Überblick Recht 16. Oktober 2012 von John Weitzmann

Datenschutz und Datensicherheit in der Cloud

Bild-10413

Daten durchdringen den Alltag, sammeln sich auf Speichermedien an und werden immer einfacher durchsuchbar. Vor der Cloud macht diese Entwicklung nicht halt. Im Gegenteil: Gerade dort entstehen die größten Datensammlungen. Deshalb sind Datenschutz und Datensicherheit Themen, auf die man bei der Nutzung von Cloud-Diensten besonders achten muss.

Anbieter von Cloud-Diensten haben Zugriff auf unvorstellbar große Mengen von Dokumenten, Bildern, Videodaten und darauf bezogenen Metadaten. Viele dieser Cloud-Daten lassen sich auf irgendeine Weise einzelnen Personen zuordnen. Sind Daten einmal in der Welt und in der Cloud angekommen, ist eine wirksame Kontrolle durch Einzelpersonen nur sehr begrenzt möglich.

Ein Beispiel: Nicht nur Dokumente enthalten häufig personenbezogene Daten und Informationen, Fotos sind ebenfalls voll davon – schließlich sagt ein Bild mehr als tausend Worte. Das gilt besonders dann, wenn man die Fotos nicht nur in ihrer optischen Erscheinung meint, sondern als digitale Foto-Datei mit allerlei darin abgelegten Metadaten. Smartphone-Kameras speichern Fotos immer mit derartigen Zusatzinformationen ab. Auch Digitalkameras werden mit immer mehr Funktionen ausgestattet.

Dank eingebauter GPS-Sensoren können viele Kameras heute zusätzlich zum Zeitpunkt der Aufnahme auch ihren Ort in der Fotodatei vermerken. Auch der Name des Fotografen kann mitgespeichert werden, wenn er vorher einmal irgendwo eingegeben wurde. Nicht allen Nutzern dieser Geräte ist das immer klar. Wenn sie die Fotos dann in die Cloud verschieben, reichern sie den dortigen Datenbestand dann unbewusst um „unsichtbare“ Daten an.

Welche Datenschutz-Rechte habe ich?

Der Datenschutz nach europäischen Standards gibt Nutzern eine ganze Reihe von Rechten bezüglich der Daten, die andere über sie gesammelt haben. Dazu gehört das Recht, Auskunft über den Bestand der Daten zu verlangen. Auch Anbieter von Cloud-Diensten müssen auf Anforderung mitteilen, welche personenbezogenen Daten sie über die anfragende Person im Bestand haben. Weiter kann man verlangen, dass unrichtige Daten korrigiert werden.

Das wichtigste Recht aber ist das Recht auf Löschung von Daten, die ohne Berechtigung gesammelt wurden. Dieses Recht gilt auch, wenn eine Berechtigung inzwischen weggefallen ist oder man eine frühere Einwilligung widerrufen hat (zum Beispiel, weil man seinen Account beim betreffenden Clouddienst aufgibt).

Eine solche Einwilligung lassen sich viele Diensteanbieter im Internet neben ihren sonstigen Nutzungsbedingungen geben, bevor sie den Zugang zu ihren Diensten gewähren. Nicht selten gehen sie beim Einholen dieser Einwilligung aber eher schlampig vor. Wichtig ist, dass diese datenschutzrechtlichen Einwilligungen nur dann wirksam sind, wenn sie bewusst und separat zu sonstigen AGB erteilt werden. Außerdem muss der Diensteanbieter – vor der Entscheidung für oder gegen die Einwilligung wohlgemerkt – in einer Datenschutzerklärung genau erläutern, welche Daten er wie und wofür verarbeiten will.

An einer in dieser Weise ausreichenden Erläuterung fehlt es oft. Sie muss zudem die Information enthalten, dass der Nutzer seine Einwilligung jederzeit und ohne Begründung widerrufen kann und an wen er den Widerruf richten muss.

Wenn man zweifelhaften Datensammlern im Internet begegnet, sollte man am besten den Landesdatenschutzbeauftragten oder die lokale Verbraucherzentrale darüber informieren – gerne auch beides.

Daten anderer Personen vorsichtig behandeln

Es ist nicht verboten, persönliche Information und Daten über andere Personen für eigene, private Zwecke zu speichern. Speichert man eigene Dateien im Internet, also zum Beispiel bei Cloud-Speicherdiensten, Foto-Communities oder Office-Diensten, muss man darauf achten, dass personenbezogenen Daten und persönlichen Informationen möglichst nicht durch Unbefugte eingesehen werden können.

Wer genau auf den Speicher in der Cloud zugreifen kann, hängt von den Einstellungen des jeweiligen Ordners oder des ganzen Accounts ab. Bis auf wenige Ausnahmen können bei allen Cloud-Diensten zumindest die Betreiber immer auf die gespeicherten Daten zugreifen. Zugleich ist es bei Communities gerade Sinn der Mitgliedschaft, seine Daten (kontrolliert) für Dritte freizugeben. Dort würde übertriebenes Verstecken von Daten diesem Sinn zuwiderlaufen.

Will man nicht darauf verzichten, fremdbetriebene Cloud-Dienste zu nutzen, sollte man sich daher – nicht nur im eigenen Interesse und nicht nur aus rechtlichen Gründen – bewusst sein, dass man eine gewisse Verantwortung für die Interessen Dritter trägt, wenn Daten oder Informationen über diese Personen in den eigenen Daten enthalten sind. Das beginnt bei der Auswahl des Anbieters (ist er vertrauenswürdig? Wie sind seine Datenschutz- und Datensicherheitsregeln ausgestaltet? Ist er zertifiziert nach einem anerkannten Datenschutzstandard?) und umfasst insbesondere, dass man die Zugriffsrechte für Dritte in den persönlichen Einstellungen des Nutzer-Accounts richtig verwaltet und vertrauliche Dinge nicht für öffentlichen Zugriff freigibt.

In Deutschland wird an verschiedenen technischen und rechtlichen Lösungen gearbeitet, um die Standards von Datenschutz und Datensicherheit in der Cloud möglichst hoch zu halten. Das Bundeswirtschaftsministerium etwa betreibt dies unter dem Titel „Trusted Cloud“.

Ob sich rechtliche Probleme ergeben und was konkret passieren kann, wenn man vertrauliche Informationen anderen zugänglich macht, hängt vor allem davon ab, um welche Informationen es sich handelt. Wenn es sich um persönliche Details handelt, kann es rechtlich sogar schon problematisch sein, sie nur einer einzigen Person zugänglich zu machen. Das Recht am eigenen Bild, das Recht am gesprochenen Wort und das allgemeine Persönlichkeitsrecht schützen nämlich auch die persönlichen Daten, soweit sie die Privat- und Intimsphäre einer Person betreffen. Dafür existieren sogar besondere strafrechtliche Vorschriften. Dateien sollten daher nur dann in der Cloud gespeichert und für Dritte einsehbar gemacht werden, wenn die von den Inhalten Betroffenen ausdrücklich zugestimmt oder aller Wahrscheinlichkeit nach nichts dagegen haben.

Datenschutzstandards in Europa und anderswo

Ein Verschieben von Daten aus dem Gebiet des Europäischen Wirtschaftsraumes (EWR) in andere Länder ist Cloud-Betreibern nur mit ausdrücklicher Zustimmung der Betroffenen erlaubt. Darum steht in den Allgemeinen Geschäftsbedingungen (AGB) oder Datenschutzerklärungen vieler Cloud-Dienste, dass sich der Nutzer mit einer Verschiebung seiner Daten einverstanden erklärt.

Eine Ausnahme machen die USA, mit denen die EU eine sogenannte „Safe Harbor“-Vereinbarung geschlossen hat. Wenn US-Unternehmen sich den darin genannten Grundsätzen unterwerfen (durch eine Registrierung, was viele große Unternehmen inzwischen getan haben), dürfen Daten legal über den Atlantik wandern. Allerdings hat die US-Regierung durch ein Gesetz, den „Patriot Act“, inzwischen das Recht geschaffen, in alle Cloud-Daten von US-Unternehmen hineinschauen zu dürfen, wenn es die nationale Sicherheit erfordert. Dagegen hilft auch die Safe-Harbor-Regelung nichts.

Einige Cloud-Speicherdienste setzen von sich aus auf vollständige Verschlüsselung der Daten, andere lassen eine Verschlüsselung durch den Nutzer zu. Die frei verfügbaren Verschlüsselungsprogramme sind inzwischen ohne besondere Kenntnisse gut zu bedienen. Liegen Daten verschlüsselt in der Cloud ist nicht nur – wie bei den meisten Diensten – die Übertragung der Daten vom Nutzer zum Cloud-Speicher durch Verschlüsselung „abhörsicher“, sondern auch die Daten selbst nach ihrer Übertragung.

Wer auf Nummer sicher gehen will, was die Vertraulichkeit der eigenen Daten in der Cloud angeht, sollte einen Anbieter wählen, der eine sogenannte „Zero Knowledge Policy“ anwendet. Dann sind die Daten sogar aus Sicht des Anbieters verschlüsselt. Er kann dann zwar sehen, dass der Nutzer Daten bei ihm hinterlegt und wie viel, kann diese aber nicht öffnen und mitlesen.

Dagegen ist aus technischen Gründen bei Cloud-Applikationen, also Textverarbeitungen und anderen Büroanwendungen, die in der Cloud ablaufen, kaum eine wirksame Verschlüsselung möglich. Die damit bearbeiteten Dokumente sind allenfalls vor dem Zugriff durch andere Nutzer geschützt, nicht jedoch vor dem Betreiber des Dienstes.

Meine Lebensgeschichte in der Cloud

Wenn man einen Überblick hat, was ein Cloud-Nutzer wann, in welchem Umfang und wie lange in der Cloud speichert, kann man daraus ohne besonders hohem Aufwand Verhaltens- und Persönlichkeitsprofile erstellen. Je mehr Zusatzinformationen ein Nutzer seinen Dokumenten, Fotos und anderen Dateien mit auf den Weg in die Cloud gibt, desto geringer wird dieser Aufwand.

Mitunter kann man an öffentlich zugänglichen Nutzerprofilen bei Fotohostern schon mit einem flüchtigen Blick erkennen, wohin der Betreffende gerne in Urlaub fährt, welche Automarken er mag und ob er Familie hat oder nicht. Um das zu verhindern (oder wenigstens zu erschweren), kommen Pseudonyme ins Spiel.

Pseudonyme

Nach dem deutschen Telemediengesetz sind Anbieter von Online-Diensten generell verpflichtet, Phantasienamen zuzulassen, sprich den anonymen oder pseudonymen Zugang zu ihren Diensten zu gewähren, sofern die tatsächlichen Nutzerdaten nicht unbedingt erforderlich sind. Erforderlich können zutreffende Daten zum Beispiel für die Abrechnung von Gebühren sein, denn schließlich muss die Rechnung an die richtige Adresse geschickt beziehungsweise vom richtigen Konto abgebucht werden.

Mitunter gibt es Cloud-Dienste, die erst ab einem bestimmten Alter freigegeben sind, was eine Altersüberprüfung anhand korrekt angegebenen Geburtsdatums erfordert. Liegt kein solcher Fall vor, muss es einen pseudonymen Zugang geben – nur hält sich in der Praxis von kaum ein Anbieter daran.

Wer die eigene Persönlichkeit nicht durchleuchtet haben aber dennoch eigene Daten in der Cloud lagern und mit anderen teilen will, sollte sich dafür nach Möglichkeit ein Pseudonym zulegen, das nicht zur wirklichen Person in Beziehung gesetzt werden kann. Ganz einfach ist das nicht und es erfordert etwas technisches Know-How sowie eine konsequente Trennung der Pseudonym- von der wirklichen Persönlichkeit.

Und es hat Nachteile. Zum Beispiel lässt es sich realistisch betrachtet kaum durchhalten, in Social Networks mit seinen wirklichen Freunden und Bekannten konsequent unter falschem Namen zu kommunizieren. Früher oder später kommt es vor, dass irgendein Bekannter dann doch mal bei einem Foto einen Kommentar hinterlässt wie „Tolles Bild, Katharina“, und schon ist das Versteckspiel vorbei.

Vertragliche Verpflichtungen

Eine gesetzliche Pflicht, nur korrekte Daten anzugeben, gibt es nicht. Und ob es eine vertragliche Pflicht zu korrekten Angaben gibt, ist meistens unwichtig.

Juristisch betrachtet können Personen fast alles vertraglich vereinbaren und dadurch entsprechende vertragliche Pflichten erzeugen. Das gilt auch für eine Pflicht, dass der Nutzer bei der Registrierung für einen Cloud-Speicherdienst oder ein Social Network ausschließlich korrekte Daten anzugeben habe, wie es in Nutzungsbedingungen (auch genannt „AGB“, „ToS“ oder „EULA“) oft heißt. Die Wirkung, die dies hat, ist jedoch sehr schwach.

Bei Minderjährigen gilt die Besonderheit, dass diese ohnehin nur sehr begrenzt vertragliche Pflichten übernehmen können (siehe den iRights.info-Text „Bei Mausklick Einkauf“). Aber auch volljährige Personen werden durch den berühmten Mausklick auf „Ich akzeptiere die Nutzungsbedingungen“ oder ähnliche Mechanismen oft nicht rechtswirksam zu dem verpflichtet, was in den Allgemeinen Geschäftsbedingungen steht (dies ist eine Frage des Einzelfalls, mehr dazu im iRights.info-Text „Betrug im Internet: Vorsicht Falle“).

Selbst im ungünstigsten Falle, wenn tatsächlich eine Vertragspflicht zur Angabe korrekter Daten entstehen sollte, hat ein Verstoß kaum Folgen. Ansprüche auf Schadensersatz gegen den Nutzer lassen sich daraus nicht ableiten. Es kann allerdings einen ausreichenden Grund dafür bieten, den Account des Nutzers – mit allen Daten – zu deaktivieren oder sogar zu löschen.

Spätestens bei kostenpflichtigen Cloud-Angeboten hört das allerdings auf, denn Zahlungen können im Internet kaum anonym oder pseudonym abgewickelt werden. Dadurch erfährt der jeweilige Anbieter in der Regel unweigerlich die wahre Identität seiner Kunden.

Knifflig kann es werden, wenn man erst nach einer Weile von kostenloser auf kostenpflichtige Teilnahme an einem bestimmten Dienst umsteigt. Hat man anfangs mit einem „unberechtigten Pseudonym“ teilgenommen, also entgegen den üblichen AGB des Betreibers ausgedachte Daten angegeben, muss man diese entweder korrigieren auf die Gefahr hin, dass die früheren Falschangaben auffallen, oder einen ganz neuen Account anmelden, wobei man alle bis dahin hinterlegten Daten verliert.

Zum Thema bei iRights

Zum Thema im Internet

Was sagen Sie dazu?