Kommentar: Bodycam-Daten

Es wird Zeit für „Europe first“ beim Datenschutz

| Autor / Redakteur: Holger Dyroff* / Susanne Ehneß

Europa braucht bei der Speicherung und Verarbeitung sensibler Daten Mut und Verantwortungsbewusstsein
Europa braucht bei der Speicherung und Verarbeitung sensibler Daten Mut und Verantwortungsbewusstsein (© mixmagic - stock.adobe.com)

Die Bundespolizei hat Datenschutzbedenken systematisch ignoriert und sensible Bodycam-Daten bei einem US-Anbieter gespeichert. Ein Vorgehen, das auch der Bundesdatenschutzbeauftragte zuletzt scharf kritisierte. Der jüngste Vorfall demonstriert wieder einmal, welche Sorglosigkeit in Bezug auf dieses Thema vorherrscht. Dabei sind gerade in Zeiten eines wiederauflebenden Protektionismus unter dem Deckmantel der „nationalen Sicherheit“ Anstrengungen nötig, die über die bloße Einhaltung der DSGVO hinausgehen. Eine Einschätzung von Holger Dyroff.

Es gibt Momente im Leben, in ­denen es sich lohnt, einfach mal innezuhalten und nur die Fakten eines Sachverhalts zu betrachten, um die Absurdität dahinter zu ­erkennen. Die massenhafte Speicherung von Bodycam-Daten der Bundespolizei auf AWS-Servern ist ein Paradebeispiel dafür.

Worum es geht? Aufnahmen von Personen, meist Staatsbürger und Einwohner der Bundesrepublik Deutschland, wurden auf Servern eines US-amerikanischen Anbieters gespeichert, der US-Gesetzen unterliegt, die amerikanischen Ermittlungsbehörden Zugriff auf eben diese Server verschaffen.

Faktencheck zum CLOUD Act

Grundsatz der Verhältnismäßigkeit

Faktencheck zum CLOUD Act

22.07.19 - Zum Thema CLOUD Act gibt es unterschiedliche Ansichten und Auslegungen: die einen warnen eindringlich vor der möglichen Kollision mit regionalen Gesetzgebungen wie GDPR und DSGVO, die anderen winken ab und sagen, alles alter Hut: international übergreifende Kooperationen der Exekutive, teils auch der Legislative gibt es schon seit Jahrzehnten, wurden jetzt nur upgedatet, auf neue Technologien angepasst und somit auf den aktuellen Stand gebracht. Ja, was stimmt denn nun? lesen

Schlimm genug. Doch das Ganze lässt sich auch folgendermaßen ­lesen:

  • Nicht irgendwelche Daten wurden gespeichert, sondern Aufnahmen von Staatsbürgern mit verfassungsmäßig garantierten Persönlichkeitsrechten.
  • Nicht irgendeine Behörde vollzieht die Speicherung, sondern die öffentliche Institution, die die Rechte dieser Bürger schützen soll.
  • Nicht irgendein Anbieter verwaltet die Daten, sondern ein Konzern aus einem Staat, dessen Präsident gerade offensiv den Handelskrieg forciert und sein Vorgehen mit der „nationalen ­Sicherheit” begründet.

Insgesamt offenbart dieser weitere Vorfall ein gigantisches Maß an Sorglosigkeit der Öffentlichen Hand, wenn es um den Umgang mit persönlichen Daten geht. Schließlich wurden die Bundes­polizei und das Bundesinnenministerium bereits 2018 vom Bundesdatenschutzbeauftragten darüber informiert, dass dieser dieses Vorgehen als rechtswidrig ansieht und dringend den Wechsel zu einem deutschen Anbieter nahelegt. Passiert ist seitdem jedoch nichts, was neben der Sorglosigkeit auch eine gewisse Respektlosigkeit gegenüber deutschen Staatsbürgern darstellt – insbesondere mit Blick auf die Rolle des Datenschutzes in der öffentlichen Debatte.

Denn es ist ja nicht so, dass in den vergangenen Jahren auf europäischer Ebene nicht intensiv über Datenschutz diskutiert wurde. Konzerne, Mittelständler, Start-ups, Industrieunternehmen, Vereine, Arztpraxen und überhaupt jeder, der in diesem Land, auf diesem Kontinent, personen­bezogene Daten verarbeitet, musste sich in den letzten zwölf Monaten mit der Frage auseinandersetzen, wie er diese Daten effektiv schützen kann, um absolute Konformität mit der ­DSGVO zu erreichen.

Flickenteppich statt starkem Bekenntnis

Dass Vertreter der Öffentlichen Hand hier mit gutem Beispiel vorangehen müssten, ist eigentlich eine Selbstverständlichkeit. Nicht weniger als das Maximum an Schutzmaßnahmen jenseits der Mindestanforderungen der ­DSGVO wäre hier angemessen, ­zumal der Aufbau eigener Infrastrukturen in Zusammenarbeit mit europäischen Anbietern auch ein starkes Bekenntnis zum Digital­standort Deutschland demonstrieren würde. Stattdessen finden wir noch immer einen Flickenteppich vor: Regierungsinstitutionen, Behörden, öffentliche Verwaltungen, egal ob auf Bundes- oder Landesebene, lassen keine konsistente Strategie zum Schutz der von ihnen verarbeiteten personenbezogenen Daten erkennen.

Lösungsansätze zu CLOUD Act und DSGVO

Rechtslage zwischen EU- und US-Recht

Lösungsansätze zu CLOUD Act und DSGVO

15.11.18 - Der CLOUD Act stellt das nächste Kapitel der schwierigen Beziehung zwischen den USA und der EU in datenschutzrechtlichen Fragen dar. Das Gesetz regelt den Zugriff auf in der EU-gespeicherte personenbezogene Daten von US-Bürgern und ermöglicht gleichzeitig den Zugriff auf Daten von EU-Bürgern in den USA. Betroffene Unternehmen sind jetzt entweder gezwungen gegen die DSGVO oder den CLOUD Act zu verstoßen. lesen

Lichtblicke auf Bundes- und Landesebene

Zwar gibt es mittlerweile vereinzelte Lichtblicke auf Bundes- und Landesebene, wie die jüngst gestartete „BayernBox”, mit der die bisher größte öffentliche Datenaustauschplattform auf privaten Servern mit deutscher Open-Source-­Software realisiert werden konnte. Auch international gibt es immer wieder vielversprechende Ansätze, wie das Beispiel der Stadt Barcelona, die vor einem Jahr ankündigte, künftig großflächig auf Open Source zu setzen.

Derartige Projekte haben allerdings noch immer Leuchtturmcharakter: Die meisten Landes-, Bundes- oder kommunalen Verwaltungen setzen nach wie vor auf den Einsatz proprietärer Software oder vollziehen – wie im medial vielbeachteten Fall der Stadt München – sogar die Kehrtwende weg von Open Source und hin zu proprietärer und aus Datenschutz-Sicht problematischer Software aus den USA.

Daten und Handelspolitik

Das Vertrauen in die Unbedenklichkeit des Einsatzes proprietärer Software oder die Nutzung US-amerikanischer Server mag noch in einer Ära der Alternativlosigkeit verwurzelt sein, als Lösungen von Microsoft und Co. die einzigen ­waren, die einen einfachen und produktiven Betrieb in der Cloud ermöglichten und die transatlantischen Beziehungen sich – vorsichtig gesagt – „stabiler” gestalteten. Doch diese Rahmenbedingungen haben sich geändert.

Zum einen bieten der Digitalstandort Deutschland und insbesondere die Open-Source-Wirtschaft vielfältige Alternativen, mit denen sich die Anforderungen von Unternehmen und Behörden genauso abbilden lassen wie mit Software großer US-Konzerne – inklusive vollständigem Zugriff auf den Quellcode und uneingeschränkter Freiheit bei der Wahl des Speicherortes.

Darüber hinaus, und dieses Argument wiegt schwerer, stellt die Handelspolitik Donald Trumps ein ganz konkretes Risiko dar: Nachdem der Datenaustausch zwischen der EU und den USA schon länger auf wackligen Beinen stand, sorgt der im vergangenen Jahr in Kraft getretene „US CLOUD Act“ für zusätzliche Unsicherheit. Das Gesetz verpflichtet US-Unternehmen zur Herausgabe von Daten im Falle einer richterlichen Anordnung, selbst wenn lokale Gesetze dies am Ort des physischen Datenspeichers verbieten.

Der CLOUD Act bildet damit die Grundlage für bilaterale Abkommen wie „Privacy Shield” zwischen der EU und den USA: Die Nutzung von US-Diensten gilt unter dem Schirm des Privacy Shield zwar als DSGVO-konform, da dieser eine Angleichung des Datenschutz­niveaus der beiden Rechtsräume vorsieht.

EU-Daten dürfen demnach an US-Unternehmen, die dem Shield beigetreten sind, übermittelt werden. Das bedeutet aber keineswegs, dass diese Daten dann auch sicher sind: Das Abkommen sieht nämlich vor allem dann Ausnahmen vor, wenn die nationale Sicherheit der USA bedroht sein könnte. Wie schnell so ein Fall vor dem Hintergrund der Trump’schen Handelspolitik eintreten kann, zeigte sich im Februar diesen Jahres mit der überraschenden Absichtserklärung des US-Handelsministeriums, Auto­importe aus Europa als eine ebensolche Bedrohung für die nationale Sicherheit der Vereinigten Staaten einzustufen.

Eine Einstufung, die ein seit seiner Einführung 1962 selten angewandter Paragraph aus dem US-Handelsrecht ermöglicht, soll zwar in erster Linie die Einführung von Strafzöllen legitimieren, würde aber in der Folge auch den Datenschutz für einzelne Branchen betreffen. Die Sicherheitsbehörden könnten in der Folge US-Unternehmen zur Herausgabe der Daten­ von zum Beispiel Autoherstellern auffordern, die auf ihren Servern liegen – mit allen verheerenden Konsequenzen.

Verschlüsselung und Tokenisierung reichen nicht!

CLOUD Act vs. DSGVO

Verschlüsselung und Tokenisierung reichen nicht!

24.07.19 - Der CLOUD Act stellt Unternehmen in Europa vor Herausforderungen. US-Behörden dürfen auf Daten zugreifen, die auf Servern in Europa liegen, solange sie von US-Hostern oder Cloud-Anbietern bzw. deren ausländischen Ablegern verarbeitet oder gespeichert wurden. US-Anbieter empfehlen daher, Daten technisch zu verschleiern. Doch schützt das die Daten vor dem Zugriff? lesen

Weniger Server-­Sorglosigkeit

Auch wenn ein solches Szenario bislang noch nicht eingetreten ist, muss vor dem Hintergrund dieser zunehmenden Unsicherheit eines gelten: Es reicht nicht, die eigene IT mit dem Siegel der DSGVO-Konformität zu versehen, um einen umfassenden Schutz der eigenen Daten zu erreichen. Angesichts der Fülle an Unwägbarkeiten und rechtlicher Schlupflöcher in der internationalen Zusammenarbeit, besonders aber vor dem Hintergrund eine zunehmend aggressiveren Handelspolitik der USA, ­deren Präsident beinahe täglich ­signalisiert, zu allen ihm verfügbaren Mitteln zu greifen, sollten europäische Behörden und natürlich auch Unternehmen keine Kompromisse bei der Souveränität über die eigenen Daten eingehen.

Souveränität

Es braucht vielmehr ein aktives Bewusstsein für Datenschutz, Datensicherheit und Datenkontrolle und den Mut, vorhandene Technologien, die dies bereits heute ermöglichen, auch zu nutzen. Die Dringlichkeit eines Umdenkens lässt sich auch an dem jüngst vorgestellten Forderungskatalog der „Plattform Innovative Digitalisierung der Wirtschaft” ablesen. Demnach lässt sich die digitale Souveränität der EU nur mit Systemen erhalten, bei denen der Quellcode zumindest geprüft und individuell angepasst werden kann.

Der europäische öffentliche Sektor sollte bei diesem Thema vorangehen, anstatt die Öffentlichkeit mit gravierenden Verletzungen wie im Falle des Bodycam-Skandals zu irritieren. Es wäre auch ein starkes Signal an die eigene Wirtschaft: Auf diese Weise würde Europa den Pioniergeist vieler lokaler Softwareanbieter unterstützen und dazu beitragen, den Abstand zu den großen, internationalen Tech-Konzernen zu verringern. Denn schließlich gibt es deutsche und europäische Anbieter, deren leistungsstarke Cloud-Lösungen – sowohl für den Einsatz im eigenen Rechenzentrum als auch in Form von SaaS-Lösungen – den gewünschten Komfort mit notwendigen Datenschutz- und Sicherheitsstandards verbindet. Die Voraussetzungen sind also längst vorhanden, sie müssen „nur“ genutzt werden.

Europa braucht insbesondere bei der Speicherung und Verarbeitung sensibler Daten Mut und Verantwortungsbewusstsein statt allgemeiner Sorglosigkeit. Nur so kann es gelingen, den „Europe First”-Gedanken beim Aufbau von Dateninfrastrukturen in den Köpfen zu verankern und unsere Daten wirklich effektiv zu schützen.

Holger Dyroff
Holger Dyroff (© owncloud)

*Der Autor: Holger Dyroff ist als Chief Operating Officer (COO) bei ownCloud verantwortlich für die strategische Produktentwicklung. Als Dyroff 2012 als Mitbegründer zu ownCloud wechselte, konnte er auf über 19 Jahre Erfahrung beim deutschen Open-Source-Pionierprojekt SUSE zurückblicken, wo er in wechselnden leitenden Funktionen in Deutschland und den USA tätig war. Holger Dyroff ist außerdem Mitglied des erweiterten Vorstands der Open Source Business Alliance, der größten Open-Source-Interessensvertretung in Zentraleuropa.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46043354 / Compliance und Datenschutz )