Das europäische Parlament stimmt am heutigen Donnerstag erneut über das neue Datenschutzgesetz ab. Mit der voraussichtlich 2018 in Kraft tretenden Regelung werden Onlinedatenschutz und -privatsphäre europaweit gestärkt und vereinheitlicht. Trotz gemischter Gefühle im in Datenschutzfragen noch stärker regulierten Deutschland bedeutet dies auch Vorteile für deutsche Nutzer. Schließlich steht Deutschland mit seinen hohen Erwartungen an internationale Anbieter nun nicht mehr allein da, sondern hat das gesamte Gewicht Europas hinter sich.

Tresorit-Gründer und Sicherheitsexperte Istvan Lam begrüßt die neue EU-Datenschutz-Grundverordnung, stellt jedoch fest, dass ein einzelnes Gesetz nicht ausreichen wird, die Privatsphäre der europäischen Internetnutzer zu schützen. Als Lösung zu diesem sehr komplexen Problem, schlägt er eine einfach zu nutzende Checkliste mit drei Grundpfeilern vor, die den Nutzern hilft, für sich den richtigen, auf Datenschutz optimierten Anbieter zu finden.

»Trotz der neuen EU-Datenschutz-Verordnung ist natürlich noch einiges zu tun. Vergleicht man die Entwicklungen der Sicherheitsstandards mit der Automobilindustrie, sind wir nun an einem Punkt, an dem alle Hersteller Sicherheitsgurte liefern müssen – aber noch längst kein ABS und keine Airbags.

Die neue Datenschutzverordnung ist deshalb kein Allheilmittel für alle unsere Datenschutzprobleme. Zum Beispiel gibt es noch immer Raum für nationale Regierungsbehörden, Bürger durch Hintertüren in der Sicherheitstechnik zu überwachen. Auch mit den besten Absichten und großen Anstrengungen der EU-Gesetzgeber ist damit weiterhin keine vollkommene Privatsphäre garantiert.

Checkliste für drei Säulen für Datenschutz und Privatsphäre

Man kann das Problem ganzheitlich von drei Seiten her betrachten und angehen: technologisch, rechtlich und physisch. Die sicherste Lösung bleibt noch immer eine Kombination aus Ende-zu-Ende-Verschlüsselung von vertrauenswürdigen europäischen Anbietern mit Servern in Europa. Auf diese Weise können Sie sicher sein, dass der gesamte Service dafür designt wurde, Ihre Privatsphäre zu sichern. Es gibt einige großartige Beispiele für Anbieter, die diesen Standards entsprechen: Etwa der E-Mail-Anbieter ProtonMail und die Messenger-App Threema. Genau wie diese Dienste, geht auch Tresorit Sicherheit von allen drei Seiten an.

Diese Checkliste kann Ihnen helfen, schnell einen sicheren Anbieter zu finden, ohne sich tief in das Kleingedruckte und die komplizierten technischen Details jedes Anbieters graben zu müssen. Vielleicht hilft es Ihnen auch dabei zu verstehen, warum die neue Verschlüsselung bei WhatsApp von vielen Sicherheitsexperten noch immer nicht als ausreichend für Ihren Datenschutz gesehen wird.

1. Technologisch: Ihr Anbieter sollte sogenannte »Zero-Knowledge«-Technologie beziehungsweise »Ende-zu-Ende-Verschlüsselung« nutzen. Das bedeutet, dass Ihre Daten so verschlüsselt werden, dass diese nur von Ihrem Endgerät entschlüsselt werden können. Behörden, Hacker und auch Mitarbeiter Ihres Onlinedienstes haben damit keine Möglichkeit, den Inhalt der Dateien oder Kommunikation zu sehen.
2. Rechtlich: Ihre Metadaten (das sind notwendige Zusatzdaten wie etwa Ihre E-Mail-Adresse, Konto- oder Standortinformationen) sollten von strengen Gesetzen geschützt werden. Einige Länder wie etwa Deutschland, Schweiz, Neuseeland und Island gelten als solche Länder. Recherchieren Sie dafür auf der Kontaktseite oder im Impressum Ihres Anbieters, wo dieser registriert ist. Nach schweizer Recht muss beziehungsweise kann der Dienstleister dadurch Ihre Daten vor Fremdeingriffen – selbst vor ausländischen Geheimdiensten – schützen.
3. Physisch: Auch der Standort der Server Ihres Anbieters kann die Sicherheit Ihrer Daten vor fremden Zugriffen und physischen Angriffen stärker beeinflussen als gedacht. Ganz besonders wenn die ersten beiden Kriterien nicht erfüllt sind. Dienstleister nutzen daher niederländische und irische Rechenzentren von Microsoft Azure, die marktführende und EU-zertifizierte physische Sicherheit bieten und damit Serverausfällen und Datenverlust (etwa durch Erdbeben) sehr gut vorbeugen.

Zusätzlich zu diesen drei Säulen raten wir dazu, dass Sie auch auf andere einfache Details achten, die Ihnen Hinweise darauf geben können, wie ernst Ihr Anbieter den Datenschutz seiner Nutzer nimmt. Wird sich um Transparenz bemüht? Werden Sie gefragt, bevor Daten mit Dritten geteilt werden? Wenn Sie nach persönlichen Daten gefragt? Wird Ihnen plausibel erklärt, wofür diese Daten gebraucht werden? Die richtigen Antworten auf diese Fragen sind eine sehr subjektive Sache – aber Sie sollten nie aufhören, zu hinterfragen, ob Sie die Antworten des Anbieters überzeugend finden oder nicht.«