Sicherheitstandards im digitalen Europa: Auf den User kommt es an

18. Mai 2018

Der Digital Single Market beruht auf Sicherheitsstandards, die von allen Menschen und Unternehmen im Cyberspace gelebt werden. Vorfälle wie die Causa Facebook belegen die Notwendigkeit von Security-Maßnahmen. Da die österreichische Regierung beschlossen hat, Unternehmen erst bei wiederholten Verletzungen des Datenschutzes zu strafen, sollte Firmen wie Facebook an erster Stelle stehen.

Sicherheitsstandards in Europa

In Europa lebt der Wille, alle Maßnahmen für einen universellen Cyberschutz zusammenzuführen. Mit der Etablierung einheitlicher Standards werden die Voraussetzung für attraktive Cloud-Märkte geschaffen, und eine stärkere Kooperation der F&I-Träger befeuert die Innovationssysteme für Cyber Security und intelligente, grenzüberschreitende Cloud-Lösungen. Die große Compliance unserer Standards mit den nachhaltigen Datenschutz-, Netz- und Informationssicherheits-Gesetzen verleiht Europa im Weltmaßstab ein wichtiges Alleinstellungsmerkmal. 

Jetzt müssen wir nur noch das schwächste Glied im Cyberspace - den einzelnen Nutzer - davon überzeugen, dass Cyber Security jeden etwas angeht. Wenn uns diese Bewusstmachung gelingt, kann dem europäischen Modell hochfunktionaler Security Standards in der Bereitstellung von Cloud-Ressourcen nichts entgegengesetzt werden.

Der Fall Facebook

Kürzlich durchwanderte der Facebook-Datenskandal, mit dessen Aufarbeitung gerade begonnen wird, alle Medien: Das britische Datenanalyse-Unternehmen Cambridge Analytica missbrauchte beinahe 90 Millionen Facebook-Accounts und entwickelte aus diesen Daten Strategieempfehlungen für die Wahlkampfkampagnen von „Vote Leave“ im Brexit Referendum und Donald Trump bei der US-Präsidentenwahl.

Mittlerweile steht fest, dass es zu keinem Einbruch in die Datenserver des Social Media-Giganten gekommen ist. Dazu muss man wissen, dass Facebook selbst viel mehr Daten über seine Benutzer sammelt, als in den öffentlichen Profilen verfügbar sind. Und diese geheimen Daten blieben bisher auch geschützt.

Das mittlerweile insolvente Cambridge Analytica hat sich jedoch eine bis vor einigen Jahren bestehende Geschäftspraxis zunutze gemacht, wonach App-Entwickler nicht nur Zugang haben auf die Profile jener, die ihre App heruntergeladen haben, sondern über das Feature „Friends Permission“ auch zu allen Profilen von deren „Friends“. Erst nach steigender öffentlicher Kritik hat Facebook dieses Feature 2015 zurückgenommen.

In der aktuellen Causa „Facebook – Cambridge Analytica“ stellt sich daher der Sachverhalt folgendermaßen dar: Aleksandr Kogan entwickelte eine „Test Your Personality“-App und hat sie für die Installation auf Amazon’s Mechanical Turk Crowdsourcing Site beworben. Er benutzte dabei die Bewilligung für 250.000 Benutzerprofile, und über das Facebook-Feature gelangte er damit an 50 Millionen Profile. Cambridge Analytica bezahlte Kogan dafür, die Daten aus 50 Millionen Accounts zu sammeln. Nach der vor 2015 geltenden Facebook-Praxis waren App-Entwickler zwar ermächtigt, die Account-Daten von Nutzern und Friends auszuwerten, aber schon damals war die Weitergabe dieser Daten an Dritte illegal.

Aus den Augen, aus dem Sinn

Was man Facebook vorwerfen kann: Dass das Unternehmen zu keiner Zeit größere Anstrengungen unternommen hat, um den Umgang ihrer Entwickler mit diesen Daten zu kontrollieren. Daten, die einmal von den Facebook-Servern heruntergenommen wurden, lagen nicht mehr im Fokus der Social Media-Plattform. Und bei zehntausenden Entwicklern ist davon auszugehen, dass der Handel mit Facebook-Daten längst eine gängige und lukrative Geschäftspraxis ist.

Hätte es jedoch eine anerkannte unabhängige Instanz gegeben, die solche Praktiken unterbindet, wären Vorfälle im Ausmaß des jetzigen Facebook-Skandals undenkbar geblieben. Der Fall zeigt sehr klar die Überlegenheit des europäischen Wertesystems mit einem strengen und unnachgiebigen Datenschutz-Regime, wie wir es mit der EU-DSGVO etabliert haben. Letztlich geht es aber beim unerlaubten Zugriff auf persönliche Benutzerdaten heute nicht mehr nur um die Verletzung individueller Schutzrechte, sondern vielfach auch um Untergriffe auf die Demokratie, wie die Datenaufbereitung von Cambridge Analytica für diverse politische Strömungen und Player zeigt. Umfassender Datenschutz kann jedoch bei allen Anstrengungen auf Ebene der politischen Verantwortungsträger nicht auch in Form allgemeiner Verhaltensregeln für die Benützung des Cyberspace einfach nur verordnet werden.

Österreich: Es braucht Verhältnismäßigkeit

In Österreich will man die verschärften Datenschutz-Angelegenheiten noch vorsichtig angehen: Ab 25. Mai 2018 gelten die Bestimmungen der Datenschutz-Grundverordnung, die den Schutz personenbezogener Daten regeln. Die Datenschutzbehörde soll erst dann auf den Plan treten, falls Unternehmen wiederholt die Regeln der Grundverordnung verletzt haben. Damit sollen die KMU - und damit das Rückgrat der heimischen Wirtschaft - geschützt werden und sich die Prozesse rund um den Datenschutz und seine Ahndung etablieren. 

Das hat hierzulande jahrzehntelange Verwaltungstradition, woran nichts auszusetzen ist. Aber man darf eine gewisse Verhältnismäßigkeit nicht aus den Augen verlieren: Anfängliche Milde für kleine und mittlere Unternehmen erachte ich als sehr begrüßenswert. Wo ich allerdings eine rasche Vorgehensweise in aller Schärfe fordere, ist bei unlauterem Verhalten großer, allseits bekannter Wiederholungstäter - wie eben Facebook.