Freitag, 29. März 2013

Die Cloud Falle

Je mehr ich mich mit Datenschutz und Cloud-Diensten beschäftige, desto öfter komme ich zu der Erkenntnis, dass es viel Unwissenheit bei Anwendern in dem Bereich gibt und Anbieter von Cloud-Diensten gerade die besonderen deutschen Regelungen im Datenschutz ausblenden, ignorieren oder versuchen sie geschmeidig zu umschiffen und darauf hoffen, dass diese Fragen nicht zu schnell vor einem deutschen Gericht mal geklärt werden.

Beim Linux Magazin bin ich auf einen interessanten Artikel gestossen der gut in die Thematik passt.

Es gibt so viele Dienste die bewusst oder unbewusst genutzt werden als private Person und dann, weil man es komfortabel/praktisch findet auch im täglichen beruflichen Leben. Mir fallen da auf Anhieb LIVE Konto Dienste bei Microsoft und Office365, iCloud bei Apple, Dropbox, Facebook, Wunderlist, Google Dienste usw. ein.

Mit meinem Kollegen aus der Datenschutz Abteilung BerIsDa von RVC habe ich dazu schon viele Gedanken ausgetauscht. Im speziellen war es sehr interessant für mich in dem Austausch herauszufinden, was technisch machbar ist, was Anbieter versprechen und wie sie sich positionieren und was hart im deutschen Gesetzestext steht und was dadurch bindend wird.

Eines der Ergebnisse habe ich mir anhand eines datenschutzrechtlichen Positionspapieres zu Microsoft Office365 anschauen können. Ich werde mal empfehlen das Dokument auf die BerIsDa Internetseite zu stellen. Denn da sind auf jeden Fall Punkte drin, die ein Entscheider bedenken muss bevor er vertragliche Dinge festmacht, die Konsequenzen für eigene Unternehmen bedeuten könnten.

Was mich persönlich ja schon sehr interessieren würde ist folgendes: Gibt es schon Fälle wo Firmen verklagt wurden weil der eine Vertrag oder Information bei einem Cloud Dienstleister gelandet sind wo sie nicht hätten landen dürfen nach dem deutschen Gesetz? Müssen Firmen eigentlich Risiko-Rückstellungen bilden, wenn Sie Cloud-Dienste nutzen? Gibt es Versicherungen, die mich als Firma oder Privatperson schützen, wenn ich Schindluder mit mir anvertrauten Daten getrieben habe in dem ich Sie bspw. bei einem Cloud-Anbieter abgelegt habe wo ich es nicht hätte tun dürfen?

Gibt es Rechtsanwälte und Datenschützer unter meinen Lesern? Wie würde man das behandeln?
Das wäre vielleicht mal ein gutes Thema für einen Zeitsprung Stammtisch Abend.

Zum einen mache ich Verträge mit Firmen unterschreibe vielleicht auch Non Disclosure Agreements (NDA) und andererseits nutze ich dann Cloud Dienste der Bequemlichkeit wegen, die mich möglicherweise in Konflikt mit meinem Vertragspartner und dem deutschen Recht bringen.

Meiner Meinung nach gibt es bestimmt viele die sich hierüber wenig Gedanken machen, wie ich persönlich auch schon erlebt habe.

Was bedeutet das aber dann für mich, mein Geschäft, meine Geschäftspartner und Kunden?
Das ist die Seite mit der sich ein verantwortungsvoller Unternehmer meiner Ansicht nach beschäftigen muss. Was ist aber bspw. mit einem anderen Berufsstand in Deutschland - dem Politiker?

Wie man immer liest gibt es im Deutschen Bundestag viele die mit iPhone und iPad oder anderen Gadgets durch die Gänge des hohen Hauses laufen. Nun liest man viel, dass Bundestagsabgeordnete oder ihre Mitarbeiter twittern und bloggen und sicher auch noch andere Dienste der schönen neuen Shareconomy-Welt nutzen. Das wurde ja auf der diesjährigen CeBIT als Hauptthema auch hochgehalten und ich bin sicher das es einige gibt die sich hip dabei fühlen zu sharen und cloudbasierte Dienstleistungen (bspw. Dropbox für den Datenaustausch Abgeordneter und Mitarbeiter) zu nutzen.

Was ist aber wenn diese ihre Kontakte ihre Daten oder noch schlimmer vertrauliche Informationen von Wählern durch pures Unwissen in ihre iCloud, Dropbox & Co. Dienste hochladen, sich dabei gut fühlen und locker flockig mal so Daten die ihnen anvertraut wurden auf Server bringen, die nicht mehr in Deutschland oder Europa sind oder auf die Dritte ohne das man es beeinflussen kann oder mitbekommt zugreifen können?

Gibt es vielleicht eine IT-Richtlinie an die jeder Bundestagsabgeordnete sich halten muss? Gibt es einen digitalen Workflow der für Schreiben genutzt wird? Wie sieht es mit Dokumenten oder vertraulichen Dokumenten oder Verschlusssachen aus, die im Büro, in der Fraktion oder in den Fachausschüssen ausgetauscht oder gelesen werden müssen? Gibt es eine einheitliche Lösung oder kann jeder tun wie er es für richtig hält? Sind bestimmte Dienste verboten oder ist jeder seines eigenen Glückes Schmied? Wie sagt der Volksmund so schön: "Unwissenheit schützt vor Strafe nicht."

Was kann man aber machen um hier verantwortungsvoll zu handeln.
Man kann sich Gedanken machen, sich mit der Themaik auseinandersetzen, Hilfe holen, wenn man es nicht versteht, prüfen ob man externe Cloud-Dienste nutzen kann und darf, einen Dienstleister nehmen der die datenschutzrechtlichen Grauzonen durch seine Dienste ausschließen kann oder vielleicht auch eine eigene Cloud aufsetzen, die man in seiner eigenen Shareconomy dann mit Rechtssicherheit verwenden kann.

Möglichkeiten und Software datenschutzrechtlich hier sauber zu werden und zu bleiben gibt es viele. Selber hier aktiv werden oder Dienstleiter nehmen der bspw. einen eigenen Microsoft Sharepoint Server oder eine eigene ownCloud für die Firma, als Freiberufler oder als Bundestagsabgeordneter betreibt.

Wichtig ist auch in welcher Rolle man Cloud-Dienste nutzt. Ist man Privatperson, ist man Unternehmer, ist man Kunde oder Lieferant oder beinhaltet man selber verschiedene Rollen? Was bei der einen Rolle erlaubt kann in der anderen Rolle verboten sein. Darf man es dann trotzdem machen? Ignoriert man es oder setzt man sich mit der Problematik auseinander? Sitzt man es aus oder stellt man sich der Verantwortung?

Meine persönliche Empfehlung ist aktuell die eigene ownCloud zu nutzen um hier selber aus der Cloud-Falle herauszukommen.