Kategorien
E-Business Workflow

Backdoor Adé: der NSA ein Schnippchen schlagen mit Seafile

Wenn es nicht so mühsam wäre, eine private Cloud zu erstellen und zu unterhalten, dann würden es vermutlich weit mehr Teams und kleine Organisationen tun. In der Vergangenheit habe ich mich mit OwnCloud auseinandergesetzt, mit dem festen Vorsatz, wirklich damit arbeiten zu wollen. Letztlich konnte mich das Produkt nicht überzeugen. Die relativ neue Lösung Seafile macht da schon einen deutlich besseren ersten Eindruck…

seafile

Seafile: Chinesisch, aber Open Source

Seafile, ein direkter Wettbewerber zu den gängigen Synchronisationslösungen wie Dropbox, SugarSync und wie sie alle heißen, kommt mit einem gewichtigen Vorteil. Man kann die Software auf seinem eigenen Server installieren und ist damit, je nach Serverstandort, zumindest nicht im direkten Zugriff der noch nicht geläuterten Snowdens dieser Erde.

Auf den ersten Blick etwas unangenehm mag auf westliche Nutzer der Umstand wirken, dass Seafile von chinesischen Entwicklern, mithin auch nicht unbedingt aus der unverdächtigsten Ecke der Welt, stammt. Immerhin wird Seafile unter Open Source Lizenz entwickelt und abgegeben. Dahinter steckt eine bereits sehr aktive Community aus aller Welt.

seafile-homepage

Zusätzlich zur kostenlosen sog. Community-Edition vertreiben die Entwickler eine kostenpflichtige Pro-Version, die ein mehr an Möglichkeiten und Komfort bietet. Nennenswert dürfte hier insbesondere der Zugriff via WebDAV sein, der mit der kostenlosen Variante nicht möglich ist. Auch die Pro-Version ist für Selbsthoster gedacht.

Wer nicht selber hosten kann oder will, dem steht seit recht kurzer Zeit auch eine Cloud-Variante unter der Bezeichnung Seacloud zur Verfügung. In der Seacloud erhält man einen Account mit 1GB Speicherplatz kostenlos, in den größeren Varianten mit 100 oder 500 GB kostet das GB zehn Dollarcent pro Monat. Damit ist die Seacloud durchaus wettbewerbsfähig.

Die Seacloud wird in der Amazon-Cloud gehostet und fällt damit unter dem Gesichtspunkt, der NSA ein Schnippchen schlagen zu wollen, natürlich total aus. Man kann zwar in der Seacloud, wie in Seafile allgemein, jeden Ordner direkt verschlüsselt anlegen, was das allerdings für eine Wirkung hat, wenn die NSA mit den entsprechenden Geheimbeschlüssen winkt, ist ja hinlänglich bekannt.

Seafile, Seahub, Seafile Client – Quer über alle Plattformen

Der Seafile-Server steht derzeit nur für die Linux-Plattform, genauer für Debian, Ubuntu und CentOS, zur Verfügung. Eine Windows-Variante soll in Kürze folgen. Der Server ist recht einfach zu installieren und muss auf den unterstützten OS lediglich entpackt und gestartet werden. An der Konfiguration der Speicherumgebung führt natürlich dennoch kein Weg vorbei.

Seafile ist lediglich der Name des eigentlichen Servers. Um per Browser auf den Server sinnvoll zugreifen zu können, bedurfte es daher einer entsprechenden GUI. Diese hört auf den Namen Seahub und darf mit Fug und Recht als modern und elegant bezeichnet werden.

Sowohl für Linux, wie auch für Windows und Mac OS, insbesondere aber auch für die mobilen Betriebssysteme Android und iOS stehen Clients bereit, die im Falle der Desktop-OS eine echte Synchronisation bieten.

Die Vorgehensweise ist dabei etwas ungewöhnlich, aber schnell erlernt. Der zentrale Dreh- und Angelpunkt des Systems ist der Seahub. Hier werden Bibliotheken, im Grunde Hauptordner, erstellt, die dann aus dem Web nach der Installation des Clients in das entsprechende Seafile-Verzeichnis auf der lokalen Festplatte heruntergeladen werden. Nach diesem ersten initialen Download überwacht der Client sowohl das lokale Verzeichnis wie den Server und gleicht Änderungen schnell und zuverlässig ab. Der Client läuft dabei als Web-Service unter localhost.

seafile-client-working

Auf den ersten Blick sind die Abweichungen im Vergleich etwa zum Platzhirschen, der Dropbox, aus User-Sicht nur marginal, wenn man den größten Unterschied, die Möglichkeit des Selberhostens mal außer Betracht lässt. Bei näherem Hinsehen zeigen sich konzeptionelle Unterschiede.

Seafile – zunächst ein Kollaborationstool, dann erst Speicherservice

Seafile ist in erster Linie ein Kollaborationstool für Teams und erst in zweiter Linie ein Speicherdienst. Dropbox hingegen ist ein reiner Speicherdienst, der den Zugriff auf Dateien und Ordner im Wege der Freigabe erlaubt. In der Seacloud zahlt ein Mitglied den Speicherplatz geteilter Bibliotheken, in der Dropbox zahlt für einen 5 GB großen Ordner jeder Kollaborateur diesen Speicherplatz – bei fünf Teammitgliedern lässt sich Dropbox so 25 GB bezahlen. Das widerstrebt mir schon von Beginn an…

In Seafile gibt es das Konzept der Gruppen und der Bibliotheken. Gruppen sind Teams, die wiederum Zugriff auf Bibliotheken haben können, aber nicht grundsätzlich müssen. Gruppen können auch genutzt werden, um nach Twitter-Manier zu diskutieren oder gemeinsam an einem Wiki zu schreiben. Den vollen Nutzen erzielt man natürlich auch hier nur mit einer oder mehreren zur Gruppe hinzugefügten Bibliotheken.

seafile-share-gruppe

Dateien und Ordner können neben dieser gruppen-orientierten Vorgehensweise aber auch ganz klassisch per öffentlichem Link oder unter Eingabe einer Reihe von Mail-Adressen zugänglich gemacht werden. Alle Arten der Freigabe werden fein säuberlich katalogisiert und sind so jederzeit nachvollziehbar. Insgesamt erscheint Seahub, die GUI von Seafile sehr gut durchdacht. Einige Bereiche der Software können bereits mit deutscher Übersetzung verwendet werden, überall steht natürlich Englisch als UI-Sprache bereit.

Ein echter Knüller wäre es noch, wenn Seafile die Hojoki-Funktionalität, Dateien als Elemente zu verwalten und mit Kommentar- und/oder Task-Funktionen zu erweitern, implementieren würde. Das ist allerdings zum jetzigen Zeitpunkt Wunschdenken, wenn man dem Team auch rege Aktivität bescheinigen muss. Zusatzfeatures könnten also schneller Wirklichkeit werden, als man derzeit annehmen würde.

Im Ergebnis ist Seafile ein sich schnell entwickelnder Service, den man sich spätestens in Zeiten der totalen Überwachung näher ansehen muss. Die Seacloud bietet einen schönen Einstieg, um sich zunächst einmal mit dem Konzept vertraut zu machen und zu erkunden, ob die Installation auf dem eigenen Server überhaupt in Betracht gezogen werden sollte. So etwas ist ja schließlich auch immer eine Frage der persönlichen Vorlieben, des Bedienkonzepts und so weiter.

Was halten Sie von Seafile? Schon im Einsatz, noch in Planung oder nicht zu gebrauchen?

Links zum Beitrag:

Kategorien
E-Business Rechtliches

Was tun in Sachen Cloud-Computing? Konsequenzen aus PRISM & Co.

In den letzten Wochen haben die Enthüllungen über das US-amerikanische Überwachungsprogramm PRISM und das britische Tempora für große Aufregung gesorgt. Bürger, Behörden und Unternehmen fragen sich hierzulande nun, welche Konsequenzen sie aus den Enthüllungen ziehen sollen. Besonders drängend ist die Frage für diejenigen Unternehmen, die ihre Daten bereits auf Server US-amerikanischer Cloud-Anbieter ausgelagert haben oder dies in Zukunft vorhaben.

california-106943_640

Konsequenzen für deutsche Unternehmen

Die datenschutzrechtliche Relevanz von PRISM & Co. für deutsche Unternehmen verdeutlichte zuletzt die Pressemitteilung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 24. Juli 2013. Darin verkünden Deutschlands oberste Datenschützer, vorerst keine neuen Genehmigungen für die Datenübermittlung in sog. Drittstaaten (das sind alle Länder, die nicht zum Europäischen Wirtschaftsraum gehören) zu erteilen. Ausdrücklich betreffe dies auch Genehmigungen zur Nutzung „bestimmter Cloud-Dienste“. Es sei nicht gewährleistet, dass personenbezogene Daten, die deutsche Unternehmen in die USA und andere Drittstaaten übermitteln, dort einem angemessenem Datenschutzniveau unterliegen.

Außerdem wollen die Datenschutzbeauftragten nun prüfen, ob alle Datenübermittlungen auf Grundlage des Safe-Harbor-Abkommens und der EU-Standardvertragsklauseln auszusetzen sind, solange die Bundesregierung nicht dargelegt hat, „dass der unbeschränkte Zugriff ausländischer Nachrichtendienste auf die personenbezogenen Daten der Menschen in Deutschland im Sinne der genannten Grundsätze begrenzt wird.“

flag-129531_640

Die Entscheidung erscheint zunächst wie ein Paukenschlag. In der Presseberichterstattung wird zuweilen der Eindruck erweckt, als ob der Datenstrom in die USA nun versiege. So heißt es etwa: „Datenschützer stoppen neue Datentransfers von Firmen in die USA“ (heise Security) oder „Deutsche Datenschützer untersagen Datentransfers in die USA“ (Golem.de). Bei näherer Betrachtung relativiert sich dieser Eindruck jedoch.

Genehmigung nicht immer erforderlich

Die Ankündigung der Datenschützer verliert an Schärfe, betrachtet man sie vor dem datenschutzrechtlichen Hintergrund. Denn häufig ist für die Übermittlung von personenbezogenen Daten in das Ausland überhaupt keine Genehmigung der Datenschutzbehörden erforderlich. So ist nach den Vorschriften des Bundesdatenschutzgesetzes eine Genehmigung nicht erforderlich, wenn die Daten an einen Datenimporteur innerhalb des europäischen Wirtschaftsraumes oder in einem sogenannten „sicheren Drittstaat“ übermittelt werden sollen.

Welche Staaten als sichere Drittstaaten anzusehen sind, wird für die EU-Mitgliedsstaaten – und damit auch für die deutschen Datenschutzbehörden – verbindlich von der EU-Kommission festgelegt. Dazu gehören zum Beispiel Australien, Kanada, die Schweiz und Israel. Eine Sonderlage besteht für die USA: Die USA gelten an sich zwar nicht als sicherer Drittstaat.

camera-19223_640

Aufgrund des Safe-Harbor-Abkommens zwischen der EU-Kommission und dem US-Handelsministerium kann sich der Datenimporteur in den USA jedoch gegenüber der zuständigen US-Behörde zur Einhaltung der im Safe-Harbor-Abkommen enthaltenen Regelungen verpflichten. In diesem Fall gilt ausnahmsweise auch der Datentransfer in die USA als „sicher“, so dass die Genehmigung der deutschen Datenschutzbehörden nicht erforderlich ist. Eine aktuelle Übersichtüber die „sicheren Drittstaaten“ stellt die EU-Kommission auf ihrer Website bereit.

Eine Genehmigung ist ferner nicht erforderlich, wenn die Datenübermittlungen auf Grundlage der (unveränderten) EU-Standardvertragsklauseln erfolgen. Denn auch in diesem Fall hat die EU-Kommission für die Mitgliedsstaaten verbindlich festgestellt, dass in diesem Fall ein ausreichendes Datenschutzniveau gewährleistet ist.

Zusammenfassend kann daher festgestellt werden, dass Datenübermittlungen in die meisten für deutsche Unternehmen bedeutsamen Zielländer von Datenübermittlungen ohnehin keiner Genehmigung bedürfen. Insoweit geht die Ankündigung der Datenschützer, vorerst keine neuen Genehmigungen mehr zu erteilen, ins Leere.

Allerdings hat die Europäische Kommission am 19. Juli 2013 erklärt, dass sie das Safe-Harbor-Abkommen aus Anlass der jüngsten Enthüllungen einer Prüfung unterziehen wird. Die Prüfung soll bis Ende 2013 abgeschlossen sein. 

Untersagung von Datenübermittlungen

Soweit deutsche Unternehmen personenbezogene Daten aufgrund einer Genehmigung der Datenschutzbehörden in „unsichere Drittstaaten“ übermitteln, kann die zuständige Aufsichtsbehörde die von ihr erteilten Genehmigungen grundsätzlich zurücknehmen oder widerrufen. Die Datenschutzbehörden sind grundsätzlich auch befugt, bei Verstößen gegen das Bundesdatenschutzgesetz einzugreifen und Datenübermittlungen in das Ausland zu untersagen.

shredder-71775_640

In der Praxis dürfte sich ein solches Vorgehen jedoch schwierig gestalten, da die Behörden an die bindenden Feststellungen der EU-Kommission gebunden sind und darlegen müssten, inwiefern deutsches Datenschutzrecht durch die Datenübermittlungen verletzt wird bzw. die Gefahr eines Schadens besteht.

Die deutschen Behörden können das Safe-Harbor-Abkommen auch nicht außer Kraft setzen. Es können lediglich Datenübermittlungen an bestimmte US-Unternehmen auf Grundlage des Safe-Harbor-Abkommens untersagt werden. Auch hierzu müsste dargelegt werden, dass aufgrund der Datenübermittlung das „unmittelbar bevorstehende Risiko eines schweres Schadens“ besteht.

Dies dürfte in der Praxis schwierig sein. Ferner müsste das betroffene US-Unternehmen vor einer Verbotsmaßnahme angehört werden.

Ausblick

Es ist kaum vorstellbar, dass die deutschen Datenschutzbehörden ihre Androhung in die Tat umsetzen werden und gegen Datenübermittlungen in die USA und andere Drittstaaten vorgehen werden. Zum einen würde dies empfindliche und unvorhersehbare Folgen für die deutsche Wirtschaft zur Folge haben. Zum anderen ist bereits zweifelhaft, ob die gesetzlichen Voraussetzungen für solch einen massiven Eingriff vorliegen.

telescope-122960_640

Die Ankündigung der Datenschützer ist daher wohl vor allem als politisches Signal zu verstehen – insbesondere in Richtung der Bundesregierung und der EU-Kommission. Es wäre jedenfalls nicht das erste Mal, dass die Datenschützer zu solchen Mitteln greifen. Auf jeden Fall sollten deutsche Unternehmen die weiteren Entwicklungen im Blick behalten.

Die Autorin:

Die Rechtsanwältin Kathrin Schürmann ist seit 2007 in der Kanzlei Schürmann Wolschendorf Dreyer tätig und berät Unternehmen schwerpunktmäßig in Fragen des IT- und Datenschutzrechts sowie des Wettbewerbsrechts. Ein besonderer Fokus liegt dabei auf Unternehmen aus dem E-Business.

Die Expertin für Datenschutz und IT-Recht ist seit 2010 externe Datenschutzbeauftragte eines großen Online-Händlers.

In ihrer Funktion als Datenschutzexpertin arbeitet Kathrin Schürmann auch als Beraterin für die ISiCO Datenschutz GmbH, ein Unternehmen, welches Analyse, Auditierung, Beratung und Mitarbeiterschulung in den Bereichen Datenschutz, Datenschutz-Compliance und IT-Sicherheit anbietet.

Der obige Beitrag wurde unter tätiger Mithilfe eines wissenschaftlichen Mitarbeiters realisiert.