Der Begriff Datenschutz wird leider oft sehr unterschiedlich ausgelegt, was es auch ohne globale Vernetzung von Datenbanken erschwert, angemessene Rahmenbedingungen zu schaffen und objektive Kriterien zu definieren. Im Kern verstehen wir den Datenschutz als Maßnahme gegen den Missbrauch von Daten und in der erweiterten Sicherheitsbetrachtung auch als die notwendige Vorkehrung gegen das unberechtigte Löschen oder Verfälschen von Daten. Als besonders schutzbedürftig werden die personenbezogenen Daten betrachtet, wie es schon im weltweit ersten Datenschutzgesetz des Landes Hessen von 1970 und dem folgenden bundesweiten Datenschutzgesetz von 1977 festgelegt wurde.
Seit 1995 wurden in der EU Mindeststandards definiert und der Schutz personenbezogener Daten als Grundrecht definiert. In den USA hingegen reduziert sich der Begriff Datenschutz primär auf die technische Betrachtung. Der Zugriff auf personenbezogene Daten wird dort - bis auf wenige Ausnahmen - weitestgehend gesellschaftlich akzeptiert - maßgeblich aus der Sicht der informellen Selbstbestimmung und Meinungsfreiheit.
Digitalisierung und Datenschutz
Spätestens mit dem Aufkommen von Web 2.0 und Smartphones hat sich gezeigt, dass der Umgang mit personenbezogenen Daten in einer global vernetzten Welt wesentlich komplexer ist, als es in den existierenden Vorschriften berücksichtigt wird. Im Kern geht es um personenbezogene Sozialstrukturen und Aktionen im Web sowie Bewegungsprofile. Daraus hat sich eine Digitalindustrie entwickelt, die nach einem einfachen Prinzip funktioniert: "Komfort und Preisvorteile gegen frei zu verwendende personenbezogene Daten".
Hierbei muss zudem getrennt betrachtet werden, ob es sich um Daten in der direkten Verantwortung des Betroffenen oder mittelbar verwaltete Daten (zum Beispiel beim Arbeitgeber oder bei gewerblichen Partnern) handelt. Auch hier werden neue Geschäftsmodelle entwickelt, bei denen - basierend auf multiplen Big-Data-Quellen und selbst erhobenen Daten - ein kontinuierliches Zielgruppen-Profiling erfolgt, um die Geschäftstätigkeit zu optimieren. Problematisch wird es, wenn die Datenerhebung ohne explizites Einverständnis des Betroffenen erfolgt, zum Beispiel im Rahmen einer Service-Aktion oder einer Angebotsabfrage.
Mit der Einführung von Cloud Computing stellt sich auch zunehmend die Frage, wie die Kontrollfähigkeit zur Einhaltung gesetzlicher Bestimmungen in einer multinationalen und vernetzten IT-Verarbeitung mit unterschiedlichen rechtlichen Partnern gestaltet werden kann. Die derzeit gültigen, europäischen Datenschutzgesetze zu verstehen, ist schon schwierig genug. In Kombination mit den oft kleinen, aber dennoch bedeutsamen Unterschieden zwischen den EU-Mitgliedsstaaten können jedoch ohne geeignete juristische Begleitung fast unüberwindbare Herausforderungen entstehen.
Cloud-Dienstleister und -Nutzer gleichermaßen sehen sich mit schwerwiegenden datenschutzrechtlichen Hürden konfrontiert, die zu massiven und inakzeptablen Wettbewerbsnachteilen - zum Beispiel im Vergleich zu den USA - führen. Am Datenschutz führt bei jedem professionellen Cloud-Anbieter kein Weg vorbei: Er ist essenziell für das Kerngeschäft und steht somit ganz oben auf der Prioritätenliste. Deswegen gibt es hier auch diverse Initiativen und Projekte, die sich intensiv mit dem Thema auseinandersetzen. Unterstützung gibt es beispielsweise beim Cloud Privacy Check (CPC), der die gesamte (Datenschutz)Thematik der Nutzung von Cloud Services auf vier Fragestellungen reduziert und 32 Ländergesetze direkt vergleichbar macht. Hilfreich ist zudem das Trusted Cloud Datenschutzprofil (TCDP), das als Prüfstandard für die Datenschutz-Zertifizierung von Cloud-Diensten zum Einsatz kommt und datenschutzrechtliche Anforderungen auf der Seite des Cloud-Anbieters beschreibt. Das TCDP wurde im Rahmen der Initiative Trusted Cloud im Auftrag des Bundesministeriums für Wirtschaft und Energie entwickelt.
Cloud-Anbieter aus Europa und in besonderem Maße aus Deutschland besitzen eine hohe Kompetenz im Umgang mit Datenschutzfragen der Kunden, da sie den selben Rechtsvorgaben unterliegen.
Wo stehen wir heute?
Die Veränderungen durch die fortschreitende Digitalisierung stellt Gesellschaft, Unternehmen und in besonderem Maße Einzelpersonen vor große Herausforderungen. Sei es die ausufernde Kommunikationswelle im WhatsApp-Chat der Kinder, die ungesicherte Webcam im Wohnzimmer, das aufkommende Kreditrating mittels Social-Media-Profilen oder die sich durch den Einsatz von Algorithmen und Automatisierung stark verändernde Arbeitswelt. Das geht vielen zu schnell - und gerne wird der Datenschutz auch als Bremskraftverstärker verwendet.
Dabei stellt sich aber zu Recht die Frage, ob es der richtige Weg ist, Innovationen anhand von althergebrachten Betrachtungen zu bewerten und zu regulieren. Mehr als zwanzig Jahre hat es gedauert, um ein Datenschutzgesetz von 1995 umfangreich zu novellieren und es halbwegs zeitgemäß an die heutige Informationsgesellschaft anzupassen. Derweil wurden wichtige Klärungen, beispielsweise der Umgang mit der Safe-Harbour-Vereinbarung, durch Privatklagen und nicht auf Initiative der Datenschutzvertreter herbeigeführt, was schon überraschend ist. Im Kontext des Cloud Computings wurden von manchem Datenschutzverantwortlichen Super-GAU-Szenarien heraufbeschworen und auch heute noch heißt es viel zu oft: "Wenn schon Cloud, dann aber nur eine Private Cloud und am besten mit eigenen Systemen". Eine durchaus gefährliche Empfehlung, denn in vielen Fällen mangelt es an der Kompetenz, solche Systeme angemessen zu schützen - besonders im Konsumentenbereich.