Teilnehmer der Diskussionsrunde waren Paolo Balboni, geschäftsführender Direktor der European Privacy Association in Brüssel, der stellvertretende Bundesvorsitzende und Pressesprecher des Bundes deutscher Kriminalbeamter (BDK) Bernd Carstensen, Professor Dirk Heckmann, Inhaber des Lehrstuhls für Öffentliches Recht, Sicherheits- und Internetrecht an der Universität Passau sowie Andy Müller-Maguhn aus dem Vorstand des Chaos Computer Clubs (CCC).
Heckmann wies eingangs darauf hin, dass die überwiegende Zahl der Web-Nutzer beim Schutz ihrer Daten von der Technik einfach überfordert sei: "Wer nicht versteht, muss vertrauen." Dieses Vertrauen sei in letzter Zeit jedoch stark in Mitleidenschaft gezogen worden, sowohl durch Unternehmen aber auch durch staatliche Stellen. Nötig sei ein besseres Verständnis der im Web ablaufenden Prozesse, und dafür müsse man sich der Anstrengung des Lernens unterziehen. "Anders lassen sich die Vorteile der digitalen Welt nicht nutzen, ohne Schaden zu nehmen", so der Rechtsexperte. Dennoch kämen IT-Laien nicht ohne vertrauenswürdige Instanzen aus - wer auch immer letzten Endes diese Aufgabe übernehmen werde. Die heutige "Plug-and-Play-Gesellschaft" weise die Erwartungshaltung auf, dass technische Geräte jeder Coleur nur angeschlossen werden und sofort ohne Risiken und weitere negative Konsequenzen für den Anwender funktionieren sollten. Deshalb gelte in erster Linie der Grundsatz, dass "die Nutzer vor der IT geschützt" werden müssten.
Der Idee eines "Datenführerscheins", den das Publikum einwarf, erteilten Müller-Maguhn und Balboni eine klare Absage. Die Umsetzung sei zu komplex, es gebe kein zentrales Kontrollorgan im Netz und Sanktionen bei Verstoß gegen die "Führerscheinregeln" seien ebenfalls nicht einheitlich umzusetzen. Balboni unterstrich, dass es letztlich nur wieder auf die Selbstverpflichtung der Anbieter und eine bessere Medienkompetenz der Anwender hinauslaufen könne.
Mehr Möglichkeiten = mehr Gefahren
CCC-Vorstand Müller-Maguhn erinnerte daran, dass die Möglichkeiten für einen Missbrauch von Informationen durch die Entwicklung der vergangenen Jahre heute um ein Vielfaches höher seien als in der früheren analogen Welt, weil ganz andere Möglichkeiten für systematische Abfragen und das Herstellen von Verbindungen zwischen einzelnen Daten bestünden. Grundsätzlich seien nicht die IT selbst kritisch, sondern die von ihr unterstützten Prozesse. Vertrauen könne deshalb nicht dadurch entstehen, dass eine vertrauenswürdige Instanz eingeschaltet sei, sondern erst durch den Aufbau transparenter Prozesse. Das gelte sowohl für Unternehmen als auch für den Staat. Der Bürger müsse Einblicke haben, was mit seinen Daten geschehe. Nur auf dieser Basis könne von informationeller Selbstbestimmung geredet werden, und der Staat habe hier eine Vorbildfunktion einzunehmen.
Balboni stimmte der Bedeutung des Vertrauens bei der Sicherung der Privatsphäre grundsätzlich zu. Er vertrat dabei in einem stärker marktorientierten Ansatz die Auffassung, dass dafür keine zusätzlichen Regularien benötigt würden. Seiner Meinung nach werde die Sicherung der Privatsphäre auf Dauer zu einem Wettbewerbsfaktor werden. Wenn die Konsumenten entsprechend sensibilisiert seien, würden diejenigen Unternehmen im Vorteil sein, die Privacy auch in ihrem Geschäftsmodell berücksichtigten.
Carstensen forderte, es müsse in den wenigen Fällen, in denen eine Strafverfolgung auch im Web nötig sei, auch technische Möglichkeiten für die Behörden geben, die für eine Strafverfolgung nötigen Informationen zu erhalten.
- Datenschutz und Datensicherheit
Saugatuck hat einen Fragenkatalog zur Security im Cloud Computing zusammen gestellt, den Interessenten Ihrem potenziellen Cloud-Provider vorlegen sollten. - Fachliche Anforderungen
Wie kann der Kunde auf seine Daten zugreifen oder diese wiederherzustellen? - Fachliche Anforderungen
Wie wird Sicherung der Daten einschließlich Disaster Recovery gewährleistet? - Fachliche Anforderungen
Wie, in welchem Format und nach welchen Umständen oder Bedingungen werden bei Vertragsende die Daten des Kunden an ihn übergeben? - Die Technik für Datenschutz und -sicherheit
Sind die Rechenzentren uneingeschränkt, rund um die Uhr, physikalisch und auch nach Mehr-Personen-Prinzip gesichert? - Die Technik für Datenschutz und -sicherheit
Ist es sichergestellt, dass das Personal des Providers weder Zugang zu den Benutzerpasswörtern und Berechtigungen des Anwenders hat noch diese einsehen kann? - Die Technik für Datenschutz und -sicherheit
Werden die Vorschriften zu Passwortrichtlinien, Zugriffsbeschränkungen, Anmeldeprotokollierungen, Datenzugriffsmodellen sowie zum Feldebenenzugriff dokumentiert? - Die Technik für Datenschutz und -sicherheit
Werden alle Passwörter verschlüsselt übertragen? - Die Technik für Datenschutz und -sicherheit
Gibt es ein sicheres Session-Key-Management und besteht eine Multi-Tenant-Datenzugriffskontrolle? - Die Technik für Datenschutz und -sicherheit
Werden Sicherheitsverstöße überwacht? Werden Eindringversuche (Intrusion Detection) und sicherheitsrelevante Vorfälle (Security-Event-Management) dokumentiert? - Transaktionen im Internet
Gibt es eine 128-bit SSL-Verschlüsselung für jede Transaktion? - Transaktionen im Internet
Liegen Verisign-Zertifikate vor? - Transaktionen im Internet
Werden Perimeter und Firewalls ständig überwacht? Sind Intrusion Detection sowie vorausschauendes Log-File-Monitoring Standardverfahren? - Sicherheitsmonitoring
Werden erfolgreiche und fehlgeschlagene Logins dokumentiert? - Sicherheitsmonitoring
Werden Eindringversuche (Intrusion Detection) und sicherheitsrelevante Vorfälle (Security-Event-Management) dokumentiert? - Interoperabilität mit On-Premise-Anwendungen
Welchen Einfluss haben Security-Architekturen und -Praktiken des Cloud-Providers auf die lokalen Installationen des Anwenders? - Interoperabilität mit On-Premise-Anwendungen
Legt der Betreiber der Multi-Tenancy- und Cloud-Plattform die verwendeten Techniken und Abläufe für das Data-Partitioning offen und dokumentiert sie? - Gesetzliche Anforderungen
Ist bei Speicherung von personenbezogenen Daten außerhalb der Grenzen des Europäischen Wirtschaftsraumes ein angemessenes Schutzniveau gewährleistet, wie es das Bundesdatenschutzgesetz vorschreibt (Paragraf 4b Absatz 2 Satz 2 BDSG)? - Gesetzliche Anforderungen
Ist es sichergestellt, dass ausschließlich solche Anwender auf Anwendung und deren Daten zugreifen können, die auch dazu berechtigt sind? - Gesetzliche Anforderungen
Können personenbezogenen Daten bei der Verarbeitung, Nutzung und nach Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden? - Gesetzliche Anforderungen
Lässt sich nachträglich prüfen und feststellen, ob und von wem personenbezogene Daten in Anwendungssystemen eingegeben, verändert oder entfernt worden sind? - Gesetzliche Anforderungen
Können zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden?