Der Bund hat sie schon vor Monaten gefordert, fast alle deutschen Länder ziehen nun nach: IT-Firmen, die irgendeiner Verpflichtung unterliegen, an ausländische Geheimdienste zu berichten, sollen von sicherheitsrelevanten öffentlichen Aufträgen künftig ausgeschlossen werden. Es sei denn, sie können verbindlich garantieren, dass sie keinerlei entsprechender Verpflichtung unterliegen. Datenschutz-Experten warnen, dass beispielsweise viele IT-Unternehmen aus den USA durch Gesetze wie Patriot Act oder Protect America Act entsprechenden Verpflichtungen unterliegen. Laut dem früheren US-Geheimdienstmitarbeiter Edward Snowden sollen Unternehmen den Geheimdiensten der USA und Großbritanniens Zugang zu vertraulichen Kundendaten gewährt haben. Jetzt werden öffentliche Aufträge an Firmen aus dem angelsächsischen Raum auch in den Medien in Frage gestellt, da man ihnen entsprechende Verbindungen zu ausländischen Geheimdiensten nachsagt.
Auch wenn entsprechende Textbausteine in alle Verträge aufgenommen werden, die Bund oder Länder mit IT-Dienstleistern abschließen, dürfte es schwierig sein, die Einhaltung der entsprechenden Verpflichtungen zu untersuchen. Laut heise Online äußerte Schleswig-Holsteins Datenschutzbeauftragter Thilo Weichert dazu die Empfehlung, so wenig Daten wie möglich weiterzugeben, „so dass Auftraggeber möglichst wenig sicherheitsrelevante und auch personenbezogene Daten“ erhalten.
Noch weiter geht Datenschutzexperte Dr. Hubert Jäger, Geschäftsführer des Münchner Unternehmens Uniscon, in seiner Empfehlung: „Ein NoSpy-Ausschluss durch Technik ist an vielen Stellen sinnvoller als Verpflichtungen auf Papier. Für eine technische Umsetzung eignen sich Ansätze wie die Sealed Cloud. Ziel der Sealed Cloud ist, eine „versiegelte“ Infrastruktur für alle Anwendungen des Cloud Computing zu schaffen. Mit „Versiegelung“ ist gemeint, dass der Betreiber einer Infrastruktur entlang der ersten Verteidigungslinie des Rechenzentrums – also während der Verarbeitung der Nutzerdaten in der Cloud – ausschließlich mit technischen Maßnahmen daran gehindert wird, auf unverschlüsselte Daten zuzugreifen, seien es Inhalte oder Metadaten.“
Weitere Informationen zu Uniscon sind im Lösungskatalog verfügbar.