In Zukunft liegen alle privaten Daten in der Wolke

Jörg-Alexander Paul

In der Frankfurter Allgemeinen Sonntagszeitung war am 28. Februar 2010 ein sehr interessanter Artikel von David Gelernter unter dem Titel “Die Zukunft des Internet” zu lesen. Eine seiner Thesen (9) lautet, dass wir in Zukunft alle unsere persönlichen Informationen in der Wolke, “auf namenlosen Servern irgendwo da draußen im Netz” speichern. Alle unsere privaten Endgeräte würden nur noch bei Bedarf aus dem Netz befüttert, Änderungen an unseren Dokumenten unmittelbar in der Wolke mitvollzogen. Das Original sei das in der Wolke Gespeicherte. Zum Datenschutz und zur Datensicherheit meint Herr Gelernter: “die Wolke wird drauf aufpassen, dass unsere Informationen sicher verschlüsselt, verbreitet und aufbewahrt werden.” – Eine optimistische These! Aber ist das angesichts der heterogenen Rechtsordnungen und des Fehlens eines Welt-Rechts nur eine Utopie?

Im Januar übte Microsofts General Counsel, Brad Smith, in seinem Vortrag “Technology Leadership in the 21st Century” passend zu dem Thema harsche Kritik am europäischen Datenschutzrecht. Es sei auf dem Stand der 1990er Jahre und damit veraltet. Außerdem führten die vielfältigen Freiheiten der einzelnen Mitgliedstaaten zu Unterschieden in Umsetzung und Anwendung des europäischen Datenschutzrechtes und damit zur Rechtsunsicherheit. Brad Smith wartet für Microsoft mit einer durchaus lesenswerten Empfehlung (.pdf) an die europäische Industrie und den europäischen Gesetzgeber für Maßnahmen zur “Ernte” der Vorteile des Cloud Computings auf. Dabei setzt Microsoft u.a. auf Selbstregulierung, Popularklagen zur zivilrechtlichen Verfolgung auch von Verstößen gegen den Datenschutz und auf multilaterale Verträge zur Durchsetzung von Rechtsansprüchen.

Den in der Empfehlung angestellten Überlegungen ist in verschiedener Hinsicht beizupflichten. Das europäische Datenschutzrecht ist derzeit ein großes Hindernis für die Entwicklung einer globalen öffentlichen, also für jedermann sowohl auf Anbieter- als auch auf Kundenseite zugänglichen Wolke (global “Public Cloud”). In einer “Public Cloud” wird sich ein mit europäischem Datenschutzrecht vergleichbares Schutzniveau im Moment – jedenfalls nach dem traditionellen Verständnis vieler Datenschutzbehörden – kaum herstellen lassen. Verbindliche Unternehmensregelungen (“Binding Corporate Rules”) oder die Vereinbarung der EU Model Clauses werden angesichts der Vielzahl der Anbieter von Leistungen in der Wolke und deren Anonymität in einer Public Cloud oftmals nicht verlässlich vereinbart werden können. Safe Harbour wiederum wäre nur für amerikanische Unternehmen zugänglich. Auch eine Einwilligung ist problematisch, da die Einwilligung notwendigerweise völlig unbestimmt bliebe.

Der einzige zielführende Weg zu Rechtssicherheit und Praktikabilität, sofern denn ein solches gemeinsames Ziel überhaupt besteht, dürfte deshalb ein globales oder wenigstens nahezu globales Datensch…