Das ist ein Fall für die Datenschutzbeauftragten: Die Bundespolizei benutzt für das Speichern der Daten von Körperkameras (Bodycams) ein Cloud-Angebot von Amazon Web Services (AWS Cloud). Laut Bundesinnenministerium werden dabei deutsche Datenschutzstandards eingehalten. Das kann nur ein schlechter Witz sein.
Polizeidaten werden in der Amazon Cloud abgelegt
Immer mehr Polizisten werden mit sogenannten Bodycams ausgestattet, diese Kameras sollen Beamten vor Übergriffen schützen und Einsätze dokumentieren. Die Aufzeichnungen speichert die Bundespolizei in einer Amazon Cloud. Laut Bundesinnenministerium werden mit dem Cloud-Dienst von Amazon Web Services (AWS) dabei deutsche Datenschutzstandards eingehalten und die Daten verschlüsselt auf Servern in Frankfurt/Main gespeichert.
Was dem Innenministerium augenscheinlich nicht bekannt ist: Amazon ist ein US-Unternehmen und unterliegt daher zwangsläufig dem US Patriot Act.
Was sind Amazon Webservices (AWS)?
Amazon ist aus unseren alltäglichen Leben nicht mehr wegzudenken. Neben Apps, Videos und natürlich dem Store, bietet Amazon auch Cloud-Speicher an. Die Amazon Cloud Drive umfasst dabei Online-Dienste und Anwendungen für Websites. Darunter zählt auch die Amazon EC2. Diese bietet eine skalierbare Rechenkapazität in der Amazon Web Services (AWS) Cloud an. Für Privatkunden bietet Amazon „Amazon Drive“ an.
Was ist der US Patriot Act?
Der US Patriot Act ist ein amerikanisches Bundesgesetz, welches am 26. Oktober 2001 verabschiedet wurde. Es war die direkte Reaktion auf die Terroranschläge am 11. September 2001. Das Gesetz soll Amerika helfen den Terrorismus aufzuhalten und den Bundesbehörden die Ermittlungen im Fall einer terroristischen Bedrohung zu vereinfachen. US-Behörden und Geheimdienste haben durch den US Patriot Act die Möglichkeit, Einsicht in Daten aller Bürger zu erhalten. Auch Telefongespräche können die Angestellten ohne Probleme abhören.
Schutz sensibler Daten mit US Patriot Act nicht möglich
Das bedeutet, dass Amazon den US-Behörden Zugang zu allen Kundendaten einräumen muss, unabhängig davon, wo sich die Server für die gespeicherten Daten befinden. Demzufolge könnten US-Sicherheitsbehörden und Nachrichtendienste zukünftig problemlos auf die deutschen Polizeidaten zugreifen.
Selbst, wenn die Daten von Amazon verschlüsselt in der Cloud abgelegt werden, muss Amazon für US-Behörden einen Hintertürschlüssel parat halten, um der US-Administration Zugang zu deutschen Polizeidaten zu gewähren.
Privacy Shield Regelungen zwischen USA und EU ebenso fragwürdig
Aber nicht nur der US Patriot Act ist äußerst bedenklich, auch das Privacy Shield welches die datenschutzrechtlichen Anforderungen des Datentransfers zwischen USA und der EU regeln soll, ist fragwürdig. Seit 2016 können durch das Privacy Shield offiziell Daten aus EU-Ländern in die USA übermittelt werden. Die EU-Kommission ist angehalten, zu überprüfen ob alle Bedingungen der Übereinkunft sowie die DSGVO von US-Behörden eingehalten werden.
Der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des EU-Parlaments kritisiert jedoch das Privacy Shield im Hinblick mit der Vereinbarkeit von europäischen Datenschutzstandards und schlägt dem EU Parlament vor, das Shield zu ändern oder ggf. auszusetzen.
Kein Datenschutz für Polizeidaten in der Amazon Cloud
Die Frage ist, warum das Bundesinnenministerium so ein hochgradiges Sicherheitsrisiko für unser aller hochsensiblen Daten eingeht? Was folgt als nächstes, etwa die Öffnung für Social Bots?
Fragwürdige Zertifizierung des BSI
Geradezu absurd wirkt die Erklärung des Bundespolizeipräsidiums, Amazon sei mit AWS der einzige Anbieter in Deutschland, der eine entsprechend vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierte Cloud bereitstelle. Was sich konkret hinter dieser Zertifizierung verbirgt ist unklar.
Fakt ist, jedes US-Unternehmen unterliegt der US-Gesetzgebung, also dem US Patriot Act und dem US Cloud Act. Dieser ist quasi eine Ergänzung des Patriot Act und regelt, dass US-Behörden auch Zugriff auf Daten von US-Konzernen erhalten, welche sie im Ausland speichern. Dadurch soll die Zusammenarbeit mit US- und ausländischen Strafverfolgungsbehörden gestärkt werden. Das dies absolut nicht datenschutzkonform ist, müssen wir hier sicherlich nicht weiter ausführen.
TeamDrive als sichere Alternative zur Amazon Cloud
Einzig ein rein deutsches Unternehmen, wie TeamDrive, unterliegt ausschließlich den deutschen Gesetzen. Auch unsere Partner wie eine T-Systems sind mit Bedacht gewählt. Nur hiesige Anbieter können gewährleisten, dass die in der TeamDrive-Cloud abgelegten Daten nicht in fremde Hände gelange. Darüber hinaus besitzt TeamDrive keine Schlüssel zu den Kundendaten und kann daher unter keinen Umständen Behörden Zugriff gewähren – weder amerikanischen noch deutschen Behörden. Genau diese absolute Vertraulichkeit können US-Unternehmen in der Regel nicht gewährleisten.
Es ist entweder als grenzenlose Naivität oder als böser Vorsatz zu werten, wenn die deutsche Polizei Daten bei US-kontrollierten Anbietern speichert und – schöne Grüße aus Absurdistan – dieses Vorgehen sogar noch vom BSI „zertifizieren“ lässt. Das BSI sollte hier für vollständige Transparenz sorgen, wie die Daten der Polizei verschlüsselt werden und wer Zugriff auf die Schlüssel erhalten kann. Darüber hinaus sind auch verschlüsselte Daten personenbezogen und können im schlimmsten Fall dechiffiriert werden.