Nun ist das Swift-Abkommen vom EU-Parlament bestätigt worden, nachdem doch erheblich daran gearbeitet wurde, um Datenschutzbedenken auszuräumen. Im Detail hat es nicht viel Verbesserung gebracht, die Datenmengen werden weiterhin in nicht vorstellbarer Größe zur „Fahndung nach Terroristen“ in die USA übertragen.
Eine wesentliche Maßnahme ist jedoch, dass nun die Europäer auf die Auswertung mit drauf schauen, ein zu benennender Mitarbeiter von Europol wird bei juristisch nicht einwandfreier Sachlage ein Vetorecht haben.So weit, so gut. Doch ist das wirklich eine zeitgemäße Vorgehensweise?
Der gesamte Prozess wirft einige Fragen auf, die es sich lohnt, genauer zu betrachten:
- Ist wirklich „Fahndung nach Terroristen“ die einzige Motivation?
- Warum kann die Auswertung europäischer Daten nicht in Europa geschehen?
- Wieso können die Daten nicht nach bestimmten Merkmalen gefiltert werden (laut Aussage von Swift - das kann doch jedes Data Warehousing-System inzwischen)?
- Und vor allem: wieso werden die Daten nicht verschlüsselt?
Gerade der letzte Punkt zeigt auf, dass noch viel Veränderungspotenzial besteht. Bei der elektronischen Gesundheitskarte, bei vielen Cloud-Providern ist es inzwischen üblich, dass die Daten empfängerzentriert verschlüsselt werden, sprich: außer dem legitimierten Nutzer der Daten kann diese keiner lesen oder auswerten. Die Technologie für eine sichere Verarbeitung der Daten existiert bereits. Warum wird sie in diesem Kontext nicht eingesetzt?
Bei dem Swift-Abkommen ist es wie bei vielen anderen Massendaten auch: erst wird fleißig gesammelt, aufgehoben, und dann schauen wir später mal, ob sie vielleicht gelöscht werden - nur gibt es dann sicherlich schon Kopien, und „Daten Löschen“ im Internet ist nicht trivial. Würde man die neuartigen Verschlüsselungsmechanismen (die ja gar nicht so neu sind) verwenden, könnte man getrost Daten sammeln so viel man will - will der Daten-Eigentümer sie nicht mehr öffnen, bleiben sie für immer unlesbar.
Jeder CIO sollte sich dieses Beispiel vor Augen führen, und seine eigene Strategie im Umgang mit Daten (insbesondere Kundendaten), vor allem im Kontext von Cloud Computing überdenken. Eine neue Architektur ist notwendig, diese stellt den allumfassenden Schutz der Informationen vor deren ubiquitärer Verarbeitung. Der erste Schritt in diese Richtung ist Information Rights Management. Das ist - Stand heute - bisher nur für unstrukturierte Daten (also PDFs, Office-Dokumente und ähnliche), anwendbar, aber genau diesen Schritt müssen wir gehen, um Massendatenverwendung kontrolliert durchführen zu können: man könnte das vielleicht „Data Rights Management“ nennen.
Damit sich IRM auf breiter Ebene durchsetzt, ist allerdings Standardisierung notwendig. So lange die Hersteller dies mit proprietären Formaten betreiben, wird es keinen Austausch von geschützten Daten geben - sondern eben, wie bei Swift auch, nur unverschlüsselt.