Microsoft geißelt Data-Retention-Chaos
Microsoft-Chefanwalt Brad Smith hat die EU dazu aufgefordert, ihr Datenschutzrecht an die Herausforderungen des Cloud-Computing-Zeitalters anzupassen. Als Paradebeispiel für schlechte Regulierung führte Smith die Richtlinie zur Vorratsdatenspeicherung (Data-Retention) an.
Smith sprach am Dienstag auf einer Veranstaltung im Museum für Kunst und Geschichte in Brüssel über die rechtlichen Herausforderungen durch die Datenverarbeitung in großen und gut vernetzten Hochleistungsrechenzentren (Cloud-Computing). Anbieter wie Microsoft und Google setzen zunehmend auf diese Dienste, beispielsweise für ihre Webmail-Systeme und für Online-Büroanwendungen.
Ein Paradebeispiel dafür ist das geplante Chrome OS von Google, das die Nutzerdaten bei Netzverbindung permanent zwischen lokalem Rechner und Datencenter-"Wolke" synchronisiert. Dabei ist nicht immer klar, in welchem Land sich diese Daten dann eigentlich befinden. Nationales oder sogar regionales Datenschutzrecht greift hier nicht mehr.
Dass das nicht nur für die Anwender, sondern auch für die Unternehmen ein Problem darstellt, machte Smith in seinen Forderungen an die EU-Kommission deutlich: "Beim Cloud-Computing werden Daten von lokalen PCs und Servern auf Systeme verlagert, die physisch und verwaltungstechnisch von Dritten kontrolliert werden, die sich in anderen Ländern befinden können." Microsoft möchte, dass die EU für die Betreiber von Cloud-Computing-Diensten Rechtssicherheit herstellt.
Smiths Redemanuskript lag ORF.at in einer Vorabfassung vor. Die Rede ist als Video auf der Website von Microsoft abrufbar.
Kritik an Data-Retention-Chaos
Als Beispiel für misslungene Regulierung führte Smith die EU-Richtlinie zur Vorratsdatenspeicherung an. Sie verpflichtet Internet-Diensteanbieter dazu, die Verbindungsdaten und E-Mail-Verkehrsdaten ihrer Nutzer für mindestens sechs Monate zu speichern und auf Wunsch den Strafverfolgern zur Bekämpfung schwerer Straftaten zur Verfügung zu stellen.
Smith stößt sich daran, dass die Richtlinie den Mitgliedsstaaten zu viel Gestaltungsfreiheit bei der Umsetzung gelassen habe. So seien sich teilweise selbst die unterschiedlichen Behörden in den Mitgliedsstaaten selbst nicht darüber einig, wer als "Anbieter elektronischer Kommunikationsdienste" zu betrachten sei.
Außerdem seien die Fristen für die Vorratsdatenspeicherung nicht harmonisiert. Smith: "Ein Provider, der sich an die sechsmonatige Speicherfrist in einem Land hält, wird gegen die zweijährige Speicherfrist eines anderen Staates verstoßen."
Nutzerdaten unterwegs um den Globus
Smith verlangt von der EU, dass sie schleunigst klarstellen solle, welche Dienste nun die Data-Retention-Richtlinie einhalten müssten. Das sei eine Aufgabe für das im Rahmen des Telekompakets geschaffene Gremium der EU-Regulierungsbehörden (GEREK aka BEREC). Um das Problem der unterschiedlichen Speicherfristen zu lösen, schlägt Smith vor, die Fristen entweder EU-weit zu harmonisieren oder einen rechtlichen Mechanismus zur gegenseitigen Anerkennung der Speicherfristen zu schaffen, um zu verhindern, dass sich ein Anbieter strafbar macht. Die anstehenden Änderungen im Rahmen der Umsetzung des Vertrags von Lissabon und des Stockholm-Programms würden die Gelegenheit dazu bieten, die Regeln zu harmonisieren.
Weiteren Harmonisierungsbedarf sieht Smith bei Datenschutz und Transparenz. Die Industrie könne sich selbst auf einzuhaltende Transparenzregeln im Umgang mit Nutzerdaten verpflichten. Die Politik müsse allerdings die bestehenden Datenschutzregeln der EU "auf vernünftige Art und Weise" an die Anforderungen des Cloud-Computing anpassen. Der derzeitige Regulierungsrahmen der EU sei veraltet und nicht flexibel genug dafür. Vor allem sei abzusehen, dass Firmen im Zeitalter weltweit vernetzter Datenzentren immer häufiger Nutzerdaten in Länder außerhalb der EU transferieren müssten.
Maßnahmen gegen Online-Kriminalität
Auch im Sicherheitsbereich sieht Smith Handlungsbedarf. Derzeit sei es einem Anbieter von Cloud-Computing als Drittem nicht in allen EU-Mitgliedsstaaten möglich, Anzeige gegen einen Kriminellen zu erstatten, der einen Dienst eines seiner Kunden angegriffen hat.
Da die Online-Kriminellen international gut organisiert seien, müssten sich auch die Strafverfolger besser und effizienter vernetzen. Die Europäische Beweisanordnung (European Evidence Warrant, EEW) sei zur Ermittlung in Cloud-Computing-Systemen nicht geeignet. So könne die EEW nicht dazu benutzt werden, Informationen aus der Vorratsdatenspeicherung oder abgehörte Kommunikationsinhalte anzufordern.
Microsoft will, dass sich die EU um internationale Vereinbarung auch mit Drittstaaten bemüht, um Rechtssicherheit darüber herzustellen, unter welchen Umständen ein Cloud-Computing-Provider gegenüber Strafverfolgern auskunftspflichtig ist.