Micro­soft und Daten­schutz? Genau­so frag­wür­dig wie NSA und Rechts­staat!

Mit Stau­nen habe ich heu­te einen Arti­kel (PR-Arti­kel?) auf funk​schau​.de gele­sen — Daten­schutz und Secu­ri­ty in der Micro­soft-Cloud. Wäh­rend Idea­lis­ten viel­leicht noch an eine mög­li­che Ver­ein­bar­keit von Sicher­heit und Micro­soft glau­ben — was vor dem Hin­ter­grund zahl­lo­ser nicht oder zu spät gefix­ter Secu­ri­ty-Schwach­stel­len von Micro­soft-Soft­ware schlicht naiv ist — ist die Asso­zia­ti­on von Micro­soft und Daten­schutz gren­zen­los absurd. In dem Arti­kel wird die Jus­ti­zia­rin von Micro­soft Deutsch­land, Dr. Swant­je Rich­ters, zum The­ma inter­viewt.

Das Inter­view soll sug­ge­rie­ren, dass Micro­soft ver­nünf­ti­gen Daten­schutz lie­fert, wobei man Frau Rich­ters nicht vor­wer­fen kann die Tat­sa­chen zu ver­schwei­gen.

Swant­je Rich­ters führt gleich zu Beginn des Inter­views rich­tig aus:

Natür­lich soll­te jeder Kun­de sorg­fäl­tig prü­fen, wel­chem Dienst­leis­ter er sei­ne Daten anver­traut und wie die­ser mit den Daten umgeht.

Dem ist nichts hin­zu­zu­fü­gen und bei einem gewis­sen­haft prü­fen­den Kun­den dürf­te sich nach die­ser Prü­fung das The­ma Micro­soft erle­digt haben — war­um erklärt die­ser Bei­trag. Swant­je Rich­ters weist im fol­gen­den auf den Ort der Daten­spei­che­rung hin:

In der EU ste­hen Micro­soft-Rechen­zen­tren in Irland und den Nie­der­lan­den zur Ver­fü­gung.

Hier­durch soll sug­ge­riert wer­den, dass Daten in Micro­soft Rechen­zen­tren aus­schließ­lich euro­päi­schem Recht unter­lie­gen, was schlicht nicht stimmt. Ame­ri­ka­ni­sches Recht besagt ein­deu­tig, dass US-Behör­den auf sämt­li­che ame­ri­ka­ni­schen Unter­neh­men zugäng­li­chen Daten nach US-Geset­zen zugrei­fen dür­fen. Dies­be­züg­lich ist Micro­soft im Som­mer 2014 vom Bezirks­ge­richt New York ganz ein­deu­tig ver­ur­teilt wor­den, woge­gen Micro­soft nur über den Umweg einer Ver­ur­tei­lung wegen Miss­ach­tung des Gerich­tes Beru­fung ein­le­gen konn­te. Der Fall ist noch nicht abge­schlos­sen, es ist aber nicht davon aus­zu­ge­hen, dass Micro­soft mit sei­ner Aus­le­gung der Geset­ze Erfolg haben wird, da sich dies­be­züg­li­che Urtei­le im Ein­klang mit den US-Geset­zen befin­den. Details hier­zu fin­den Sie im Bei­trag Micro­soft accepts ‘con­tempt of court’ deal to appeal email pri­va­cy case.

Das Kern­pro­blem ame­ri­ka­ni­scher Dienst­leis­ter ver­leug­net Frau Rich­ters auch nicht:

Da im Sup­port­fall ver­ein­zelt auch Mit­ar­bei­ter aus den USA Zugriff auf die Rechen­zen­tren haben kön­nen, hat das Unter­neh­men auch bei Micro­soft in den USA ein Daten­schutz­ni­veau her­ge­stellt, das euro­päi­schen Daten­schutz­stan­dards ent­spricht. Hier­zu hat sich der Her­stel­ler in den USA dem so genann­ten Safe-Har­bor-Regime unter­wor­fen.

Es sei dahin­ge­stellt, ob Micro­soft-Mit­ar­bei­ter aus den USA nur im Sup­port­fall Zugriff auf euro­päi­sche Rechen­zen­tren haben, was m.E. der Lebens­wirk­lich­keit in der IT im Jahr 2015 wider­spricht. Das grund­le­gen­de Pro­blem besteht dar­in, dass es die­se Zugriffs­mög­lich­keit über­haupt gibt! Ame­ri­ka­ni­sches Recht erlaubt der ame­ri­ka­ni­schen Judi­ka­ti­ve und Exe­ku­ti­ve!!! (FBI, CIA, NSA usw) weit­ge­hen­den Zugriff auf sämt­li­che Infra­struk­tu­ren ame­ri­ka­ni­scher Fir­men. Der Hin­weis auf recht­lich nicht bin­den­de Safe-Har­bor-Kon­struk­ti­on ist schlicht absurd, die Wir­kungs­lo­sig­keit und Unver­bind­lich­keit von Safe Har­bor habe ich hier im Blog schon mehr­fach the­ma­ti­siert. Frau Rich­ter weiß, dass das EU-Par­la­ment 2014 für die Aus­set­zung von Safe Har­bor gestimmt hat, dies erfolg­te mit über­wäl­ti­gen­der Mehr­heit.

Swant­je Rich­ters weist auf ein wei­te­res absur­des Kon­strukt hin, dass sich im kras­sen Gegen­satz zum Wil­len des EU-Par­la­ments befin­det und wel­ches beweist, dass sich die Euro­kra­ten in Brüs­sel wenig bis gar nicht um Demo­kra­tie, Rechts­staat und Daten­schutz sche­ren:

Dane­ben bie­tet Micro­soft den Kun­den an, mit Micro­soft USA die so genann­ten EU-Stan­dard­ver­trags­klau­seln abzu­schlie­ßen. Dabei han­delt es sich um Mus­ter­ver­trä­ge, die die Euro­päi­sche Kom­mis­si­on für die Wei­ter­ga­be von per­so­nen­be­zo­ge­nen Daten an Emp­fän­ger außer­halb der EU ver­ab­schie­det hat. Die Daten­schutz­auf­sichts­be­hör­den der EU haben im April die­ses Jah­res ent­schie­den, dass hier­durch ein ange­mes­se­nes Daten­schutz­ni­veau bei Micro­soft in den USA her­ge­stellt wird.

Frau Rich­ters bezieht sich hier bei auf ein Doku­ment der Arti­cle 29 Working Par­ty, einem Bera­tungs­gre­mi­um der EU-Kom­mi­si­on, unter­zeich­net von der anschei­nend weit­ge­hend kom­pe­tenz­frei­en fran­zö­si­schen Kar­rie­re-Juris­tin Isa­bel­le Fal­que-Pier­ro­tin. Es ver­wun­dert aber nicht, dass eine Per­son, die in Frank­reich nichts an der Vor­rats­da­ten­spei­che­rung aus­zu­set­zen hat einem ame­ri­ka­ni­schen Unter­neh­men ein­wand­frei­en Daten­schutz beschei­nigt. Aller­dings ver­än­dert dies nichts an der Rea­li­tät und Geset­zes­la­ge in den USA — sie­he oben.

Zur Kon­trol­le des Daten­schut­zes bei Micro­soft führt Swant­je Rich­ters aus:

Zunächst hat Micro­soft eine eige­ne Daten­schutz­or­ga­ni­sa­ti­on, die die Ein­hal­tung der mit den Kun­den ver­ein­bar­ten Rege­lun­gen über­wacht. Des Wei­te­ren beauf­tragt Micro­soft unab­hän­gi­ge Drit­te, wie Wirt­schafts­prü­fungs­ge­sell­schaf­ten, mit der Über­prü­fung der IT-Sicher­heit anhand von bestimm­ten, inter­na­tio­nal genorm­ten Stan­dards wie ISO 27001. Die­se Drit­ten erstel­len auf­grund der Prü­fung einen Bericht, den die Kun­den anfor­dern kön­nen. Anhand des Berichts kön­nen sich die Kun­den ver­ge­wis­sern, dass die ver­trag­lich ver­ein­bar­ten Daten­si­cher­heits­maß­nah­men auch tat­säch­lich umge­setzt wor­den sind. Schließ­lich kann auch der Kun­de selbst als Kon­troll­in­stanz tätigt wer­den. Er kann nach der Anmel­dung bei Micro­soft auch vor Ort im Rechen­zen­trum Kon­trol­len vor­neh­men.

Klas­se! Daten­schutz wird bei Micro­soft aus­schließ­lich pri­vat­wirt­schaft­lich kon­trol­liert — das frei­heits­feind­li­che TTIP-Abkom­men lässt grü­ßen! Geht’s noch? Deut­sche Unter­neh­men sol­len sich auf den Daten­schutz eines ame­ri­ka­ni­schen Kon­zerns ver­las­sen? Ein Freu­den­fest für NSA & Co. Als Sah­ne­häub­chen beauf­tragt Micro­soft dann — ver­mut­lich eine der Big Four (alle­samt US-Gesell­schaf­ten) — Wirt­schaft­prü­fungs­ge­sell­schaf­ten mit der Audi­tie­rung nach ISO-Nor­men! Dumm nur, dass es kei­ne inter­na­tio­nal ein­heit­li­chen Daten­schutz­stan­dards gibt. Inso­fern ist die­se Audi­tie­rung mit dem Begriff „Nebel­ker­ze” noch wohl­wol­lend posi­tiv umschrie­ben. Wie groß­zü­gig, dass der Kun­de nach Anmel­dung (!) selbst vor Ort Kon­trol­len vor­neh­men darf. Rechts­staat­li­che Durch­set­zung von Daten­schutz sieht kom­plett anders aus und wird offen­kun­dig von Micro­soft nicht ange­strebt und gebo­ten.

Und auch für zusätz­li­che Schutz­be­dürf­nis­se hat Swant­je Rich­ters eine Ant­wort:

Micro­soft bie­tet bei­spiels­wei­se sowohl die Ver­schlüs­se­lung in Office-365 an als auch die Unter­stüt­zung beim Ein­satz von Ver­schlüs­se­lungs­tech­no­lo­gie des Kun­den.

Eine groß­ar­ti­ge Idee! Der Ein­satz von Ver­schlüs­se­lungs­tech­no­lo­gi­en eines ame­ri­ka­ni­schen Unter­neh­mens wel­ches expli­zit der Export­kon­trol­le von Ver­schlüs­se­lungs­tech­no­lo­gi­en > 56 Bit gemäß den Export Admi­nis­tra­ti­on Rules unter­liegt (EAR). Sicher­heit und Ver­trau­lich­keit geht kom­plett anders, Frau Rich­ters.

Swant­je Rich­ters gibt aber auch einen wirk­lich guten Rat­schlag zu Daten­si­cher­heit und Daten­schutz:

Neh­men Sie bei­de The­men ernst. Bezüg­lich der betrieb­li­chen Daten soll­ten Sie die Cloud-Nut­zung anhand des Schutz­be­darfs im Ein­zel­fall bewer­ten. Las­sen Sie sich von dem Cloud-Anbie­ter dar­le­gen, wie er den daten­schutz­recht­li­chen Anfor­de­run­gen Rech­nung trägt. Da Sie für die Com­pli­an­ce ver­ant­wort­lich sind, kön­nen Sie vom Cloud-Anbie­ter hier­zu Trans­pa­renz ver­lan­gen. Wenn am Ende ein Micro­soft-Cloud-Ser­vice her­aus­kommt, umso bes­ser. Wir den­ken, dass wir in bei­den Punk­ten sehr gut auf­ge­stellt sind.

Das erspart mir einen Schluss­kom­men­tar. Denn die Fak­ten zur gesetz­li­chen Situa­ti­on in den USA bewei­sen, dass Micro­soft nicht sehr gut auf­ge­stellt ist. Nicht weil die Fir­ma so böse ist, son­dern weil sie es schlicht nicht sein darf. Des­halb: Suchen Sie sich deut­sche Anbie­ter — es lohnt sich.

PS: Die­ses Pro­blem gilt für jeden ame­ri­ka­ni­schen Anbie­ter und nicht aus­schließ­lich für Micro­soft. Aber Micro­soft drückt das Pro­blem ganz offen­sicht­lich, denn sonst wür­de man ja ein­fach die Fak­ten ste­hen las­sen.


Ande­re inter­es­san­te Bei­trä­ge:
Pro­dukt­über­sicht Mobi­le Device Manage­ment (MDM) /​Enter­pri­se Mobi­li­ty Manage­ment (EMM)
Markt­über­sich­ten zu den The­men Mobi­le Device Manage­ment (MDM) und Enter­pri­se Mobi­li­ty Manage­ment (EMM) in Fach­zeit­schrif­ten und im Netz feh­len sehr oft zwei wesent­li­che Eigen­schaf­ten: Fach­kom­pe­tenz und gründ­li­che Recher­che. ZDNet​.de hat hier end­lich ein­mal einen qua­li­ta­ti­ven Kon­tra­punkt gesetzt. In…
datomo Mobi­le Device Manage­ment (MDM) 3.12 — Neu­es Major Release bringt die eige­ne CA ins Sys­tem
Anwen­der von datomo Mobi­le Device Manage­ment wis­sen seit lan­gem: datomo MDM läuft nicht dem Markt hin­ter­her — datomo MDM defi­niert stän­dig neue Stan­dards. Der NSA-Skan­dal hat zwei­er­lei deut­lich gemacht. Ers­tens kann nun­mehr wirk­lich jeder wis­sen, dass ame­ri­ka­ni­sche Hard- und Soft­ware, die Ver­schlüss…
datomo Mobi­le Device Manage­ment (MDM) 3.7.0 – Anwen­der­wün­sche umge­setzt für Andro­id, iPad, iPho­ne, Black­Ber­ry
Am Sams­tag habe ich es in die­sem Bei­trag ange­kün­digt — heu­te ist es soweit. Wir freu­en uns, ein neu­es Major-Release von datomo Mobi­le Device Manage­ment vor­zu­stel­len. In die­ses Update sind diver­se Anre­gun­gen und Wün­sche unse­rer Anwen­der ein­ge­flos­sen. Die neue Ver­si­on 3.7.0 bie­tet eine Viel­zahl neu­er…
Black­Ber­ry Balan­ce — Die rich­ti­ge Ant­wort auf Bring Your Own Device (BYOD)?
Ab und zu — lei­der viel zu sel­ten, denn das Black­Ber­ry Z10 hät­te eine bes­se­re Auf­nah­me durch­aus ver­dient — wer­den wir gefragt, ob Black­Ber­ry Balan­ce die rich­ti­ge Ant­wort auf Bring Your Own Device (BYOD) ist. Unse­re Ant­wort ist hier­auf wei­ter­hin, dass BYOD für Unter­neh­men grund­sätz­lich kein The­ma ist…
MDM Essen­ti­als — Grund­la­gen von Mobi­le Device Manage­ment gut erklärt
Heu­te steck­te die aktu­el­le iX im Brief­kas­ten, die auf dem Titel­bild mit dem The­ma ‘Smart­pho­nes sicher im Griff’ auf­macht. Im Bei­trag Smart­pho­nes und Tablets chao­s­arm inte­grie­ren — Wege zur Har­mo­nie wird auf 17 Sys­te­me zum Mobi­le Device Manage­ment hin­ge­wie­sen, unter ande­rem auch auf datomo Mobi­le Dev…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.