22. Juli 2011

Cloud - Datenschutz ad absurdum

Ich bin bekennender Microsoftie, sprich ich entwickele den lieben langen Tag Software mit den wirklich ausgereiften und handlichen Tools aus Redmond und bin sehr zufrieden damit, auch wenn ich mich in OpenSource-affinen Kreisen an allen Ecken und Ende dafür rechtfertigen muss.
Es gibt jedoch ein Produkt, dass Microsoft aktuell massiv bewirbt, mit dem ich einfach nicht warm werde: Windows Azure, die Microsoft Cloud Services. Die Speicherung von Daten auf zentralen Microsoft-Servern rund um die Welt. Angefangen mit der "Cloud" hat Amazon, die sich vor einigen Jahren überlegten, wie sie ihre teilweise ungenutzten Speicher-Ressourcen monetär verwerten könnten, aber Microsoft möchte daraus einen zentralen Bestandteil seiner Entwicklungsplattformen machen.

Die Vorteile liegen auf der Hand: man braucht keine eigenen Speicherlösungen mehr. Festplatten, SAN's und dergleichen sind wartungsintensiv, gerade wenn es um Hochverfügbarkeit geht. Cloud = Get rid of it ... leg Deine Daten auf unsere Server und wir kümmern uns um die lästige Infrastruktur, damit Du Dich auf die Lösung Deines Problems konzentrieren kannst.
Das ist nett und gar nicht mal so teuer ... hat aber einen entscheidenden Haken: man verkauft nicht nur sein Tafelsilber, sondern man gibt es kostenlos aus der Hand.

Wie oft habe ich aus der Branche schon gehört: "Der Cloud-Markt wächst", "Der Cloud gehört die
Zukunft", "eigene Datenbank-Server sind Old-School", daß ich mich fragen muss mit welchen Scheuklappen diese Leute in der Gegend herumlaufen, bzw. ob es sie interessiert, wie in unserem Land die Datenschutzgesetze aussehen. Grob umrissen steht dort nämlich, dass personenbezogene Daten nicht in Länder übertragen werden dürfen, die minder stringente Datenschutzgesetze haben. Und bei den derzeit herrschenden US-Gesetzen ist dies derzeit der Fall.

Nun kann man argumentieren, dass viele amerikanische Cloud-Anbieter, so auch Microsoft, Server in Europa betreiben, aber das ist kurzsichtig, denn ein Betreiber ist immer noch den Gesetzen seines Landes unterworfen, auch wenn er global tätig ist. So greift bei US-amerikanischen Unternehmen immer der USA Patriot Act, ein m.E. ziemlich übles Machwerk aus den Zeiten von George W. Bush, dass die Bürgerrechte der Amerikaner bis zur Unkenntlichkeit verstümmelt. So sind Überwachungen, Durchsuchungen und andere staatliche Instrumente der "Gefahrenabwehr" ohne richterlichen Beschluss möglich und liegen somit im Ermessen der Behörden ... NSA, CIA, FBI und wie die alle heißen.

Gordon Frazer, seines Zeichens Microsoft Managing Director UK, hat bei der kürzlich abgehaltenen Präsentation des neuen Cloud-basierten Microsoft-Dienstes Office 365, zugeben müssen, dass man die Vertraulichkeit der anvertrauten Daten nicht gewährleisten könne, den man unterliege eben diesem Patriot Act. Sollte Zugriffe durch amerikanische Behörden stattfinden, würde man aber die Kunden informieren, sofern das möglich sei.

Der letzte Satz ist das I-Tüpfelchen, denn der Patriot Act sieht durch das Instrument des US National Security Letters auch das Verdonnern einer Schweigepflicht vor, sprich: Daten her und Maul halten.

Das unrühmliche Fazit muss also lauten: Cloud-Dienste amerikanischer Unternehmen sind generell eine Einladung an alle US-Sicherheitsbehörden sich doch bitte zu bedienen und sollte auch nur ein Datensatz dabei sein, der im entferntesten personenbezogen sein könnte, bekommt man es auch noch mit der deutschen Justiz zu tun.
Ich kann mit zwar gut vorstellen, dass vielen bei Microsoft dieser Umstand nicht sonderlich gefällt, aber es hinterlässt halt einen schalten Beigeschmack derart massiv mit einem Produkt zu werben, dass mit Datenschutz so gar nichts am Hut hat, weil die staatlichen Repressalien ... äh Gesetze ... sind wie sie sind.