[English]Nach längeren Verhandlungen mit dem Datenschutzbeauftragten von Baden-Württemberg will Microsoft den Schutz für die Daten, die in die USA übertragen werden, für seine europäischen Kunden erhöhen. Microsoft will sich juristisch gegen Herausgabeverlangen der US-Regierung oder -Justiz zur Wehr setzen. Kleine Übersicht, um was es geht.
Anzeige
Die Microsoft-Cloud und der Datentransfer in die USA
Kunden der Microsoft Cloud wissen oft nicht, wo ihre Daten wirklich gespeichert werden. Diese verbleiben zwar im Azure-Netzwerk, aber die Server, auf denen sie gespeichert werden, sind nicht immer bekannt. Microsoft hat Anfang November 2020 diesen Blog-Beitrag mit einigen Erläuterungen zu diesem Thema veröffentlicht. Aber Kunden müssen oft Daten zwischen verschiedenen Ländern übertragen – und da kann es auch sein, dass Daten von Microsoft-365-Kunden in den USA landen.
Es gab zwar ein Datenschutzabkommen "Privacy Shield", welches zwischen den USA und der EU geschlossen worden war, um den Datentransfer juristisch abzusegnen. Aber genau dieses Abkommen ist im Sommer 2020 durch den Europäischen Gerichtshof gekippt worden (siehe EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield"). Der Transfer von Benutzerdaten in die USA ist daher nicht mehr zulässig.
Microsoft will das Schutzniveau erhöhen
In diesem News-Beitrag kündigt Microsoft an, dass man das erste Unternehmen sei, das auf den Empfehlungsentwurf des Europäischen Datenschutzausschusses mit neuen Verpflichtungen reagiert. Mit den nachfolgend angekündigten Schritten, die über die gesetzlichen Vorgaben und die Empfehlungen des Europäischen Datenschutzausschusses hinausgehen, will man das Datenschutzniveau erhöhen. Hier die angekündigten Maßnahmen.
- Erstens verpflichtet Microsoft sich,dass man jede Anfrage einer staatlichen Stelle – egal von welcher Regierung – nach Daten von Microsoft Unternehmenskunden oder Kunden aus dem öffentlichen Sektor anfechten wird, wenn es dafür eine rechtliche Grundlage gibt. Diese umfassende Verpflichtung geht über die vorgeschlagenen Empfehlungen des Europäischen Datenschutzausschusses hinaus.
- Zweitens will Microsoft Nutzer seiner Kunden finanziell entschädigen, wenn Microsoft deren Daten aufgrund einer Anfrage einer staatlichen Stelle unter Verletzung EU-Datenschutz-Grundverordnung (EU-DS-GVO) offenlegen müssen. Diese Verpflichtung geht ebenfalls über die Empfehlungen des Europäischen Datenschutzausschusses hinaus.
Damit will Microsoft seine Zuversicht zeigen, dass man die Daten seiner Unternehmenskunden und seiner Kunden aus dem öffentlichen Sektor schützen kann und dass diese Daten keiner unangemessenen Offenlegung aussetzen werden. In der Ankündigung schreibt Microsoft, dass man keiner staatlichen Stelle direkten, ungehinderten Zugang zu den Daten seiner Kunden gewähre. Falls eine Regierung Kundendaten von Microsoft verlangt, muss sie den geltenden rechtlichen Verfahren folgen. Microsoft will den Forderungen nur dann nachkommen, wenn das Unternehmen eindeutig dazu gezwungen wird. Microsofts erster Schritt besteht immer in dem Versuch, solche Anfragen an unsere Kunden weiterzuleiten oder sie darüber zu informieren. Wenn Microsoft überzeugt ist, dass diese Anfragen nicht legal sind, werden diese routinemäßig abgelehnt oder angefochten.
Anzeige
Eine kurze Bewertung
Für mich liest sich das alles wie ein Feigenblatt 'wir wollen ja, aber ob wir dürfen, entscheiden andere'. Die Kollegen von Golem haben beim Datenschutzbeauftragen Baden-Württembergs, Stefan Brink, nachgefragt. Laut diesem Artikel sieht Brink die juristischen Fragen zum Schrems-II-Urteil zufriedenstellend geklärt. Offen blieben jedoch technische Fragen (der Datentransfer findet ja weiter statt). Brink gibt gegenüber Golem an, dass man Microsofts Vorschläge noch in der Datenschutzkonferenz von Bund und Ländern bewerten werde. Dort erwartet der Datenschützer eine kontroverse Diskussion, denn die Gier der US-Geheimdienste und der US-Administration ist ja ungebremst.
Der Landesbeauftragte für Datenschutz von Baden-Württembergs, Stefan Brink, hat zum Thema eine Pressemitteilung mit dem Titel #DSGVOwirkt: Microsoft passt sich europäischem Datenschutz an veröffentlicht. Ich stelle diese nachfolgend einfach mal zur Lektüre ein.
Der internationale Datentransfer aus Europa in die USA ist nach dem Urteil des Europäischen Gerichtshofs zu Schrems II vom Juli 2020 nur noch sehr eingeschränkt möglich, obwohl zahlreiche US- Anbieter zentrale Akteure der weltweiten Datenverarbeitung sind.
Ein Grund dafür ist die aus Sicht des EuGHs völlig überzogene Massenüberwachung durch US-amerikanische Sicherheitsbehörden, wie die NSA, weswegen Daten von Europäern nur noch unter ergänzenden Schutzmaßnahmen in die USA übermittelt werden dürfen. Der Europäische Datenschutzausschuss hat in der vergangenen Woche erste Handlungsempfehlungen zur Ausgestaltung von Schutzmaßnahmen abgegeben und zu einer Konsultation eingeladen.
Alle Beteiligten und Entscheidungsträger im internationalen Datentransfer sind aufgerufen, rechtlich haltbare Lösungen auf der Basis geeigneter Schutzmaßnahmen zu finden, die den Belangen des europäischen Datenschutzes hinreichend Rechnung tragen.
Microsoft hat jetzt als einer der zentralen Anbieter global vernetzter IT-Produkte für Unternehmen einige Vorschläge für Garantien gemacht, die unmittelbar die Nutzerrechte stärken.
Eine Bewertung dieser Vorschläge wird nun von allen Entscheidungsträgern vorgenommen, so auch in den unmittelbar anstehenden Beratungen der Datenschutzkonferenz.
Als Beitrag zu diesen Beratungen bewerten die Datenschutzbeauftragten der Länder Baden-Württemberg, Bayern und Hessen diese Anpassung von Microsoft in ihren jeweiligen Stellungnahmen.
LfDI Stefan Brink: „Wenn ein datenverarbeitendes Unternehmen künftig auf dem europäischen Markt agieren will, muss es europäische Rechtsstandards erfüllen, insbesondere die DS-GVO einhalten. Dazu gehört, dass die Unternehmen Betroffene informieren, wenn Sicherheitsbehörden Zugriff auf ihre Daten erlangen. Wir haben im September Unternehmen Empfehlungen zum internationalen Datentransfer gegeben, auch Microsoft. Es ist gut und notwendig, dass das Unternehmen sich nach dem europäischen Datenschutz richtet und seine Vertragsklauseln entsprechend ändert. Der Europäischen Gerichtshof hat eindeutig entschieden, dass Datenflüsse aus Europa in die USA ohne solche zusätzliche Maßnahmen nicht mehr zulässig sind."
Die neuen Vertragsklauseln von Microsoft enthalten Regelungen über
- den Anspruch auf Schadensersatz für die betroffene Person, deren Daten unrechtmäßig verarbeitet wurden und die dadurch einen materiellen oder immateriellen Schaden erlitten hat;
- die Information der betroffenen Person, wenn Microsoft durch eine staatliche Anordnung rechtlich bindend dazu verpflichtet wurde, Daten an US-Sicherheitsbehörden herauszugeben;
- die Verpflichtung von Microsoft, den Rechtsweg zu beschreiten und die US-Gerichte anzurufen, um die behördliche Anordnung zur Herausgabe der Daten anzufechten.
Damit sei, so die gemeinsame Bewertung der beteiligten Datenschutzaufsichtsbehörden, zwar die Transferproblematik in die USA nicht generell gelöst – denn eine Ergänzung der Standardvertragsklauseln könne eben nicht dazu führen, dass der vom Europäischen Gerichtshof als unverhältnismäßig beanstandete Zugriff der US-amerikanischen Geheimdienste auf die Daten unterbunden werde.
Aber dass sich Microsoft als einer der größten, international agierenden Konzerne weltweit, mit einer erheblichen Marktmacht in Europa, nun in die richtige Richtung bewege und wesentliche Verbesserungen für die Rechte der Europäischen Bürgerinnen und Bürger in seine Vertragsklauseln aufnehme, sei ein wichtiger Schritt und ein deutliches Signal an andere Anbieter, diesem Beispiel zu folgen.
Noch vor Jahresende wird die Datenschutzkonferenz (Konferenz der Datenschutzbeauftragten der Länder und des Bundes, DSK) ihre Gespräche mit Microsoft zum Office-Paket fortsetzen – die nun erzielten Fortschritte versprechen dafür „Rückenwind".
Anzeige
"anfechten wird, wenn es dafür eine rechtliche Grundlage gibt. "
Welche rechtliche Grundlage zum anfechten soll denn da noch vorhanden sein?
Die Verpflichtung die Daten als US Unternehmen den US Behörden zur Verfügung zu stellen ist doch mehr als eindeutig.
"Microsofts erster Schritt besteht immer in dem Versuch, solche Anfragen an unsere Kunden weiterzuleiten oder sie darüber zu informieren"
Darf MS den Kunden überhaupt über den Vorgang informieren? Ich glaube nicht, den das wäre für Ermittlungen seitens der US Behörden Kontraproduktiv. Daher wird der Versuch nie ein echter Versuch sein.
Ich bin immer noch der Meinung das die EU jeglichen Hersteller von kommerzieller Software/Hardware verpflichten muss, der seine Ware oder Dienstleistung in der EU vertreibt, das seine Sofware/Hardware/Dienstleitung per "default" DSGVO Konform betrieben werden kann. Unabhängig ob es es sich dabei um eine Software für den privaten, geschäftlichen oder behördlichen Gebrauch handelt. Garantiert der Herstellter das nicht, darf er die Ware nicht auf dem Europäischen Markt anbieten.
Dann würde dieser ganze Eiertanz aufhören mit irgendwelchen "spezial" Versionen für Schulen/Behörden, die dann DSGVO Konform sein sollen, während Lieschen Müller mit ihrer Home, und Firmen mit Pro Editionen weiter in Rechtsunsicherheit schweben.
Der Witz ist ja, daß nicht einmal die an Schulen eingesetzten Versionen "wirklich" DSGVO-konform sind. Nach wie vor wird vom BSI nicht näher erläuterter Traffic der Systeme erzeugt, der bis jetzt nicht bekannt ist.
Und wenn das BSI schon darüber stolpert – die Schlafmützen der Nation* – dann soll das schon was heissen.
* im weltweiten Vergleich
Ansonsten hast Du mit Deinen Überlegungen m. E. vollkommen recht. Das ist wieder mal sinnfreies Gebrabbel. Die Rechtslage in den USA ist eindeutig und da steht auch Microsoft nicht drüber. Dazu müßten erstmal die dort bestehenden Gesetze geändert und die jeweiligen Einrichtungen entmachtet werden.
"Nach wie vor wird vom BSI nicht näher erläuterter Traffic der Systeme erzeugt"
Ist natürlich falsch formuliert. Es soll ERKANNT heissen, nicht ERZEUGT… -.-
"Erstens verpflichtet Microsoft sich,dass man jede Anfrage einer staatlichen Stelle – egal von welcher Regierung – nach Daten von Microsoft Unternehmenskunden oder Kunden aus dem öffentlichen Sektor anfechten wird, *** wenn es dafür eine rechtliche Grundlage gibt. ***"
Dann berufen wir uns kurzerhand auf den Patriot Act und alles ist erledigt. Keine Wehrmöglichkeiten, keine Erlaubnis Auskünfte zu Anfragen zu erteilen.
Unternehmens-typisch viel Geschwurbel um gar nichts. Die Anzahl der geschriebenen Wörter in ihren Vorschlägen ändert nicht die dort herrschende Gesetzgebung. Das begreifen anscheinend zu wenige.
Diese Willensbekundung (Selbstverpflichtung) von MS ändert eigentlich nichts.
Heiße Luft um das Geschäft zu retten?
Ich meine zu wissen, dass keine Daten sicher sind, wenn in einer europäischen Firma auch nur ein amerikanischer Bürger arbeitet, z.B. als Admin.
Es ist z.B. nicht nur so, dass z.B. Office 365 gegen die DSGVO verstößt, sondern auch gegen die Persönlichkeitsrechte der Anwender, gegen das Mitsprache- und Informationsrecht von Betriebsräten.
Dieses System ist somit nicht Gesetzeskonform zu betreiben und die AG machen
sich unter Umständen sogar Strafbar!
Analog dazu, glaube ich, dass das auch auf Windows 10 zu trifft!
Ich hoffe, dass da endlich mal eine Organisation Eier in der Hose hat und den Klageweg beschreitet.
Von der Politik braucht niemand zu erwarten, dass das jemals unterbunden wird.
Egal ob EU oder Regierung(en).
Somit bleibt für mich, alles was ich in den letzten 20-30 Jahren gelernt habe über Board zu werfen, und mir einzugestehen auf's falsche Pferd gesetzt zu haben,
oder zu Mitteln der Notwehr zu greifen!
Im System alle Schalter zur Datenanalyse auf "off" zu setzen,
und zusätzlich Pi-Hole zu nutzen.
Ist aber auch nicht wirklich der Weisheit letzter Schluss.
Ich hadere noch. Zu viel Zeit, zu viel Geld würden sich in Rauch auflösen,
und ich scheue auch etwas den Neuanfang und eventuelle Ausgaben.
Pi-hole ist aus zweierlei Gründen bei diesem "Problem" wirkungslos:
1. Es werden lediglich DNS-Aufrufe blockiert, sprich… bei der Adresse "ichsammelinfos.microsoft.com" wird dem System als Adresse was sinnfreies zurückgegeben. Das hat aber exakt null Auswirkung, wenn das System die IP-Adressen direkt aufruft
2. Windows 10 einen separaten Mini-DNS, der derlei Blockaden umgehen kann und transparent läuft. Hier hilft einzig und alleine eine zusätzliche Firewall, die auf einem separatem Host – oder als standalone Gerät – laufen muß.
Die Klagen, die angestrebt werden, werden im Nichts verpuffen. Und Microsoft selber kann keine Zusagen machen, da sie eben dem Patriot Act unterliegen. Es kann also nur heiße Luft entstehen, selbst wenn sie es anders machen wollten. Wahlweise könnten sie natürlich Amerika verlassen, sich in der EU niederlassen und sämtliche Verbindungen zu US-Bürgern – die schon einen Einsatz des Patriot Act legitimieren würden – kappen. Klingt unwahrscheinlich? Ja, definitiv. Darum wird sich in dem Punkt auch nichts ändern, solange das primäre System in den USA sich nicht ändert.
Zumal steht da ja geschrieben, "…nach Daten von Microsoft Unternehmenskunden oder Kunden aus dem öffentlichen Sektor anfechten wird, wenn es dafür eine rechtliche Grundlage gibt.", das bedeutet das Privat Personen, bzw. Privat genutzte Windows Rechner mit oder ohne Office 365 über keinerlei Rechtliche Grundlagen verfügen überhaupt zu klagen, geschweige denn das es völlig Sinnlos ist als Privatperson in America als Privat Person zu klagen.
Zumal ich ja auch gar nicht erkennen kann ob meine Daten in der Cloud an dritte weitergegeben wurden/beziehungsweise von dritten eingesehen wurden.
Insbesondere erlaubt es ja der Patriot Act nicht mal mich davon zu informieren, egal ob Microsoft, Google Chrome/OS oder Apple sind diese Betriebssysteme einfach weder DSGVO konform, als auch als Sicher einzustufen.
Das letzte bisschen Hoffnung ist damit wie eine Seifenblase auch zerplatzt.
Letzt endlich bedeutet das bloß man muss sich von diesen Betriebssystem verabschieden und zu anderen Wechseln und hoffen das Linux es besser macht!
geschrieben von einem Linux Mint 20 Ulyana
Microsofts Marketing-Geschwurbel in allen Ehren, aber mit Inkrafttreten des CLOUD-Acts hat der Konzern keinerlei rechtliche Handhabe mehr, ein Anfragegesuch abzulehnen.