Wie nun in verschiedenen Medien zu lesen war, hat die diesjährige Konferenz der Datenschutzbeauftragten per Pressemitteilung einen Brief an die Europäische Kommission gesendet:

Link – Pressemitteilung

In diesem Brief wird angekündigt, das für einige US Unternehmen keine erneute Genehmigung zum Datentransfer von personenbezogenen Daten, unter anderem auch einige Cloud Dienste, erteilt wird.

Leider wird bisher nirgends erwähnt, welche Unternehmen dies sind oder welche Cloud Dienste hiervon betroffen werden.

Wenn ich nun mal vom “schlimmsten” Fall ausgehe, bedeutet das:

bei eBay:

– darf kein neuer deutscher Benutzer registriert werden
– dürfen deutsche keine Verkäufe oder Einkäufe tätigen

bei PayPal:

– dürfen von deutschen keine Transaktionen durchgeführt werden
(was im ürbigen für einige “Netzpolitiker” doch peinlich sein dürfte, das diese einer der grössten Datensammler nutzen, um Spenden einzuziehen – https://netzpolitik.org/2013/brief-an-merkel-und-eu-kommission-datenschutzkonferenz-fordert-aussetzung-des-safe-harbor-abkommens/ –> siehe die vielen Links zu PayPal um etwas zu spenden)

bei Amazon:

– dürfen deutsche keine Verkäufe oder Einkäufe mehr tätigen

Kreditkarteneinsatz (wie VISA oder Mastercard)

– dürfen von deutschen nicht genutzt werden

sonstiges:

– andere Zahlunsgoptionen wie BitCoin oder andere Onlinedienste dürfen nicht mehr von deutschen genutzt werden

– es kann von deutschen keine Software von einem US amerikanischen Unternehmen bezogen werden (z.B. Adobe (bestimmt bei 90% aller “revisionssicheren” Lösungen im Einsatz), McAffee oder andere Anti Viren Hersteller (die in Israel oder Russland sollen ja eh besser sein 😉 und viele andere)

– es darf keine IT mehr von US amerikanischen Unternehmen eingekauft werden (upps…)

– es darf keine Netzwerkausstattung von US amerikanischen Unternehmen mehr eingekauft werden (z.B. Cisco) (upps…)

– die Kabelnetze dürfen in Deutschland nicht genutzt (verkauft) werden (sind ja “US Medienmonster” geworden)

usw. usw. usw. Kurz gesagt, welches Internet und seine Dienste (und auch ausserhalb des Internets) sind dann noch nutzbar?

Mir drängt der Verdacht auf, dass man nun endlich die Weichen für ein “deutsches” Internet (oder auch europäisches) stellen will ohne genau nachzudenken, wie das Internet und gar die IT Wirtschaft in den letzten Jahren (Jahrzehnten) entstanden ist und arbeitet. Wie naiv muss man eigentlich sein und denken, dass ohne den Amis alles besser ist? (Sorry für die persönliche Note)

Sofern unsere Regierung (egal ob Deutschland oder EU) in jahrelange Prozesse sich auseinander diskutieren, wie man Bildung fördert und dann immer noch auf Fachkräfte aus dem Ausland angewiesen ist, solange man den Konzernen Unsummen an Steuervorteile schenkt (z.B. Amazon, Apple) oder der Argarwirtschaft mehr Subventionen genehmigt, als den lokalen KMUs, solange wird auch kaum etwas in Deutschland entstehen.

Nichts destotrotz, man sollte wie so oft den Aussagen der deutschen Datenschützer nicht immer alles Wort für Wort glauben, nur weil die so laut brüllen können… Denn wie so mancher in den letzten Jahren gelesen hat, handelt es sich um eine “EU-Model Clauses”, nicht um eine “DE” Vereinbarung. Hier wird auch darauf hingewiesen –> Link “Keine Genehmigungen mehr zum USA-Datenexport nach dem Safe Harbor-Abkommen. Geht das überhaupt?” Richtig, auch in meinen älteren Blogbeiträgen spreche ich von einem “EU-Vertrag”, der mit der USA abgeschlossen wurde.

Interessant ist auch folgender Textteil: (http://www.datenschutzbeauftragter-online.de/neue-eu-standardvertragsklauseln-auftragsdatenverarbeitung-drittlaender-auswirkungen-praxis/2999/)

Genehmigung der Aufsichtsbehörden entfällt bei Entscheidung durch die EU-Kommission
Eine Genehmigung durch die Aufsichtsbehörde ist jedoch dann nicht nötig, wenn bereits die Vertragsregelungen gewählt werden, die die EU-Kommission als ausreichende Garantien anerkannt hat. Durch die Entscheidungen der EU-Kommission werden die Mitgliedsstaaten gebunden. Damit müssen die Mitgliedstaaten anerkennen, dass Unternehmen, die die EU-Standardvertragsklauseln verwenden, ein angemessenes Datenschutzniveau aufweisen. Dann ist eine Genehmigung durch die Aufsichtsbehörde entbehrlich, soweit die Aufsichtsbehörden in der Lage sind, die Verwendung der Vertragsklauseln zu überprüfen. Es wird aber insoweit als ausreichend erachtet, wenn die Vertragsklauseln der Behörde auf Anfrage vorgelegt werden. Sobald aber selbst gestaltete Vertragsklauseln verwendet werden, kann dies nicht ohne weiteres angenommen werden. Eine behördliche Genehmigung muss dann eingeholt werden.

Sicher, nun kann man als gelernter Jurist noch all die Feinheiten dazu addieren… Aber als “Otto-Normal” Verbraucher müssen Anordnungen “verständlich sein” und dieses trifft in diesem Absatz zu.

Personenbezogene Daten – Dokumente – Abrechnungsinformationen

Bei dieser ganzen Diskussion wird durchaus vergessen, dass einige Unternehmen gar nicht alle Daten nach USA exportieren, sondern diese in der EU verbleiben. So wie dies auch bei Microsoft und dem kommerziellen Office 365 Angeboten der Fall ist.

Es gibt nämlich zwei Arten von “personenbezogenen Daten”. Einmal die eines Kunden von Microsoft und einmal die Daten, welcher ein Kunde in seiner eigenen Verantwortung in der kommerziellen Office 365 Cloud speichert.
Meiner persönlichen Meinung nach, kann es keine Diskussion darüber geben, dass eine Firma die Daten seiner Kunden in der Firmenzentrale speichert und verarbeitet. Schliesslich müssen in jedem Land Finanztechnische Auflagen erfüllt werden. Stellen Sie sich vor, die USA würde den Export von personenbezogenen Daten verbieten. Sie kaufen aber nun in den Staaten zu supergünstigen Konditionen ein Objekt Ihrer Begierde und müssen das steuerlich geltend machen. Auf der Rechnung ist aber ein geschwärzter Absender (da die Informationen ja nicht exportiert werden dürfen) und Sie reichen dies Ihrem Finanzbeamten ein. Wetten, das auch Sie die Antwort der Ablehnung kennen?
Sicher, die Firma, die Kundendaten besitzt muss bestimmte Auflagen einhalten wie das Verbot von Adresshandel etc. Aber wird deswegen gleich eine ganzes Land oder eine ganzer Wirtschaftszweig verboten?

Viel wichtiger sind doch die Daten, die Sie als Nutzer von Clouddiensten speichern bzw. (vertragskonform) verarbeiten lassen. Doch interessanter Weise hat auch hier (zumindest in Deutschland) irgendwie die Finanzbehörde wieder die eigentliche Schuld… Von wem kommen denn die Auflagen, Sie müssen Rechnungen x Jahre aufbewahren, Sie müssen jederzeit einem Finanzbeamten die Daten darstellen können, Sie müssen unter Umständen ganze Vorfälle bis ins kleinste Detail darstellen (on-Hold) usw. usw. usw. Was denken denn die ganzen Behörden, wenn eine Firma das alles umsetzen muss, weil er keine Portokasse für die Strafgelder wie die großen hat, wie er das finanzieren kann? Richtig, durch günstige Cloud Angebote. Der KMU Bereich hat doch gar nicht mehr die Mittel, um hochverfügbare Systeme an getrennten Standorten zu finanzieren. Da wird häufig nach dem Geld geschaut. Sicher ist der Blick nur auf den Geldbeutel auch nicht das wahre, denn die eigentliche Sicherheit, auch für Dokumenteninhalte, sind halt nicht kostenfrei.

Im kommerziellen Office 365 werden die von Ihnen gespeicherten Daten nicht nur auf verschlüsselten Festplatten bzw. Dateiträger gespeichert, sondern es wird sogar das Speichern von verschlüsselten Dokumenten unterstützt (und empfohlen). Das bedeutet, wenn Sie als deutsches Unternehmen, oder als Freiberufler oder als Privatperson mindestens einen Office E1 Plan bestellen und bei der Bestellung auch Ihren tatsächlichen Unternehmenssitz in Deutschland angeben, erhalten Sie folgende Möglichkeiten und Zusicherungen:
– Ihre Daten (Dokumente) werden in der EU (Dublin bzw. Amsterdam) gespeichert
– Sie können Ihre Daten und Dokumente mit dem Microsoft RMS Dienst verschlüsseln und somit in verschlüsselter Form bei Microsoft innerhalb der EU speichern
– Sie haben in der aktuellen Office 365 Version noch mehr Möglichkeiten, sich vor dem Verlust von Informationen zu schützen und aber auch die unberechtigte Nutzung in Form von Protokollen zu erkennen.

Über die Möglichkeiten habe ich ja auch in diesem Blog und in vielen Vorträgen gezeigt, zuletzt hier “Wie sicher ist die Cloud?

Als gebürtiger West Berliner bin ich noch immer froh, das die Mauer vor vielen Jahren gefallen ist, nun scheint eine neue (virtuelle) zu entstehen… Schade. Unter “grenzenlose Freiheit” habe ich auch im Internet etwas anderes verstanden. Und solange in Deutschland Gesetze geschaffen werden, die den deutschen Behörden unbeschränkten Zugriff gewährleisten, ist keine Behörde besser wie die andere.

Nun wünsche ich eine Gute Nacht allen Lesern
Gruss
Michael

PS: Der Beitrag spiegelt meine persönliche Meinung wieder. In juristischen Fragen wenden Sie sich bitte an Ihre zuständige Behörde bzw. Ihrem persönlichen Rechtsberater…

Weitere Links:

Adobe – Safe-Harbor Kommentar

Mastercard Safe-Harbor

Microsoft Office 365 Trust Center

Microsoft CRM Online Trust Center

Microsoft Windows AZURE Trust Center

Microsoft: Office 365 – How We Use Your Data

Microsoft: Office 365 – Where is my data?

The short URL of the present article is: http://wp.me/p1MQAv-Ok

Tagged with:

Filed under: CloudOffice365Security