Thilo Weichert

Persönliche Daten in der Cloud generell rechtswidrig

Thilo Weichert, einer der einflussreichsten Datenschützer Deutschlands, kritisiert, bestehende Cloud-Angebote seien fast durchgängig mit dem geltenden Datenschutzrecht nicht vereinbar. Sein Fazit: Personenbezogene Daten haben in den "Wolken" nichts zu suchen.

Schleswig-Holsteins Landesdatenschützer meint, dass personenbezogene Daten beim Cloud-Computing nicht sicher sind. Derzeit bestehende Cloud-Angebote seien fast durchgängig mit dem geltenden Datenschutzrecht nicht vereinbar, sagte Thilo Weichert heute auf dem 4. Österreichischen IT-Rechtstag in Wien. Cloud-Computing, bei privaten Nutzern wie in Wirtschaftsunternehmen immer verbreiteter, sei generell unzulässig, wenn außerhalb der Europäischen Union personenbezogene Daten verarbeitet würden, so Weichert. Aber auch bei innereuropäischen Angeboten würden die organisatorischen und technischen Sicherheitsmaßnahmen und die Ressourcenanbieter nicht hinreichend transparent gemacht.

Weichert: "Zwar spielen Integrität und Vertraulichkeit auf dem Cloud-Markt heute eine Rolle, doch für die Anwender bleibt die Cloud eine Black Box, die ihnen die Wahrnehmung ihrer Verantwortung unmöglich macht. Wer heute in einer Public Cloud Personendaten verarbeitet, handelt regelmäßig unverantwortlich und rechtswidrig."

Durch die Verlagerung der Datenverarbeitung in andere Staaten könnten dortige Sicherheitsbehörden wie Polizei, weitere Strafverfolger, nationale Geheimdienste oder Finanzbehörden legal auf die Daten zugreifen, so Weichert in einer Analyse. Viele Geheimdienste betrieben, so Weichert, für die heimischen Interessen Wirtschaftsspionage. "So können staatliche Zugriffe auf Cloud-Rechner durch staatliche oder halbstaatliche Einrichtungen in Diktaturen wie zum Beispiel dem Iran oder China Informationen offenbaren, die zur Grundlage von weiterer Überwachung, Verfolgung, Verhaftung, bis hin zur Tötung" dienten.

Dies sei zwar durch Anonymisierung und Verschlüsselung seitens der Cloud-Betreiber weitgehend zu verhindern, doch selbst in westlich demokratischen Staaten gebe es gesetzliche Regelungen zur Herausgabepflicht von Schlüsseln für behördlich geforderte Daten. Insbesondere im Sicherheitsbereich existierten in fast allen Staaten behördliche Befugnisse, technische Sicherungsvorkehrungen zu überwinden. Zudem eröffne die Cloud völlig neue Angriffsmöglichkeiten von Cyberkriminellen. Diese könnten in die Rolle des Nutzers schlüpfen, um die Datenverarbeitung auszuspionieren.

Dabei wären beim Cloud-Computing datenschutzkonforme Lösungen technisch und vertraglich möglich, so Weichert, was bisher aber noch nicht praktiziert werde.