichtenseite besteht diese Zensurliste aus etwa 12.000 Wörtern und Ausdrücken, darunter die chinesischen Begriffe für „Demokratie“, „Menschenrechte“ usw., die in keiner der Top-Level-Domains des Unternehmens mehr registriert werden dürften. Dies würde nicht nur für chinesische Registrants gelten, sondern für alle weltweit!

Die neue Weltordnung

Würden Unternehmen alle regulatorischen Anforderungen erfüllen, würde sich das Internet rasch auf den kleinsten gemeinsamen Nenner reduzieren. Anders gesagt: Die Regulierungsbehörde oder Regierung mit den strengsten Regeln könnte die Inhalte für alle anderen weltweit bestimmen.

Ein weiteres Problem sind die Auswirkungen auf die Wirtschafts- und Geschäftswelt: Würde ein Unternehmen eine Cloud oder einen anderen Computing-Dienst nutzen, wenn es wüsste, dass die Regierung eines anderen Landes auf all seine Daten zugreifen kann – und nicht selten ohne dass es darüber informiert würde?

Daraus ergibt sich die folgende alarmierende Situation:

  • Die französische Datenschutzbehörde fordert, dass bestimmte Suchergebnisse zu einer Person weltweit nicht mehr angezeigt werden.
  • Die US-Regierung verlangt Zugriff auf Daten eines Nutzerkontos, die außerhalb der USA auf dem Server einer Niederlassung gespeichert sind, wobei die einzige Verbindung zwischen dem Nutzer und den USA darin besteht, dass das Konto eine Microsoft-Adresse hat.
  • Eine Domain-Registry kommt dem Wunsch einer einzigen Regierung nach, fast 12.000 Begriffe zu verbieten, sodass kein Nutzer in keinem Land der Erde eine Domain registrieren kann, die einen dieser Begriffe enthält.

Es gibt zwar bilaterale Rechtshilfeverträge (Mutual Legal Assistance Treaties, MLATs), die das Sammeln und Austauschen von Informationen im Rahmen der gesetzlichen Vorschriften ermöglichen. Doch im Fall von Microsoft erachtet die US-Regierung die MLATs als zu träge und umständlich. In anderen Fällen versucht eine einzige Regierung, ihre Richtlinien auch außerhalb ihres eigenen Landes durchzusetzen.

Die Datenschutz-Grundverordnung der EU, die bald verabschiedet werden soll, kann auch außerhalb der Grenzen der EU angewendet werden. Selbst wenn ein Unternehmen ohne eine Niederlassung in der EU die Daten von EU-Bürgern über das Internet sammelt, unterliegt es den europäischen Datenschutzrichtlinien.

Bei Verstößen gegen die Bestimmungen zur Sammlung und Verwendung personenbezogener Daten innerhalb der EU sieht die neue Grundverordnung zudem Strafen von bis zu fünf Prozent des Jahresumsatzes eines Unternehmens vor.

Wie all das umgesetzt werden kann, steht allerdings in den Sternen.

Fazit: Die bisherige Internetkultur ist an mehreren Fronten unter Beschuss. Länder versuchen, ihre eigenen Datenschutzgesetze und -richtlinien auf international tätige Konzerne anzuwenden. Dies widerspricht dem dezentralen Charakter des Internets. Und hat sowohl auf den Datenschutz als auch auf Produktinnovationen Auswirkungen.

Die zentrale und bislang unbeantwortete Frage ist, ob das Internet quasi ein eigenes Territorium ist und, falls nicht, wessen Regeln für eine ortsungebundene digitale Welt gelten sollen.

The post Grenzüberschreitende Datensicherheit: eine Bedrohung für das Internet? appeared first on Varonis Deutsch.