Frage an Stefan Urbat von Frank K. bezüglich Wirtschaft
Sehr geehrte Herr Urbat,
als Stuttgarter, Open Source Entwickler und Gründer eines Startup
Unternehmens hab ich mehrere Fragen zum Thema Freie Software und Cloud
Computing. Seit einigen Jahren ist ein Trend zu beobachten dass immer mehr Daten von
Privatpersonen, Institutionen und Unternehmen auf sogenante Cloud Services
im Internet abgelegt werden. Diese Daten liegen oft ausserhalb der
Gültigkeit des deutschen Datenschutzgesetzes. Für Unternehmen und Bürger
ist meistens undurchsichtig wer heute und zukünftig Zugriff auf diese
personenbezogenen Daten hat. Die meisten dieser Cloud Services basieren
nicht auf freier Software so dass der Benutzer nicht weiss was mit seinen
eigenen Daten passiert.
Auch Unternehmen speichern zunehmen eigene geschäftskritische Daten oder
Daten Ihrer Kunden ausserhalb Deutschlands auf proprietären Cloud
Services.
Das Problem wird unter anderem in folgenden Artikeln thematisiert:
http://www.welt.de/wirtschaft/webwelt/article12680570/Beim-Cloud-Computing-drohen-gefaehrliche-Luecken.html
http://www.it-business.de/news/recht/vorschriften-regulierungen/compliance/articles/253091/
http://www.computerwoche.de/management/cloud-computing/2366037/
- Wie beurteilen Sie diese Entwicklung und sehen sie die Notwendigkeit zu einer gesetzlichen Regulierung?
- Welche Massnahmen möchten Sie ergreifen um Freie Software und Private Cloud Services in Deutschland und speziell Baden-Württemberg zu fördern?
- Sind Sie der Ansicht dass das deutsche Datenschutzgesetz auch europaweit oder weltweit anwendung finden sollte?
- Beabsichtigen Sie die Gründung von Startup Unternehmen in Baden-Württemberg zu fördern die sich für freie Software und freie Cloud Dienste einsetzen?
mit freundlichen Grüssen
Frank Karlitschek
Geschäftsführer hive01 gmbh
Vorstand KDE e.V.
Sehr geehrter Herr Karlitschek,
- Seit einigen Jahren ist ein Trend zu beobachten dass immer mehr Daten von Privatpersonen, Institutionen und Unternehmen auf sogenante Cloud Services im Internet abgelegt werden. Diese Daten liegen oft ausserhalb der Gültigkeit des deutschen Datenschutzgesetzes. Für Unternehmen und Bürger ist meistens undurchsichtig wer heute und zukünftig Zugriff auf diese personenbezogenen Daten hat. Die meisten dieser Cloud Services basieren nicht auf freier Software so dass der Benutzer nicht weiss was mit seinen eigenen Daten passiert.
Das ist völlig richtig, und war z.B. in der IT-Firma, in der ich arbeite, letztes Jahr auch schon Thema in einer recht offiziellen internen Diskussionsrunde. Da ich dort betrieblicher Datenschutzbeauftragter bin, war dies für mich auch besonders wichtig.
Auch Unternehmen speichern zunehmen eigene geschäftskritische Daten oder Daten Ihrer Kunden ausserhalb Deutschlands auf proprietären Cloud Services.
Das tun sie oft aus (vordergründigen, nicht zwingend stichhaltigen) Rationalisierungs- und Kostenersparnisgründen.
- Wie beurteilen Sie diese Entwicklung und sehen sie die Notwendigkeit zu einer gesetzlichen Regulierung?
Hier muss man zwei einander überschneidende Felder unterscheiden:
1. Geschäftsgeheimnisse: letztlich ist es Sache des Unternehmens, die eigenen Daten wie closed source software vor Ausspähung zu schützen. Hier gebe ich zu bedenken, dass schon das unverschlüsselte Versenden geschäftsrelevanter emails vor dem Hintergrund der systematischen Industriespionage der NSA (USA/Echolon, s. Warnung der EU-Kommission vor einigen Jahren davor) und des französischen Geheimdienstes (dort können französische Unternehmen jederzeit die Ausspähung ausländischer Konkurrenten beantragen, was ganz offen zugegeben wird) usw. sträflicher Leichtsinn ist und in der Vergangenheit schon bei der Vergabe von Aufträgen z.B. für Hochgeschwindigkeitszüge zu Nachteilen für deutsche Anbieter geführt hat (Ausschreibung mit TGV/FR und ICE/D). Natürlich verschärft eine undurchsichtige Ablage von Geschäftsdaten in irgendwelchen (international) verteilten Systemen das Problem noch, da dort schon unklar ist, wer evtl. Daten abfängt bzw. mitspeichert.
2. Datenschutz: hier sind vier verschiedene Schutzzonen zu unterscheiden:
a) Deutschland, hier gilt das Bundesdatenschutzgesetz (BDSG), es gibt jedoch m.W. nur einen Anbieter hier in Deutschland für solche Dienste (Stand 2010). Wenn der Anbieter konform handelt, gibt es hier kein Problem, speichert er Daten seiner Kunden, dann betreibt er Auftragsdatenverarbeitung für diesen und muss speziell darüber eine Erklärung abgeben (Verpflichtung für Auftragnehmerdatenverarbeitung, Einhaltung des BDSG dafür).
b) EU (aber nicht Deutschland): hier geht man generell von vergleichbarem Schutzniveau aufgrund EU-weit gültiger Richtlinien aus. Zwar wird die Verfolgung etwaiger Verstöße komplizierter, bleibt aber grundsätzlich möglich auf praktisch identischer Rechtsgrundlage.
c) Drittländer mit vergleichbarem Datenschutzniveau wie in der EU, Beispiel Schweiz. Hier muss und kann ein passendes Datenschutzniveau per Vertrag zwischen den Beteiligten hergestellt werden.
d) Drittländer (auch wie c) nicht in der EU) ohne adäquates Schutzniveau, Beispiel USA, wo auch das sogenannte safe-harbor-Abkommen mittlerweile als gescheitert und damit praktisch wertlos gilt. Hier muss generell von der Nutzung solcher Dienste für personenbezogene Daten konsequent abgeraten werden. - Leider haben die meisten Cloud-Anbieter ihren Sitz in den USA und die meisten anderen auch eine mindestens teilweise Datenhaltung in den USA.
- Welche Massnahmen möchten Sie ergreifen um Freie Software und Private Cloud Services in Deutschland und speziell Baden-Württemberg zu fördern?
Zunächst müssen Software-Patente verhindert werden, die für Freie Software immer ein Problem darstellen. - Das ist allerdings derzeit fast nur noch auf EU-Ebene möglich.
Während eine Beeinflussung der Verhältnisse in der Privatwirtschaft schwierig ist und allenfalls indirekt durch Anreize erfolgen kann, können Verwaltungen auf die Nutzung freier Software verpflichtet werden, jedenfalls solange es eine Möglichkeit gibt (was heute bis auf wenige Ausnahmen stets gegeben ist). Das ist unsere bzw. meine Absicht speziell auch für Baden-Württemberg; manche andere Bundesländer bzw. Städte in diesen (Beispiel München) sind da schon weiter.
Sollte eine Verwaltung den Einsatz eines Cloud Services erwägen, dann könnte man das analog regeln.
Die Förderung von Cloud Services im Inland, speziell in Baden-Württemberg, bedarf m.E. einer Reihe von Maßnahmen:
1. Rechtssicherheit / klare Einrahmung im BDSG
2. Kredite für die doch recht hohen Anfangsinvestitionen, das wäre eine sinnvolle Aufgabe für die Landesbank BW - die Mikrokredite einer GLS z.B. reichen für solche Vorhaben nicht mehr aus.
- Sind Sie der Ansicht dass das deutsche Datenschutzgesetz auch europaweit oder weltweit anwendung finden sollte?
Hier betritt man ein juristisches Minenfeld besonderer Art: während wie erwähnt die EU ein dem deutschen Recht sehr ähnliches Datenschutzniveau hat, auch von der juristischen Grundlage und Logik her, ist alles außerhalb der EU nur auf bilaterale Weise zu klären (s.o., Schweiz als Beispiel).
Man kann zudem nicht einfach inländische Vorschriften auf Firmen mit Sitz im Ausland übertragen; anders ist die Lage allerdings, wenn diese ausländischen Firmen eine in Deutschland ansässige Tochter haben, die den Service übernimmt.
Letztlich würde nur ein Weltparlament in der Lage sein, eine weltweit einheitliche Mindestregelung für den Datenschutz einzuführen, doch davon sind wir bekanntlich noch weit entfernt.
Die einzige aktuell mögliche Maßnahme bezüglich des Schutzes personenbezogener Daten bei der Auswahl eines cloud-Anbieters ist, unsichere Drittländer wie die USA zu meiden.
- Beabsichtigen Sie die Gründung von Startup Unternehmen in Baden-Württemberg zu fördern die sich für freie Software und freie Cloud Dienste einsetzen?
Das ist ein Anliegen von mir, um der üblicherweise proprietären Konkurrenz v.a. aus den USA etwas entgegenzusetzen sowohl in wirtschaftlicher wie auch in datenschutztechnischer Hinsicht. Auf diesem Gebiet ist Europa im allgemeinen und Deutschland im besonderen aufgrund der bisherigen Nicht-Patentierbarkeit von Software den USA sogar deutlich voraus, auch wenn die Wirkung des "Siemens-Urteils" des BGH noch abgewartet werden muss - letzteres bedeutete eigentlich einen Dammbruch für die Anerkennung von Softwarepatenten in Deutschland.
In der Tat bietet Open Source Software hier Vorteile, weil klar wird, wer welche Daten überhaupt erhebt und speichert. Man benötigt allerdings bei der Verarbeitung geschäftskritischer und/oder personenbezogener Daten auch beim Einsatz von Freier Software noch Prozesse im Geschäft, die für den Schutz der Daten sorgen, d.h. durch den Einsatz von Open Source Software alleine ist dieses Problem noch nicht vollständig gelöst.
Mit freundlichen Grüßen, Stefan Urbat