Im Auftrag des EU-Parlaments haben sechs Autoren die Netzpolitik der EU untersucht. Ihr Urteil: Cloud Computing und staatliche Überwachung machen Bürger nahezu rechtlos.

Beim Cloud Computing hat der Einzelne keine Kontrolle über seine Daten und was mit ihnen geschieht. Diese Erkenntnis ist nicht neu und Datenschützer warnen schon lange vor den Gefahren dieser Dienste. Doch haben die Warnungen bislang nicht dazu geführt, dass sich die europäische Politik darauf einstellt und versucht, das zu Problem zu lösen. Das schreiben sechs Autoren in einer Studie, die sie im Auftrag des EU-Parlaments verfasst haben.

Die Politik der Europäischen Union gehe beim Thema Netzpolitik von falschen Voraussetzungen aus und schaue in die falsche Richtung, argumentieren sie in der Untersuchung mit dem Titel "Fighting cyber crime and protecting privacy in the cloud".

Vor allem ein Aspekt werde von der Europäischen Kommission viel zu wenig berücksichtigt, heißt es: das sogenannte Cloud Computing. Im Bereich Internet werde das eigentliche Problem "unterschätzt, wenn nicht gar ignoriert", nämlich die Herausforderungen, die sich beim Verarbeiten von Daten in der Cloud für Datenschutz und Datenkontrolle ergäben.

Cloud ist bedrohlicher als Kriminalität

Nicht Betrug und Identitätsdiebstahl sind demnach die größten Gefahren für EU-Bürger, wenn sie sich im Netz bewegen. Sondern die Risiken, die sich ergeben, wenn Daten in anderen Ländern verarbeitet werden. Denn EU-Bürger hätten keine Rechtssicherheit, wenn sie Cloud-Angebote wie die von Google, Amazon oder Facebook nutzen. Sie könnten ihr Recht auf Datenschutz und auf Kontrolle der eigenen Daten nicht durchsetzen.

In der Studie wird auch die Ursache dafür analysiert. Drei Interessenbereiche definieren nach Meinung der Autoren den Markt der Cloud-Anbieter: die Interessen von Unternehmen, die von Staaten und die Interessen, die aus zwischenstaatlichen Beziehungen entstehen, also beispielsweise aus Verhandlungen zwischen den USA und der EU.

Dieses "diplomatische Dreieck", wie sie es nennen, könne aus zwei Perspektiven betrachtet werden. Aus der Perspektive der einzelnen Nutzer und aus der Perspektive, das Internet auf globaler Ebene regulieren zu wollen. Die Politik der EU sei derzeit vor allem auf die globale Regulierung ausgelegt. Ein Beispiel dafür ist der Versuch, mit Acta ein internationales Handelsabkommen zwischen den USA, Europa und Asien zu verhandeln.

Allerdings, so schreiben die Autoren, sei bei dieser Betrachtung der einzelne Nutzer das schwächste Glied in der Beziehungskette. Acta hat genau das gezeigt. Normale Nutzer des Internets fühlten sich durch den geplanten Vertrag gegängelt und überwacht. Er war allein aus Sicht der Industrie formuliert und gedacht, Interessen der Nutzer spielten darin keine Rolle. Sie gingen dagegen auf die Straße. In diesem Fall erfolgreich.

Safe Harbor ist nicht sicher

Bei anderen Punkten haben sie aber sehr viel weniger Einfluss auf die Probleme. Die Autoren führen dafür den Umgang amerikanischer Behörden mit Daten an. Gesetze wie der US Patriot Act und der gerade verlängerte FISA Amendments Act erlauben es Polizei und Geheimdiensten in den USA, bei Anbietern wie Google oder Facebook gespeicherte Daten ohne Kenntnis der Betroffenen zu sehen. Das betrifft auch Daten, die von Bürgern aus anderen Ländern stammen, beispielsweise eben aus Europa.

Laut FISAAA, wie das Gesetz genannt wird, dürfen amerikanische Ermittler heimlich jede Kommunikation abhören, wenn sie vermuten, dass einer der Beteiligten Amerikaner ist. Nach Einschätzung der Autoren stellt diese Erlaubnis ein größeres Risiko für die Souveränität europäischer Daten dar, "als jedes Gesetz, über das europäische Politiker jemals nachgedacht haben".

Den bisherigen Bemühungen der EU, solche Themen mit anderen Staaten zu verhandeln, stellen die Autoren ebenfalls ein schlechtes Zeugnis aus. So hätten die Politiker es versäumt, bei internationalen Verträgen adäquate Datenschutzstandards zu fordern. Als Beispiel nennen sie das sogenannte Safe-Harbor-Abkommen mit den USA. Das erlaubt es, personenbezogene europäische Daten auch in den USA zu verarbeiten - wenn das dortige Unternehmen die Richtlinien des Abkommens einhält. Amazon, Google und Facebook sind dort beispielsweise Mitglied.

Blind für Risiken pseudonymer Daten

Jedoch habe Safe Harbor große Lücken, heißt es in der Studie. Es gelte beispielsweise nicht für normale Telekommunikationsanbieter, die inzwischen auch Cloud-Dienste bereitstellten. Außerdem sei das Abkommen angesichts der Überwachungsgesetze wie eben FISAAA nicht mehr viel wert. Und es ignoriere sogenannte pseudonyme Daten, Informationen also, die einzeln nicht dazu dienen können, jemanden zu identifizieren. Die jedoch zusammengefasst mit anderen das Zusammensetzen von Profilen erlauben und damit sehr genaue Aussagen über ein Individuum.

Die Blindheit für die Risiken pseudonymer Daten werde leider auch nicht durch die aktuelle Datenschutzreform der EU-Kommission beseitigt, sagt Caspar Bowden, einer der sechs Autoren der Studie. Zumindest werde sie wohl nicht dazu führen, dass die Industrie solche Daten künftig besser schützen muss. Eine Befürchtung, die auch in der EU-Politiker teilen und daher fordern, dass beispielsweise das pseudonyme Datum IP-Adresse geschützt werden soll.

"Unglücklicherweise waren die Lobbyisten zuerst da, der Reformentwurf enthält genau die gleichen Lücken - die allerdings weniger Lücken sind, sondern vielmehr die entscheidende Maginot-Linie bilden, die damit leider an der falschen Stelle gebaut wurde." Ja möglicherweise könnte der Reformentwurf sogar noch zu einer Verschlechterung führen, sagt Bowden. Denn beispielsweise fordere Großbritannien, nur solche Daten sollten als persönliche Daten geschützt werden, die jemanden "leicht identifizieren", also Name, Adresse et cetera. Die Briten wollten auch die bisher im Entwurf stehende Warnung vor Profilen entfernen. Quelle seiner Sorge ist eine bei Statewatch geleakte Einschätzung des Entwurfs durch den EU-Rat.

Angesichts solcher Entwicklungen sollte die EU ihren Fokus verändern, fordern die sechs Autoren. Europäische Internetpolitik müsse stärker den Nutzer in den Mittelpunkt stellen. Denn er und seine Daten seien im Moment am stärksten bedroht.