Unternehmen nicht für alles haftbar machen
Heckmann zeigte sich skeptisch hinsichtlich der Möglichkeiten, Unternehmen dazu zu verpflichten, sichere Systeme zur implementieren. Man könne zwar die Produkthaftung entsprechend definieren, die Problematik würde sich damit aber auf andere Ebenen verschieben, beispielsweise auf die Nachweisbarkeit von Fehlern. Im Übrigen seien IT-Systeme sehr komplex und die Innovationszyklen auf Grund des Marktdrucks sehr kurz. Der Ruf nach zusätzlichen Regulationsmechanismen gehe daher an der Sache vorbei, meinte Heckmann. Wichtig sei vielmehr, dass die Akteure in den komplexen Umgebungen mit ausreichendem Know-how ausgestattet sind. Darüber hinaus könne man mit flankierenden Maßnahmen "Stellschrauben" verändern und beispielsweise in sozialen Netzen Standard-Einstellungen vorgeben, die die Privatsphäre besser berücksichtigen.
Herausforderung Cloud Computing
Ein zentrales Thema des Gesprächs war das Cloud Computing, über das in den vergangenen Monaten in Verbindung mit IT-Sicherheit in der Öffentlichkeit viel diskutiert worden ist. Balboni vertrat in dem Gespräch die Ansicht, dass das Problem nicht die unzureichenden rechtlichen Vorgaben seien. Es sei klar definiert, dass die Vorschriften des Landes gelten, in dem der jeweilige Auftraggeber ansässig sei. Die Problematik bestünde vielmehr darin, dass es in 27 EU-Ländern auch 27 unterschiedliche Vorschriften bezüglich des Datenschutzes gebe. Hier seien eine Harmonisierung und ein Cloud-Framework auf europäischer Basis dringend notwendig, was auch einen Rahmen für die Durchführung von verlässlichen Audits schaffen könne. Der Experte aus Brüssel ergänzte, dass es eine Illusion sei, zu meinen, dass Cloud-Kunden eigene Vorstellungen oder Anforderungen hinsichtlich der IT-Sicherheit in Vertragsverhandlungen gegenüber Providern durchsetzen könnten. Dies sei im Geschäftsmodell des Cloud Computing, das auf standardisieren Prozessen aufbaue, nicht vorgesehen.
Auch Müller-Maguhn betonte, dass die Anbieter von Cloud Computing den jeweiligen Gesetzen ihrer Länder unterlägen; er rechne daher in Zukunft mit strittigen Fällen wegen der in den USA und Europa unterschiedlichen Vorstellungen über die Handhabung von Daten. Das CCC-Vorstandsmitglied bezweifelte allerdings aufgrund des Kostenaspekts ebenfalls, dass es möglich sei, Sicherheitsfragen des Cloud Computing per SLAs zwischen Cloud-Anbietern und -Kunden individuell zu regeln. Es werde aber zu entsprechenden Differenzierungen der Anbieter kommen, also Anbieter geben, die über Zertifizierungen zum Datenschutz verfügten und solche, bei denen ein hohes Schutzniveau einfach nicht erwartet werden könne.