Am 2. Juli präsentierte ich die neue portugiesische Version des Buches Cloud Migration in Portugal. Dabei wurde auch der Start zu einer gleichsprachigen Version für Mozambique und Brasilien gegeben Die sind Länder zu denen Portugal sehr enge wirtschaftliche Beziehungen pflegt und die gerade im Sinne eines raschen Ausbaues von IKT Geschäftsbeziehungen in der derzeitigen Wirtschaftskrise des Landes eine große Rolle spielen. /p>
Spannend zu beobachten: Die US-Bürgerrechtsorganisation Center for Digital Democracy (CDD – www.democraticmedia.org) hat schwere Vorwürfe gegen rund 30 US-Unternehmen erhoben, in denen sie diese bezichtigt, das Safe-Harbour-Abkommen als Deckmantel für Rechtsverstöße zu nutzen. Das CDD hat sich das Ziel gesetzt, die Rechte von Konsumenten und den Schutz der Privatsphäre zu stärken, Transparenz zu fördern und eine starke Öffentlichkeit im digitalen Zeitalter aufzubauen. Konkret schreibt CDD: “The new digital marketplace poses both opportunities and risks for consumers. As we increasingly make important decisions about our finances, health and families using digital media, consumers must be treated fairly.”
Es ist schon interessant, wenn man das jetzt endlich auch einmal von US-Seite hört. Bisher waren ja von dort und auch von Großbritannien eher umgekehrte Meinungen zu hören. Die wöchentlichen Hetzkampagnen britischer IT-Journalisten durchaus renommierter Medien gegen das resolute Vorgehen der Kommissarinnen Viviane Reding und Neelie Kroes waren ja nicht nur „unter der Gürtellinie“, sondern auch aus zentraleuropäischer Sicht inakzeptabel und machten den Eindruck, als wären sie direkt von der Googel-PR-Abteilung gesponsert.
Aber keine Geschäftsleitung eines US-Unternehmen kann auf Dauer die Ansprüche von mehreren hundert Millionen potentiellen EU-Bürgern ignorieren. Die sind nämlich gar nicht so anders als jene in vielen anderen, wenn nicht sogar in den meisten Ländern der Welt. Man will die neuen IT-Werkzeuge nutzen, aber man will dabei nicht belogen, über den Tisch gezogen oder übervorteilt werden. Die Tatsache, dass man nun jedoch nicht mehr relativ einfach bemerkt, wenn jemand unbefugt nach dem eigenen Gold – und das sind die Daten von heute – grapscht, macht es aber so schwierig. Wer mehr Ressourcen hat (Manpower, Know-how und Speicher- und Rechenleistung), der hat enorme Vorteile gegenüber jenen, die dem weniger entgegenzusetzen haben. Hier zeigt sich der bequeme Imperialismus des 21. Jahrhunderts: man muss weder ein Schiff besteigen noch eine Waffe in die Hand nehmen. Tastatur, Maus und ausrechend IT-Leistung reichen aus. Wie schon bisher bei jeder industriellen Revolution hinkt die gesellschaftliche Anpassung an die neuen technischen Möglichkeiten um einige Jahrzehnte hinterher.
Jedenfalls wirft CDD-Direktor Jeff Chester Washington und der zuständigen Federal Trade Commission (FTC) vor, „das Datenschutzversprechen gegenüber Europa zu brechen", indem sie die Praxis von Firmen wie Adobe, AOL, Salesforce.com und anderen dulden würden. Diese Firmen würden personenbezogene Daten in großem Umfang sammeln und auch an Dritte weitergeben, ohne Wissen und Einwilligung der Dateneigentümer. Es zeigt sich, dass das schon 14 Jahre alte transatlantische Datenabkommen Safe Harbour kein angemessenes Schutzniveau mehr bereitstellt und den heutigen IT-Möglichkeiten nicht mehr angemessen ist.
Im Zusammenhang mit den diversen Abhörskandalen der letzten Monate hat das EU-Parlament die Kommission aufgefordert, das Abkommen zu kündigen. Die EU-Kommission hat diesen Schritt bisher nicht gesetzt und auf eine Reformation von Safe Harbour seitens der US-Regierung gedrängt. Aber auch da ist bisher nichts passiert. Dies verwundert mich in keiner Weise, denn wer das Spiel in Brüssel kennt, der weiß, dass dort massives Lobbying ein funktionierendes Werkzeug ist, und große US-Konzerne nutzen dies wirklich sehr intensiv und clever. Leider haben viele EU-Mitgliedsstaaten und Organisationen noch immer nicht verstanden, wo Politik heutzutage in Europa gemacht wird und dass nur ein gemeinsamer und starker Auftritt dazu führt, Einfluss nehmen zu können.
Wer glaubt, dass diese Fragen zu spezifisch sind und Cloud ein Randthema ist, der erkennt nicht die größeren Zusammenhänge einer industriellen Revolution und der damit verbundenen sozio-ökonomischen Konsequenzen. Die Frage, wo in Zukunft Wertschöpfung generiert wird, wird genau jetzt und hier und heute entschieden. Bedauerlicherweise haben das viele Unternehmen, Interessensverbände, Wirtschaftsverbände und politische Organisationen noch nicht erkannt. Ich kann es daher gar nicht oft genug wiederholen: „Der Zug fährt schon längst, und ihr seid noch immer nicht eingestiegen.“
Tobias Höllwarth, Wien 16.08.2014
Tobias Höllwarth ist Vorstand der europäischen EuroCloud (www.eurocloud.at www.eurocloud.org) und Mitglied einer Reihe von Beratungsunternehmen (www.vccg.at www.ictan.eu www.ictan.eu www.hoellwarth.at) und IT-Gremien in der Europäischen Kommission und der internationalen Normungsorganisation ISO. Höllwarth ist Autor des Werkes Cloud Migration (www.cloud-migration.eu), Leitet die Initiative TRUST IN CLOUD (www.trustincloud.org) und ist Direktor des ECSA Programmes (www.eurocloud-staraudit.eu)
"All your data belong to us", urteilt ein US-Gericht – und bringt die IT-Industrie des Landes damit in eine katastrophale Lage. So schreibt das Online Magazin heise vor kurzem zu dem Urteil eines US-Gerichts, das in zweiter Instanz von Microsoft
Zugriff auf Daten für eine Ermittlung gegen Drogenhändler
Generell gilt nun, dass ein Unternehmen der Gerichtsbarkeit am Standort seines Sitzes unterliegt. Dazu gehört auch der Standort des Rechenzentrums. Das heißt, ein österreichisches Unternehmen mit einer Niederlassung oder einem RZ in den USA unterliegt selbstverständlich dem US-Recht. Das jeweilige Recht am Standort der Niederlassung gilt genauso für Unternehmen, die in Frankreich, Deutschland oder England Niederlassungen haben.
Die Richterin in dem genannten Urteil meinte nun, dass es darum ginge, wer die Information kontrolliere, und nicht darum, wo die Daten liegen würden. Und ganz Unrecht hat sie damit ja nicht, denn auch das europäische Datenschutzrecht unterscheidet nur zwischen dem Data-Owner und dem Datacontroller.
Die für die Verarbeitung Verantwortlichen müssen die Privatsphäre und das Recht auf Datenschutz aller Personen schützen, deren Daten ihnen anvertraut werden:
Um es US-Unternehmen auch zu ermöglichen, trotz dieser strikten Bestimmungen mit europäischen Kunden Geschäfte zu machen und damit auch Datacontroller für personenbezogene Daten europäischer Data-Owner zu werden, wurde vor 14 Jahren Safe Harbour erfunden: eine selbstauferlegte Verpflichtung von US-Unternehmen, sich an die Datenschutzbestimmungen im Land des Data-Owners zu halten. Bei näherem Hinschauen wird aber klar, dass Safe Harbour nur teilweise sinnvoll ist, denn die Einträge im US-Handelsregister waren Selbstauskünfte der Unternehmen ohne Überprüfung. In Europa verlangt man da mehr Sicherheit und Nachweise.
Der zweite Zugang zum europäischen Kunden für US-Unternehmen war dann
noch die Gründung eines Tochterunternehmens in Europa. Damit zeigen US-Unternehmen,
dass sie sich bereitwillig dem europäischen und Landesrecht unterwerfen.
Eigentlich ein sehr lobenswerter Schritt von US–Unternehmen, um bei europäischen
Kunden Vertrauen in die eigenen Cloudservices aufzubauen.
Das amerikanische Urteil ist nun deshalb so interessant, weil es
amerikanisches Recht auf ein Unternehmen appliziert, das in Europa seinen Sitz
hat (die Niederlassung eines amerikanischen Mutterunternehmens). Äquivalent
dazu wäre, wenn ein österreichisches Gericht ein Unternehmen in New York dessen
Konzernmutter in Österreich firmiert zu einer Handlung zwingt, die nach
österreichischem Recht erlaubt wäre, aber vielleicht nicht nach amerikanischem.
Die Richterin argumentiert ja, dass die Konzernmutter der Datacontroller ist
und nicht das Tochterunternehmen mit Sitz in der EU.
Weil das Gericht als Druckmittel vermutlich den amerikanischen Mutterkonzern verwendet, ist die Kernfrage, ob landesspezifische Gerichtsbarkeit einfach auf andere Länder ausgeweitet werden darf. Das ist grundsätzlich zu bezweifeln und vor allem deshalb abzulehnen, weil das jeweilige Unternehmen nur wenige Möglichkeiten hat, sich gegen einen solchen Zugriff zu wehren. Und zwar nicht nur aus finanziellen Gründen, sondern auch deshalb, weil das Unternehmen gar keinen Rechtsstatus im anderen Land hat, um in einem Gerichtsfall Parteistellung zu erhalten.
Zugriffe von staatlichen Verfolgungsbehörden, die auf Basis einer rechtlichen Grundlage und einer eventuell auch erforderlichen gerichtlichen Entscheidung erfolgen, gibt es in Deutschland oder England genauso häufig wie in den USA, und kein rationell denkender Mensch wird gegen ein solches Vorgehen eines demokratischen und rechtsstaatlichen Landes einen Einwand haben.
Auf der anderen Seite jedoch ist klar, dass eine grenzenlose IT und eine
grenzenlose Cloud technische Rahmen schaffen, die von rechtlichen Regeln noch
nicht vollständig und passend erfasst wurden. Wie in jeder industriellen
Revolution hinkt die soziale und juristische Adaption der technischen
hinterher.
Ist man also grundsätzlich der Meinung, dass es möglich sein muss,
Firmen oder Personen, die Cloudservices für verbrecherische Aktivitäten
verwenden (z. B. Geldwäsche, Planung von terroristischen Anschlägen oder
internationalen Drogennetzwerken), durch die Strafverfolgungsbehörden eines
Landes auch international zu verfolgen, dann muss man auch entsprechende
Mechanismen erlauben. Also beispielsweise einer Behörde ermöglichen, in
Kooperation mit anderen Behörden in einem anderen Land rasch auf Daten und
Kommunikationsprotokolle zuzugreifen, wenn dies erforderlich ist.
Tobias Höllwarth ist Vorstand der europäischen EuroCloud (www.eurocloud.at www.eurocloud.org) und Mitglied einer Reihe von Beratungsunternehmen (www.vccg.at www.ictan.eu www.ictan.eu www.hoellwarth.at) und IT-Gremien in der Europäischen Kommission und der internationalen Normungsorganisation ISO. Höllwarth ist Autor des Werkes Cloud Migration (www.cloud-migration.eu), Leitet die Initiative TRUST IN CLOUD (www.trustincloud.org) und ist Direktor des ECSA Programmes (www.eurocloud-staraudit.eu)
2008 ist die UN-Konvention über die Rechte behinderter Menschen in Kraft getreten. Sie verpflichtet Länder, die diese Konvention ratifiziert haben, unter anderem dazu, sicherzustellen, dass behinderte Menschen einen freien Zugang zu Systemen der Informationsverarbeitung haben.
Alleine in Deutschland leben zehn Prozent der Bevölkerung mit einer anerkannten körperlichen Beeinträchtigung. Gerade diesen Menschen würde das Internet die selbstbestimmte Teilnahme am sozialen, kulturellen und beruflichen Leben enorm erleichtern. Jedoch sind sehr viele Internetseiten und somit auch Cloud-Anwendungen nicht barrierefrei gestaltet. Paradoxerweise können also gerade jene Menschen, die von den Möglichkeiten der Cloud besonders profitieren würden, das Medium nur unter Schwierigkeiten oder überhaupt nicht benutzen.
Als Barrieren – und damit behindernd – wirken in der Umwelt eines behinderten Menschen nicht nur Gegenstände, Einrichtungen oder Programmierungen, sondern auch die Einstellung anderer Menschen. Auch jene der Hersteller von Cloud-Services. Diesen fehlt es oft an Problembewusstsein oder Know-how, um Anwendungen so zu erstellen, dass diese ohne unnötige Barrieren für alle Menschen benutzbar sind.
Menschen mit Behinderungen sind oftmals darauf angewiesen, besondere technische Hilfsmittel zu benutzen, um eine Webseite bedienen und die Inhalte verstehen zu können. Cloud-Anwendungen so zu programmieren, dass diese Werkzeuge gut funktionieren, ist nicht extrem kompliziert und sollte ein selbstverständlicher Teil des Anforderungskataloges sein, der einem Programmierauftrag zugrunde liegt.
EuroCloud möchte das Wissen, die Aufmerksamkeit und das Selbstverständnis für barrierefreies Arbeiten in der IT-Welt des 21. Jahrhunderts fördern. Daher wurde ein Leitfaden erstellt, und er wird in eine Reihe von Sprachen übersetzt werden. Ich muss mich dabei besonders bei Herrn Mag. Mario Batusic, dem Autor des Leitfadens bedanken. Herr Batusic weiß, wovon er spricht, er konnte hier auf seine eigenen Erfahrungen und sein fachmännisches Wissen zurückgreifen
Dieser Leitfaden wendet sich an Cloud-Verantwortliche und -Entwickler sowie an Verantwortliche für den Einkauf von IT-Lösungen in den Organisationen der Anwender.
Nach einer allgemeinen Erklärung zur Barrierefreiheit und zu den Gründen, warum sie in Cloud-Diensten notwendig ist, folgt eine kurze Zusammenfassung über die Art und Weise, wie einzelne Behindertengruppen mit den Informations- und Kommunikationstechniken (IKT) umgehen und wo für sie die Hauptprobleme liegen.
Der Download des Leitfadens ist möglich unter http://www.eurocloud.at/projekte/publikationen/leitfaeden-bestellung.html
In einer Mitteilung des BIFIE über den Stand der Untersuchungen vom 10.3. wurde bekannt gegeben, dass es sich bei dem sogenannten „Datenleck“ um keinen Softwarefehler oder mangelnden Schutz einer IT-Plattform handelte, sondern dass Schadsoftware gezielt eingebracht worden war (das Bundeskriminalamt wurde eingeschaltet). Außerdem stellte sich bei näherem Hinschauen heraus, dass es sich bei den sogenannten „sensiblen und wichtigen“ Daten um Testdaten handelte, alte Schülertests ohne die Namen der Schüler und die E-Mail-Adressen von Lehrern, die ohnehin auf der Webseite jeder Schule öffentlich zu finden sind.
Dies bestätigt meine Aussage in dem Blog vom 30.3. Diese Vorgangsweise von selbsternannten Datenschutz-Sheriffs der Nation, die unterinformiert mit plakativen Killerargumenten jedes neue IT-Projekt und auch vertrauenswürdige österreichische Unternehmen wie die KBC pauschalierend in Misskredit bringen und dadurch den weniger informierten Laien in Zweifel und Unsicherheit versetzen, sollte von jedem mündigen und modernen Mitmenschen dieses Landes bloßgestellt werden. Read my lips: „I dislike it“.
Wien. 30.03.2014. Wir haben im deutschsprachigen Raum Europas eine ausgeprägte Affinität und lange Tradition, unsere persönlichen Daten und Identitäten zu schützen. Auch wenn dies teilweise ein Hemmnis darstellt oder, wie man an der ELGA-Diskussion sieht, von selbsternannten Datensheriffs als befremdliches Blockadeargument verwendet wird, ist diese Tradition aus Sicht der EuroCloud Austria eine gute und jedenfalls schützenswerte.
Wenn eine IT-Plattform also nicht in einer Weise programmiert ist, die es für den Administrator fast unmöglich macht, Daten missbräuchlich auszulesen, oder wenn keine ausgefeilten Logging-Funktionen bestehen, die jeden Schnüffler davon abhält, unerlaubte Einsicht zu nehmen, weil dies jedenfalls bemerkt werden würde, dann ist diese Plattform für hochsensible Daten vermutlich nicht geeignet. Da z. B. Versicherungen ein kommerzielles Interesse an Gesundheitsdaten der Versicherten haben, macht es Sinn, eine funktionale Trennung vorzusehen, bei der die IT getrennt vom eigentlichen Leistungserbringer betrieben wird. Dies gilt insbesondere dann, wenn die Daten, die in solchen Portalen gesammelt werden, weit umfangreicher sind als jene, die etwa der Versicherer von den eigenen Versicherungsnehmern brauchen würde, um die Leistung liefern zu können. Da Outsourcing ohnehin kein Fremdbegriff für jedes größere Unternehmen ist, sollte es weder eine kommerzielle noch eine technische Hürde darstellen, IT-Leistungen von jemand anderem unabhängig betreiben zu lassen.
Aber Achtung: Wie man an der BIFIE-Problematik unschwer erkennen konnte, wo Kapsch als Lieferant mit einem Sublieferanten in Rumänien ein Problem zu haben schien, gilt es, bei all diesen komplexen Lieferketten (so, wie in der Cloud ebenfalls üblich), immer sicherzustellen, dass die erwarteten funktionalen Rahmenbedingungen (technisch, organisatorisch, vertraglich und vor allem als SLA) von sämtlichen Teilnehmern der Lieferkette eingehalten werden und nicht nur vom vertrauten Lieferanten, der die Leistung dann unter Umständen letztlich gar nicht erbringt. Im Cloud-Bereich ist die EuroCloud Star Audit Zertifizierung einer der Wege, einen solchen komplexen Nachweis zu erbringen. Für jeden Anbieter von Online-Gesundheitsplattformen gilt daher die Verantwortung, vor Vertragsabschluss mit einem IT-Lieferanten diese Aspekte der Leistungserbringung bereits vorab (und nicht während oder nach Vertragsbeginn) zu klären.
ELGA selbst ist kein Cloud - Service und speichert selbst keine Daten von Patienten. Kaum war der BIFIE-„Skandal“ bekannt und noch bevor man überhaupt irgendwelche Details wusste, schossen bereits die selbsternannten Datenschutzprofis aus ihrer Ecke und fingen an Richtiges und Falsches zu vermischen, zu polarisieren und mit dem Stand von IT - Wissen aus den 90er - Jahren zu argumentieren.
Nur um Missverständnisse zu vermeiden: Es ist gut, wenn wir uns in Zentraleuropa hinsichtlich des Datenschutzes anders aufstellen, als es uns manch anglo-amerikanischer Anbieter aufdrängen wollte. Hinsichtlich der internationalen Standards (ISO) oder Verhandlungen zu transatlantischen Handelsabkommen (TTIP) ist höchste Aufmerksamkeit geboten, sich nicht auf zu niedrige und für unser Verständnis unangemessene Rahmenbedingungen zu einigen. Auch ist es jedenfalls hilfreich, wenn generell ein Verständnis für den Wert von Daten auch in Facebookzeiten erhalten bleibt.
Aber wirklich körperliche Übelkeit sollte aufkommen, wenn wir vom Datensheriff erklärt bekommen, dass erst dann, wenn 100 Prozent Sicherheit gewährleistet werden kann, ein IT-Service verwendet werden kann. Ich spreche hier die „rote Karte“ aus. Man kann das Grillen im Sommer nicht verbieten, weil sich manchmal Menschen verbrennen. Oder, um ein noch plakativeres Beispiel zu verwenden Trotz 500 Toten pro Jahr im Straßenverkehr wird das Auto in Österreich vermutlich auch weiterhin nicht verboten. Stattdessen gibt es da ja eine Reihe von Maßnahmen: Verkehrserziehung bei Kindern, Führerscheinausbildung, Prüfungen, Verkehrskontrollen, viele gesetzliche Vorgaben, womit man wie und wo fahren darf. Gleiches gilt für IT und für Cloud-Computing.
Wir leben in einer industriellen Revolution, die vielleicht einmal „digitale Transformation“ heißen wird. Sie hat in den 70er-Jahren mit dem Mikrochip begonnen (Dampfmaschine), der den Mikrocomputer ermöglichte (Webstuhl), das Internet verteilt (dezentrale Stromerzeugung) und die Erzeugung findet in der Cloud (Kraftwerke) statt. Die Begriffe in den Klammern sollen die Analogie zur letzten industriellen Revolution herstellen. Diese Revolution verändert alles: die Menschen, die Berufe, die Gesellschaft, den Wohnort. Das gilt für alle, auf allen Kontinenten und in allen Berufs- und Gesellschaftsschichten. Es ist einfach nur dumm, mit einem Beispiel aus Uganda eine Analogie zu Österreich herzustellen (Argument der Publizierung der Namen von Homosexuellen in einer Tageszeitung), wie es einer der österreichischen Datensheriffs kürzlich getan hat.
Einer Sache muss man sich jedenfalls bewusst sein: Nicht Auto zu fahren hat eine massive Auswirkung auf eine Gesellschaft und ein Land. Sich nicht mit moderner IT und deren Werkzeugen (Cloud, Big Data, Mobility, Social Media) zu beschäftigen, hat noch größere Auswirkungen – und zwar negative. Diese IT stellt einen der wichtigsten Wirtschaftszweige Österreichs dar. Es ist wichtig, dass Know-how und Ausbildung in Österreich bleibt und Wertschöpfung in Österreich generiert wird. Alles andere führt zur Abwanderung von Brainpower, jungen Menschen und finanziellen Mitteln. Wer glaubt, dass 100-prozentige Sicherheit erzielt werden kann, der irrt. Und er verhindert damit einen produktiven und professionellen Umgang mit den Herausforderungen dieser Zeit.
Um den Bogen zu ELGA zu schließen: Mit Sicherheit ist es ein struktureller und vermutlich politischer Fehler, ein neues Werkzeug (ELGA) zu etablieren und die Last der Bedienung und der Verantwortung einer Berufsgruppe – den niedergelassenen Ärzten – aufzudrängen, ohne die bestehende Überlastung zu berücksichtigen und für die Mehrleistung auch finanzielle Entschädigung anzubieten. Das konnte nur Widerstand produzieren.
Aber kein vernünftiger Mensch kann mit ruhigem Gewissen behaupten, dass die aktuelle Situation der Verwaltung von Gesundheitsdaten auch nur annähernd vernünftig ist. Es ist viel zu teuer, viel zu unpraktisch und viel zu unsicher, wenn Röntgenbilder, Befunde, Medikamentenverschreibungen auf einzelnen ausgedruckten Papieren oder Fotos irgendwo in Schubladen vermodern. Niemand hat einen guten Überblick über alle seine Arztbesuche, Blutbefunde, Medikamentenbezüge. Das ist teuer, sehr unkomfortabel und letztlich auch ein hohes Risiko für den Patienten. Wer da nicht versteht, dass man das im Jahr 2014 endlich mit einem hochprofessionellen IT-System besser machen kann, dem ist nicht zu helfen.
Ein hoher Anspruch an das System ist gut,
Kontrolle ist sehr gut, aber Blockade mit Killerargumenten aus dem letzten Jahrtausend
ist völlig falsch. Es ist an der Zeit, dass sich eine moderne österreichische
Gesellschafts- und Wirtschaftspolitik von anspruchsvolleren und zeitgemäßen
Fachleuten beraten lässt.
Tobias Höllwarth ist Vorstand der europäischen
Non-Profit Organisation EuroCloud und Mitglied einer Reihe von IT-Gremien in
der Europäischen Kommission und der internationalen Normungsorganisation ISO.
Höllwarth ist Autor des Werkes Cloud Migration, welches mittlerweile in 6
Sprachen übersetzt wurde. EuroCloud ist ein Non-profit Verband
der europäischen Cloud Computing-Industrie. EuroCloud Austria setzt sich für
Akzeptanz und bedarfsgerechte Bereitstellung von Cloud Services am
österreichischen Markt ein. Ziel ist es den Anschluss Österreichs an weltweite
IT Entwicklungen nicht zu verlieren und damit Arbeitsplätze und Wertschöpfung
in Österreich zu erhalten. Dabei steht EuroCloud Österreich in ständigem Dialog
mit den europäischen Partnern des EuroCloud-Netzwerks, um globale Lösungen zu
finden und den Boden für Ihre internationalen Geschäftsbeziehungen zu bereiten.
Höllwarth EuroCloud Cloud Buch
