Wo bleibt der Verbraucherschutz für die Cloud? 

München, April 2018 - Von Karsten Schramm* 

Das GS-Siegel bescheinigt technischen Produkten, dass sie den Anforderungen des sogenannten Produktsicherheitsgesetzes entsprechen. Qualitativ minderwertigen Arzneimitteln wird von Behörden wie dem Bundesinstitut für Arzneimittel und Medizinprodukte die Zulassung verweigert. Geht von einem mangelbehafteten Auto möglicherweise Gefahr für die Öffentlichkeit aus, zieht es der TÜV aus dem Verkehr. 

In fast allen wichtigen Lebensbereichen wachen Instrumente des Verbraucherschutzes darüber, dass Menschen durch fehlerhafte Produkte keinen Schaden erleiden. Aber eben nicht in allen. Mit dem Thema Cloud ist ein Lebensbereich bislang völlig außen vor, der in unserer aller Leben immer mehr eine tragende Rolle spielt – sei es beim Austausch von Bildern mit Freunden, beim Online-Gaming oder beim Streamen von Filmen und Musik. Wer glaubt, das sei auch gar nicht nötig, weil die Cloud ohnehin keinen großen Schaden anrichten kann, da sie nicht „körperlich“ ist, der irrt. Durch missbräuchlichen Einsatz werden Selbstbestimmung und Privatsphäre der Nutzer massiv verletzt; und im Extremfall kann dieser Missbrauch sogar die Sicherheit gefährden. 

Sehr viele Dienste und Apps enthalten heute Cloud-Komponenten, obwohl das für ihre Funktionsfähigkeit gar nicht erforderlich ist. Vorgeblich dient das dem Komfort und der Bequemlichkeit der Anwender. In Wahrheit steckt aber oft die Absicht dahinter, die Nutzer in eine Abhängigkeit zu bringen und so viele Informationen wie möglich über die Kunden und deren Verhalten auszuspionieren. Die Anbieter nutzen die Verbindungen der Apps zu ihren Servern, um ihre Produkte durch Updates von heute auf morgen zu verändern, vorhandene Funktionen einzuschränken oder neue Funktionen hinzuzufügen – egal, ob der Nutzer das will, oder nicht. Damit ist er vollständig von den Vorgaben des Anbieters abhängig und verliert die Kontrolle über das Produkt, wie er es in der ursprünglichen Form erworben hat. 

Noch schwerwiegender ist, dass Cloud-Verbindungen dazu verwendet werden, umfassende Daten zu erheben, die für das Funktionieren der Anwendungen überhaupt nicht notwendig sind. So geben viele Apps oder Services vor, unterhaltsame Spiele oder nützliche Werkzeuge zu sein; in Wahrheit sammeln sie aber vor allem umfassende Informationen über den Nutzer. Diese Daten werden analysiert und gewinnbringend vermietet beziehungsweise verkauft. Eine solche Software kann nur noch als Malware bezeichnet werden. 

Sehr ärgerlich ist, wenn Anwendungen nur noch dann funktionieren, wenn sie eine Verbindung zur Cloud aufbauen können – selbst wenn das für die Zweckerfüllung gar nicht erforderlich ist. Kommt es zu einem Serverausfall beim Anbieter oder hängt die Internet-Verbindung, steht das ganze System still. Bei einer Spiele- oder Wetter-App ist das vielleicht nur ärgerlich. Bei einer IoT-Anwendung kann das sogar gefährlich werden und mindestens Sachschäden verursachen - etwa, wenn ein Smart-Home-System ausfällt, während die Bewohner sich im Urlaub befinden, und deshalb keine Kontrolle mehr über Heizung, Gartenbewässerung oder Fenster erfolgt. 

Das Gebot der Cloud-Vermeidung muss gelten 

Nur um Missverständnissen vorzubeugen: Die Cloud hat absolut ihre Daseinsberechtigung. Sie ermöglicht hilfreiche Anwendungen und Services, die es ohne sie nicht gäbe. Aber ihrem Missbrauch gehört ein Ende gesetzt ¬– und deshalb muss dringend ein Verbraucherschutz für die Cloud her. 

Im Datenschutz gibt es nicht umsonst das Gebot der Datenvermeidung. Es besagt, dass nur diejenigen personenbezogenen Daten verarbeitet werden dürfen, die für die jeweilige Anwendung unbedingt notwendig sind. Analog dazu muss es ein Gebot der Cloud-Vermeidung geben. Es gehört gesetzlich vorgeschrieben, dass Cloud-Komponenten nur dann eingesetzt werden dürfen, wenn das für den beworbenen Zweck einer Anwendung unverzichtbar ist oder der Anwender es explizit wünscht. Und alle Daten, die über solche Cloud-Komponenten erhoben werden, müssen als Eigentum des Anwenders betrachtet und entsprechend geschützt werden. Alles andere sind schädliche Nebenwirkungen, die eine Zulassung des Produktes verbieten. Verstöße gegen diese Vorschriften sind natürlich zu sanktionieren und die betroffenen Produkte müssen aus dem Verkehr gezogen werden. Genauso, wie es eben bei unsicheren Autos, schädlichen Medikamenten oder gefährlichen Elektrogeräten gang und gäbe ist. 

Dann wäre es auch endlich mit den unsäglichen AGB-Tricksereien vorbei, über die sich viele Anbieter ihre Bevormundung und ihren Datendiebstahl von den Nutzern legitimieren lassen. Die Klauseln verstießen dann gegen geltendes Recht und wären unwirksam. Natürlich würde das auch bedeuten, dass vielleicht einige außereuropäische Hersteller ihre Lösungen hier nicht mehr anbieten, weil sie nicht gewillt sind, sich an die hiesigen Vorgaben anzupassen. Aber wäre das wirklich so schlimm? Es würden dann entsprechende Lösungen für Europa in Europa selbst entwickelt und unser gemeinsamer Wirtschaftsraum wäre weniger abhängig von amerikanischen und asiatischen Produkten. Ein Cloud-Verbraucherschutz schützt deshalb nicht nur die Verbraucher, sondern stärkt auch den IT-Standort Europa. 

*Karsten Schramm ist Aufsichtsratsvorsitzender des Münchner Start-ups Brabbler (www.brabbler.ag), das sich für Privatsphäre, Vertraulichkeit und Sicherheit im Internet einsetzt und mit “ginlo“ eine Alternative zu den viel zu datenhungrigen Apps offeriert (www.ginlo.net).