.: Daniel Melanchthon :.

Banging your head against a wall uses 150 Calories an hour.

Datenschutz in der Microsoft Cloud

Datenschutz in der Microsoft Cloud

  • Comments 3
  • Likes

Microsoft Law and Corporate Affairs (LCA) Deutschland hat vor kurzem ein Kompendium zum Datenschutz in der Microsoft Cloud herausgegeben.

  • Wo werden meine Daten in der Microsoft Enterprise Cloud gespeichert?
  • Microsoft hat derzeit kein deutsches Rechenzentrum. Kann ein deutscher Kunde trotzdem datenschutzkonform Microsoft Enterprise Cloud Services nutzen?
  • Auf welcher rechtlichen Grundlage verarbeitet Microsoft personenbezogene Daten in ihren Enterprise Cloud Services?
  • Sind die Verträge mit den Datenschutzaufsichtsbehörden abgestimmt?
  • Welche Rolle spielt vor dem Hintergrund dieser Bestätigung noch die Safe Harbor Zertifizierung der Microsoft Corporation für deutsche Kunden?
  • Können US-Behörden, wie die National Security Agency (NSA), auf die Daten der Kunden in der Microsoft Cloud zugreifen?
  • Kann die Anwendbarkeit des Datenschutzrechts durch Verschlüsselung ausgeschlossen werden?
  • Wie kann der Kunde seine Daten revisionssicher aufbewahren?
  • Wie können Kunden ihrer Pflicht nachkommen, sich von der Einhaltung aller technischen und organisatorischen Maßnahmen zu überzeugen?

Diese und weitere Fragen zur Einhaltung von datenschutzrechtlichen Vorgaben (Compliance) in der Microsoft Enterprise Cloud werden in dem neuen Kompendium beantwortet, das ich unten angehängt habe.

Weiterhin haben wir die englischen Blogbeiträge von Brad Smith, Executive Vice President, und General Counsel, Microsoft Corporation zum Thema Datenschutz & Compliance ins Deutsche übersetzt:

Have fun!
Daniel

Attachment: CloudCompendium_V2.pdf
Comments
  • Es ist sehr schön, dass Microsoft sich da Gedanken macht und durch solche Initiativen versucht wieder Vertrauen zu gewinnen. Aber verstehen Konzerne wie Microsoft (und alle anderen US Unternehmen) nicht, dass sie gar nichts tun können?

    Das Problem ist doch: Diese Firmen sitzen in einem Land in dem es Geheimgerichte gibt die Zugriff auf Kundendaten anordnen können, ohne dass die eigene Rechtsabteiliung noch der Kunde davon Kenntnis erlangt. Darüber zu sprechen wird gleich unter Strafe gestellt. Und sobald man mit der nationalen Sicherheit argumentiert, ist es eh vorbei.

    Solange also so etwas möglich ist, kann niemand der ernsthafte Datenschutzinteressen verfolgt irgendein US-Unternehmen nutzen. Ihr könnt eure Lösungen sonstwo aufbauen. Es ist völlig egal ob die Server direkt in der USA stehen oder sonstwo. Jeder der etwas Ahnung hat weiß, dass es technisch gar kein Problem ist, Zugriff zu bekommen. Und spätestens seit Snowden weiß jeder, dass genau das passiert.

    Ich behaupte ja nicht, dass Microsoft dmait einverstanden ist. Ich glaube euch ja auch, dass ihr dagegen kämpft. Microsoft hat eben das Problem, dass Microsoft ein US-Unternehmen ist und sich somit an US-Gesetze halten muss. Aber solange nicht erkannt wird, dass die aktuelle US-Gesetzeslage das Problem ist, solange wird das Vertrauen nicht zurückkommen.

    Und ich als möglicher Kunde empfinde solche Hochglanzprospekte dann als Schlag ins Gesicht, weil "ihr" mir suggerieren wollt "Ist doch alles nun geregelt! Wir haben SSL! Haben EU-Datencenter und Transparenzberichte!!! Außerdem Compliances die so etwas verbieten111!!" Nein! Bullshit! Ihr könnt, wie jedes andere US-Unternehmen, keine nach deutschen Standards "sicheren" Clouddienste anbieten.

    Wenn ihr es mit der Transparenz ernst meint, hört bitte auf eure Kunden zu verarschen.

  • Das Themenfeld ist sehr schwierig zu bewerten. Microsoft versucht im Gegensatz zu anderen Anbietern auf häufige Fragen eine Antwort zu geben. Ob das gelingt oder nicht, muss jeder für sich selbst entscheiden. Wichtig in jedem Fall ist, dass man die Situation sachlich und emotionslos angeht. Niemand wird dazu gezwungen die Online-Dienste von Anbietern ausserhalb von Deutschland zu nutzen. Viele tun es trotzdem. Warum? Weil es so extrem praktisch ist und der Funktionsumfang von wenigen bzw. keinem deutschen Anbieter geliefert werden kann...
    Was mir in der Broschüre fehlt ist ein Abschnitt der die Nutzung von speziellen Berufsgruppen (Rechtsanwälte, Ärzte, etc.) abdeckt. Verständlich, dass Microsoft keine Rechtsberatung leisten darf. Trotzdem sollte man hier Optionen aufzeigen, wie diese spezielle Klientel rechtssicher von MSFT Cloud-Diensten profitieren kann.

  • Ein sachliches und weniger emotionales Herangehen an das Thema halte ich auch für sehr angebracht. Wie wir schon in dem Whitepaper schreiben: Wir haben noch NIE Daten von Unternehmenskunden an die NSA herausgegeben. Die Anforderungen, die wir in den Transparenzberichten aufführen, richten sich auf die Consumerdienste. Bei denen kann man sich - im Gegensatz zu den Unternehmensdiensten - auch anonym anmelden. Da herrscht eine ganz andere Interessenslage.
    Zum Thema 'Staatliche Zugriffe in der Cloud' empfehle ich als Lektüre einmal http://m.hoganlovells.com/hogan-lovells-revealing-study-about-governmental-access-to-data-in-the-cloud-detailed-in-white-paper-released-at-brussels-program-05-23-2012/
    Vielleicht hilft dieses Whitepaper zu einer rationaleren Einschätzung der Lage in den einzelnen Nationen und warum eine reine German Cloud kein Allheilmittel darstellt.
    Was § 203 StGB angeht (darauf zielt die Frage wohl ab): Das ist eine Besonderheit in Deutschland, für die man tatsächlich an den Rechtsanwalt verweisen muss. Meines Wissens nach gibt es keine gesicherte, höchstrichterliche Rechtssprechung zu dem Thema. Teilweise wird die Meinung vertreten, dass das Speicher von Daten von besonders geschützten Daten von Berufsgeheimnisträgern ein Offenlegen im Sinne des StGBs wäre. Danach dürften Berufsgeheimnisträger auch keine E-mail oder Webauftritte mit Kontaktformularen oder, oder, oder nutzen.
    Andererseits ist der Zugriff auf die Daten bei uns streng eingegrenzt und mit dahinterliegenden Prozessen definiert. Unsere Admins haben - im Gegensatz zu vielen anderen Dienstleistern, keinen Zugriff auf direkte Kundendaten. Kunden können ihre Daten selbst verschlüsseln. Sie können ihren eigenen Schlüssel über ein Hardware-Schlüsselmodul mitbringen (Bring your own key in Azure), den wir gar nicht herausgeben können: http://blogs.technet.com/b/rms/archive/2014/03/05/byok-now-without-flying.aspx
    Weiterhin gibt es auch Meinungen, einen IT-Dienstleister als Gehilfen anzusehen, für den dann Ausnahmen greifen. Oder auch eine Analogie zum Bundesdateschutzgesetz und der Auftragsdatenverarbeitung herzustellen.
    Das spezielle Thema sensitive Daten nach §203 StGB kann man meiner Meinung nach nicht Schwarz-Weiß betrachten, denn da wird in juristischen Kreisen noch viel diskutiert. Hier mal ein aktueller Aufsatz dazu: http://www.bakermckenzie.com/files/Uploads/Documents/EMEA/EMEALIB/Sept%202013/nl_emea_germanylegalinsights_sep13.pdf
    Da wir keine Rechtsberatung durchführen dürfen (das ist in Deutschland streng geregelt, wer das darf), kann ich nur an Rechtsanwälte verweisen.

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment