Ist die Cloud böse?

Wolken
Wolken

So fragt Stefan Lesting in einem Blogpost auf Frisch Fischen. Natürlich nicht, die Beispiele, die er jedoch für den Umgang mit der Cloud bringt, zeigen, wie schwer sich die Kirche(n) mit dem Datenspeichern im Netz tut/tun. Diese Skepsis scheinen Protestanten und Katholiken in ökumenischer Verbundenheit zu teilen. So schreibt Lesting:

Sind Clouds eigentlich böse oder sollten wir den Mehrwert, den sie bieten nutzen? Aktuell tauchen immer wieder Anfragen von kirchlichen Angestellten auf, welche Alternativen es zu Software und Lösungen gibt, die ab sofort nur noch in der Cloud-Variante verfügbar sind. Insbesondere stellt sich zum Beispiel die Frage, ob es zu den Adobe Produkten, wie InDesign, Photoshop oder Premiere gute Alternativen gibt, da die Datenschutzbeauftragten oder EDV-Verantwortlichen sich gegen den Einsatz von Cloud-basierter Software ausgesprochen haben.

Zunächst: die Cloud ist so gut oder so böse wie ein Messer oder ein Auto, man sie recht gebrauchen oder aber missbrauchen, aber auch hier gilt der Grundsatz: abusus non tollit usum. Nur weil die Cloud auch missbraucht werden kann, darf man sie nicht verbieten.
Problematisch ist, wenn personenbezogene Daten in der Cloud gespeichert werden sollen. Eine Indesign- oder Photoshop-Datei enthalten aber Daten, die nicht personenbezogen sind, in aller Regel Content, der veröffentlicht werden soll und für den es somit kein Schutzinteresse gibt (außer vielleicht das Einhalten einer Sperrfrist). Als nicht personenbezogene Daten fallen diese auch nicht unter das Datenschutzgesetz, somit ist auch kein Vertrag zur Auftragsdatenverarbeitung zu schließen. Dies macht die Nutzung von Cloud-Diensten einfacher, dann geht es nämlich nicht um Datenschutz, sondern Datensicherheit.
Lesting schreibt weiter:

Es bedarf konkreter Absprachen zwischen den Menschen, wie die Cloud genutzt wird: So finde ich zum Beispiel, dass in die Cloud aktuell keine vertraulichen personenbezogene Daten oder aber Kontodaten etc. hingehören. Alle anderen Daten wegen meiner schon.

Hier macht er es sich etwas zu einfach: Wenn personenbezogene Daten verarbeitet werden – dazu zählt auch speichern – greift (für die evangelische Kirche) das EKD-Datenschutzgesetz und dann geht nichts ohne Aufragsdatenverarbeitung. Punkt.
Persönlich nutze ich Dropbox, aber für Dokumente, die keine personenbezogenen Daten enthalten. Die Präsentation, die ich halten werde und deren Link ich twittern werde, kann vom Desktop über Dropbox mit Smartphone oder Tablet synchronisiert werden. Falls ich das Ladekabel meines Notebooks vergesse (ist mir schon passiert), dann habe ich zumindest noch übers Web Zugriff. Dropbox (0der andere Dienste) kann das Leben erleichtern, man muss aber wissen, unter welchen Bedingungen man diese Vereinfachungen nutzen kann und in welchen Situation dies nicht statthaft ist..
Die Tendenz geht natürlich dahin, Services in der Cloud zu nutzen, dies muss aber datenschutzkonform geschehen. Presbyteriumsprotokolle oder Listen von Chormitgliedern gehören nicht in die Dropbox oder nach GoogleDrive, da steht kirchliches Datenschutzrecht vor.

Datenschutz und Privatsphäre

Eine wichtige Unterscheidung ist die zwischen Datenschutz und -sicherheit, im Englischen zwischen data protection und security. Die Europäische Union versteht unter Datenschutz „insbesondere den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung personenbezogener Daten“ (Art. 1 Abs. 1 Richtlinie 95/46/EG) Nur eine Anmerkung am Rande, im englisch-sprachigen Wikipedia-Artikel zur selben Data Protection Directive wird als erstes von „privacy“ gesprochen. Data protection ist eher die kontinental-europäische Sichtweise, während privacy eher dem angelsächsichen Rechtssystem zu entsprechen scheint. (Disclaimer: dies ist nur mein persönlicher Eindruck, aber nicht Ergebnis juristischen Wissens.)  Stimmt diese Beobachtung, dann geht es beim Datenschutz um den Schutz der Privatsphäre. So verstanden kann sich Datenschutz auch nur auf personenbezogene Daten beziehen.
Ähnlich auch im katholischen Datenschutzrecht, allerdings dann nicht Englisch, sondern Lateinisch:

Nemini licet bonam famam, qua quis gaudet, illegitime laedere, nec ius cuiusque personae adpropriam intimitatem tuendam violare.

(Niemandem ist es erlaubt, den guten Ruf, den jemand hat, rechtswidrig zu schädigen unddas Recht irgendeiner Person auf Schutz der eigenen Intimsphäre zu verletzen.) can. 220 CIC

 Datenschutz und Datensicherheit

Datenschutz als Ausdruck der informationelle Selbstbestimmung bzw. als Schutz der Privatsphäre kann nur personenbezogenen Daten zukommen. Nicht-personenbezogene Daten unterliegen der Vertraulichkeit, sofern sie keine öffentlichen Daten sind.  Als Informationssicherheit wird daher die Eigenschaften von informationsverarbeitenden bezeichnet, die die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen, so soll der Schutz vor Gefahren bzw. Bedrohungen, die Vermeidung wirtschaftlicher Schäden und die Minimierung von Risiken umgesetzt werden. Solche Security soll durch einen IT-Grundschutz garantiert werden. Die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelten BSI-Standards sollen dies gewährleisten. Ein Diskussionspunkt – gerade auch innerhalb der Kirche ist – , ob diese BSI-Standards für alle Informationsverarbeitenden Systeme gelten müssen oder ob es nicht sinnvoll wäre, zwischen verschiedenen Systemen zu differenzieren. Müssen für ein Web Content Management System die selben Schutzvorschriften gelten wie für die Verarbeitung von Meldewesen-Daten? Hier meine ich, müsste esmöglich sein zu differenzieren.
Wenn wir über nicht-personenbezogene Daten reden, die nicht der Vertraulichkeit unterliegen, kommen im Sinne der IT-Sicherheit als Schutzziele nur  Verfügbarkeit und Integrität in Frage – diese dürften Dienste wie Dropbox und GoogleDrive in höherem Maße gewährleisten als selbstaufgesetzte Cloud-Dienste.
Daher habe ich bei Produkten wie InDesign, Photoshop oder Premiere keine Bedenken, entsprechende Cloud-Dienste zu nutzen.
Handelt es sich dagegen um personenbezogene Daten, die verarbeitet werden sollen, darf man natürlich nicht auf Dropbox oder Ähnliches zurückgreifen. Da das Arbeiten in der Cloud aber vieles vereinfacht, sind die Landeskirchen und Bistümer gefragt, Löungen den Gemeinden anzubieten, die datenschutzkonform dies ermöglichen. So auch der IT-Beschluss der rheinischen Landessynode zu Beginn dieses Jahres, der Dropbox-Funktionaitäten in der beschlossenen IT-Strategie vorsieht.

Autor:in


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.