Der digitale Binnenmarkt

Indem sie komplexe nationale IT-Vorschriften standardisiert, handelt die EU genau richtig. Sie unterstützt europäische Unternehmen mit einem Durchbruch – denn der Zugang zu flexiblen und agilen Cloud-Technologien wird einfacher.

Auch die Initiative, sich mit nationalen Regulierungen zur Datenhoheit auseinanderzusetzen, ist lobenswert. Die komplizierten und oft unpraktischen Vorschriften der einzelnen Staaten gehen davon aus, man könne zum Schutz der Netzwerke einfach einen virtuellen Maschendrahtzaun entlang der geographischen Grenze hochziehen.

Wenn der Anspruch jedoch lediglich sein sollte, nationale Grenzen durch eine EU-weite Abgrenzung zu ersetzen, verpassen wir möglicherweise eine große Chance, mit aktuellen Entwicklungen Schritt zu halten. Was wir brauchen, ist eine Prüfung unserer Ziele in Anbetracht des technischen Fortschritts.

Ich meine, dass viele der bisherigen Vorschriften, die einen bestimmten physischen Aufenthaltsort für Daten spezifizieren und fordern, aus dem Zeitalter der toten Bäume stammen – dem Paper Age. Wir leben jedoch im Zeitalter unglaublich schneller Netzwerke, in der Zeit der Cloud-Dienste. Wir müssen diese alten Vorschriften daher fundamental überdenken.

Der Speicherort elektronischer Daten ist um ein Vielfaches komplexer als der Speicherort einer bedruckten Papierseite. Techniken wie starke Verschlüsselung, Virtualisierung und die Geschwindigkeit der Vervielfältigung und des Transports von wahren Datenmassen definieren dieses Problem radikal neu. Die Regulierung elektronischer Datentransporte stellt uns vor fundamental andere Fragen als eine Regulierung für Papierakten.

Wir müssen unser Verständnis von Informationen ändern, indem wir Abstand nehmen vom Konzept des physischen Speicherortes, und uns auf das Konzept der Datenkontrolle fokussieren. Dies wird immer schwieriger, je weiter die Technologie voranschreitet.

Standortfrage Datensalat

Ein Beispiel: Ein Datensatz wird stark verschlüsselt und die Schlüssel werden an einem anderen geographischen Ort gespeichert als der Datensatz selbst. An welchem der beiden physischen Orte befindet sich nun die Information, die im Datensatz enthalten war? An keinem. Die Informationen sind jetzt eine Kombination aus zwei Dingen, die nicht von einem Ort aus kontrolliert werden können: der verschlüsselte Datensalat und der Schlüssel, der ihn wieder lesbar macht.

Die technische Realität sieht so aus: die Kontrolle über die Schlüssel, nicht der Speicherort der Daten, ist maßgebend dafür, wer enthaltene Informationen einsehen und nutzen kann. Nach einer gewissen Zeit ist der “logische” Speicherort der Daten dort, wo die Verschlüsselung sitzt – im Gegensatz zum Konzept eines physischen Speicherortes von verschlüsselten Daten.

Regulierungen zu Datenschutz und Datensicherheit sollten sich fragen: “Wer kontrolliert den Schlüssel?” statt nur danach zu fragen, wo genau die verschlüsselte Datei liegt. Neue Ansätze im Bereich der Cloud-Sicherheit wie das Konzept der Customer Managed Keys im Zusammenspiel mit bewährten Technologien wie Information Rights Management helfen dabei, dass Besitzer ihre Daten kontrollieren können, egal wo in der Cloud sie gespeichert sind.

Brüssel sollte sich nach einer zukunftssicheren Definition von Speicherort umsehen. Am sichersten wäre es, wenn man sich am “logischen Speicherort der Daten” orientieren würde, also dem Kontrollpunkt für Verschlüsselung. Die geplante Kooperation mit Experten aus der Wirtschaft ist hier ein Schritt in die richtige Richtung.