Workshop Nachbericht: »Cloud Computing and the EU Draft General Data Protection Regulation«
Im Vorfeld des gerade stattfindenden 87. Meetings der Internet Engineering Task Force (IETF) kamen am 26. Juli 2013 etwa 30 Juristen, Informatiker und Sozialwissenschaftler zum interdisziplinären Workshop »Cloud Computing and the EU Draft General Data Protection Regulation. Standards, Design Considerations, and Operations Recommendations for Privacy-friendly Cloud Computing« in den Räumen der Humboldt-Universität zu Berlin (HU) zusammen. Organisiert vom Alexander von Humboldt Institut für Internet und Gesellschaft (HIIG), der HU und Cisco als Teil des Projektes »Global Privacy Governance« sollte es darum gehen, ein gemeinsames, disziplinübergreifendes Verständnis von Privacy und Datenschutz zu erlangen, vor allem im Hinblick auf das Verhältnis von rechtlichen Anforderungen zu technischen Umsetzungsmöglichkeiten. Ziel des Workshops war es, für den Bereich des Cloud Computing eine Reihe konkreter Anforderungen an »Operational Privacy« zu formulieren.
1. Session: Nicolas Dubois und Caspar Bowden
In der ersten Session des Workshops stellte Nicolas Dubois von der EU-Kommission deren Vorstellungen zur Reform des europäischen Datenschutzes vor: Auf der Basis der Grundrechte-Charta soll der Datenschutz modernisiert werden, um den Herausforderungen der technischen Entwicklung gerecht zu werden. Neben der Einführung von Privacy by Design und Privacy by Default in die Datenschutzgrundverordnung seien vor allem die Überarbeitungen der Pflichten der Datenverarbeiter zum Risikomanagement hervorzuheben sowie die Pflicht zur Einbindung von Standardvertragsklauseln zum Datenschutz und die Unterstützung von Binding Corporate Rules (BCR). Caspar Bowden, früherer Privacy-Berater von Microsoft Europa, kritisierte fundiert die bisherige Ignoranz der europäischen Institutionen gegenüber den seit langem – zumindest grundsätzlich – bekannten geheimdienstlichen Überwachungsmaßnahmen und zeigte, dass europäische Bürger und Organisationen solchen Maßnahmen etwa nach dem US Foreign Intelligence Surveillance Act (FISA) schutzlos ausgeliefert sind. Statt ihre Bürger zu schützen, würden sowohl europäische Staaten als auch die EU-Kommission einseitig Industrieinteressen vertreten, vor allem diejenigen US-amerikanischer Cloud-Anbieter. Notwendig sei daher mindestens der Aufbau einer eigenen europäischen Cloud-Infrastruktur.
Die anschließende Diskussion drehte sich dann vor allem um die Möglichkeiten und Grenzen rechtlicher Regelungen, sowie um den Zeitfaktor: Wie lange braucht der Aufbau einer eigenen Cloud-Infrastruktur? Für welchen Zeitraum sind verschlüsselte Daten sicher? Wie lange werden Daten auf Vorrat gespeichert?
2. Session: Alexander Dix und Alissa Cooper
Die zweite Session eröffnete der Berliner Beauftragte für Datenschutz und Informationsfreiheit Alexander Dix mit einem Vortrag über rechtliche Anforderungen an die technische Standardisierung, bei der es bisher vor allem darum gehe, dass Datenverarbeiter sich selbst Standards setzen könnten. Dieses Vorgehen führe zu einer Senkung des Schutzniveaus und müsse überwunden werden. Dix forderte außerdem ein internationales Abkommen darüber, was Geheimdienste im Internet dürften und was nicht. Abschließend verwies er auf den Beschluss der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 24. Juli 2013, wonach keine neuen Datentransfers in die USA unter dem Safe-Harbor-Abkommen zugelassen werden sollen. Alissa Cooper vom Center of Democracy and Technology präsentierte anschließend den kurz vor dem Workshop fertig gestellten RFC 6973 »Privacy Considerations for Internet Protocols«. Auf der Basis der Ziele der IETF, technische Protokolle für die Internetkommunikation zu entwickeln, verwies sie zu Beginn auf den sehr beschränkten Ausschnitt, dem sich eine Privacy-Betrachtung im Rahmen der IETF nur widmen könne: Datenschutz sei in erster Linie ein politisches Problem, während sich das IETF nur mit technischen Fragen beschäftige.
In der anschließenden Diskussion stand vor allem die Frage im Mittelpunkt, wer was wie im Hinblick auf Privacy und Datenschutz standardisieren soll. Allgemein wurde festgestellt, dass das Thema inzwischen auch im Fokus der Techniker stehe, die nicht mehr nur Sicherheitsfragen diskutieren würden.
3. Session: Fred Baker, Gunter Van de Velde und Jörg Pohle
Fred Baker, Cisco-Fellow und früherer IETF-Vorsitzender, eröffnete die dritte Session mit einem Ausblick auf Anforderungen an »Operational Privacy« für das Internet. Von den von Baker identifizierten Privacy-Bedrohungen – was Menschen selbst über sich verbreiten und was sich aus ihrem Verhalten und ihrer Verbindung zu anderen Menschen ablesen lasse – sei die zweite die gefährlichere. Ziel der Technikentwicklung sei daher, den Betroffenen Wahlmöglichkeiten an die Hand zu geben, die auch verständlich seien und ihnen die Entscheidung für oder gegen eine Datenweitergabe zu erleichtern. Als Vorsitzender der »Operational Security Working Group« der IETF umriss Gunter Van de Velde den Auftrag der Arbeitsgruppe und verwies darauf, dass aus seiner Sicht der vorgelegte Entwurf für einen RFC weniger eine Dokumentation von Best Current Practices beinhalte, als vielmehr eine Problemanalyse – ein »Taxonomy and Problem Statement« – darstelle. Der Entwurf selbst wurde dann vom Autor dieses Nachberichts, Jörg Pohle vom HIIG, vorgestellt, der vor allem auf die Orientierung an Datenschutz-Schutzzielen verwies.
In der Diskussion ging es dann vor allem um das Verhältnis zwischen Recht und Technik bei der Umsetzung von Privacy- und Datenschutzanforderungen sowie um besonders wichtige Einzelforderungen, wie die nach einer unabhängigen Aufsichtsstruktur.
Eine Aussicht auf Operational Privacy
Das hoch gesteckte Ziel des Workshops, für den Bereich des Cloud Computing konkrete Anforderungen an »Operational Privacy« zu formulieren, wurde zwar nicht erreicht, aber der Workshop kann dennoch als erfolgreich bewertet werden: Zum einen ist es gelungen, ein gemeinsames Problemverständnis zu erlangen. Zum anderen bieten die geleisteten Vorarbeiten sowie die Ergebnisse der Diskussion im Workshop eine sinnvolle Grundlage für die Formulierung eines »Taxonomy and Problem Statement« zu »Operational Privacy«, das dann im Rahmen »Operational Security Working Group« der IETF verabschiedet werden kann, um am Ende vielleicht selbst wieder ein Best-Current-Practices-Dokument nach sich zu ziehen.
Weitere Ausschreibungen
Nicht dein Traumjob? Hier ist eine Übersicht unserer offenen Stellen, unserem Fellowship, sowie unserem Gastforscherprogramm.