Während wir nun auf die Entscheidung des Supreme Courts warten, passiert auf einer anderen Seite der Gesetzgebung etwas mehr. Das Department of Justice (DOJ) erlässt eine neue Richtlinie in Bezug auf den Datenschutz und um Speziellen auf die Thematik der Datenherausgabe für Cloudanbieter.
Diese neue Richtlinie zur Anwendung des geltenden Rechts ist nach Meinung von Brad Smith (Microsoft CELA/Rechtsabteilung):
“Diese neue Richtlinie beschränkt die überbeanspruchte Praxis, Anbieter zu verpflichten, sich ruhig zu verhalten/nichts dem Kunden zusagen, wenn die Regierung auf in deren Cloud gespeicherte persönliche Daten zugreift. Es hilft sicherzustellen, dass “Geheimhaltungsverpflichtungen” nur bei Bedarf und für bestimmte Zeiträume verwendet werden. Dies ist ein wichtiger Schritt für Privatsphäre und freie Meinungsäußerung.“
Weiterhin konnte Microsoft für den Zeitraum der Klage in einer 18 monatigen Periode , 2.576 Anfragen und Herausgaben feststellen. Eigentlich sollte der Generalstaatsanwalt dies einschränken. 68% dieser Anfragen enthielten eine unbegrenzte Geheimhaltungsauflage, so dass man den Kunden den Zugriff nicht offen legen durfte.
Die Probleme basieren im Kern auf dem Electronic Communications Privacy Act (ECPA von 1986).
Microsoft fordert weiterhin den Kongress auf, dass dieses Gesetz geändert werden muss. Insbesondere sollte der Senat das schon im Juli 2017 von Senaor Mike Lee (R-Utah) und Patrick Leahy (D-Vermont) vorgelegte ECPA-Modernisierungsgesetz von 2017 diskutieren und verabschieden. Das US-Repräsentantenhaus hat dieses schon zwei Mal abgestimmt und beim letzten Mal einstimmig.
Folgen:
Der Zugriff von US Behörden über geheim zuhaltende Anfragen und Zugriffen ist Microsoft schon lange ein Dorn im Auge, in diesem Bezug laufen seit 2016 auch Klagen. Ebenso nutzte man den Einfluss mit anderen Anbietern die oben erwähnte Modernisierung einzubringen und hatte auch mit Obama verhandelt. Es wurde also Lobbyismus betrieben, um eine Gesetzesänderung umzusetzen. Dies zeigte sich nun auch wieder in der neuen Richtlinie des DOJ. Die Arbeit um eine neue zeitgemäße Regelung zu finden, ist jedoch nicht zu ende.
Auswirkung auf Europa und Deutschland
Besonders interessant ist diese Richtlinie und das Verfahren sowohl in der Bewertung von Privacy Shield, als auch der EU-Standardvertragsklauseln. Das Thema sollte in einer Cloud-Risiko-Analyse ausgeführt werden und Unternehmen sollten das Thema verfolgen. Mit dem Einsatz eigener Verschlüsselungsmechanismen ist das Risiko zu minimieren und seinen wir uns ehrlich OnPremise sind die Daten ebenfalls nicht sicherer, denn auch hier können Geheimdienste Zugriff erhalten und ohne einen Konzern mit seinen Anwälten fragen zu müssen.
Also:
-> eigene Verschlüsselung einsetzen
-> Tools und Werkzeuge von Microsoft in mehreren Schichten einsetzen
-> Thema thematisieren und eine Cloud-Risiko-Analyse samt Beschluss durchführen
Link:
Brad Smith Post zum Thema:
https://blogs.microsoft.com/on-the-issues/?p=55096