Category Archives: Datenschutz

Microsoft Virtual Academy – Office 365 security & compliance Kurse

 

Seit einiger Zeit gibt es nun auch drei security & compliance Kurse bei der Microsoft Virtual Academy (MVA). Hier kommt ihr direkt zu den Kursen. Die Kurse sind in englischer Sprache verfasst und leider nicht auf Europa spezifiziert. Sehr viele Inhalte lassen sich jedoch übertragen und die Kurse bieten einen sehr guten Einblick in die Thematik.

Laut meiner Informationen wird es auch bald deutsche Kurse geben.

 

Kurs 1:
Office 365 Security & Compliance: Exchange Online Protection
http://www.microsoftvirtualacademy.com/training-courses/office-365-security-compliance-exchange-online-protection

 

Kurs 2:
Encryption in Office 365
http://www.microsoftvirtualacademy.com/training-courses/encryption-in-office-365

 

Kurs 3:
Data Loss Prevention in Office 365
http://www.microsoftvirtualacademy.com/training-courses/data-loss-prevention-in-office-365

SQl Server Community Treffen PASS am 13.10.2014

Am 13.10.2014 bin ich nun dabei. Die Community frage mich, ob ich nicht einen Vortrag zum Themenkomplex Datenschutz, Security, Compliance halten könne. Diesbezüglich sage ich natürlich nicht nein und werde für die Community die aktuellen Themen mit Schwerpunkt auf Datenbanken hin aufbereiten.

Informationen zum Treffen – Regional Gruppe:http://sqlpass.de/Regionen/Deutschland/K%C3%B6lnBonnD%C3%BCsseldorf.aspx

Informationen zum PASS Deutschland e.V. .: http://sqlpass.de/Verein/ÜberPASS.aspx

Digital Agenda Action Day 2014

Heute findet der Digitale Action Day der EU Kommission statt. Damit auch ihr nichts verpasst hier der Livestream:

http://webcast.ec.europa.eu/eutv/portal/_v_fl_300_en/player/index_player_en.html?id=23864#

 

papers:

 

Agenda:

Part 1: Introduction and keynote speeches

10.00 – 10.05: Opening by the moderator, Ann Mettler, Executive Director and co-founder of The Lisbon Council

10.05 – 10.15: Keynote speech by Neelie Kroes, Vice-President of the European Commission

10.15 – 10.25: Video message on behalf of the Italian Presidency by Sandro Gozi,  Secretary of State for European Affaires, Italy

10.25 – 10.40: A view from outside Europe on digital transformation and disruption by Jeremy Rifkin, President of The Foundation on Economic Trends, USA

Part 2: Telling the stories of the digital transformation

10.40 – 10.55: Automotive/car sectors in Europe. New models for consuming and automated manufacturing
Dr Volkmar Tanneberger, Head of electrical/electronics development, Volkswagen brand

10.55 – 11.10: Adapting disruption in the media sector: Lessons learned and next steps
John O’Donovan, CTO, Financial Times

11.10 – 11.25: Transforming traditional tourism industry
Gillian Tans, COO, Booking.com

11.25 – 11.40: Developing new disruptive digital business models
Nicolas Brusson, COO and co-founder, Blablacar

11.40 – 11.50: Making digital policy in Europe: What needs to change – transformation and accepting a changed reality
Guy Levin, Executive Director of Coadec and policy columnist of Tech City News

11.50 – 12.10: Voices of the next generation: Actions for the future, co-moderated by Julie Cullen, Young Advisor to Vice-President Kroes
Amy Mather, European Digital Girl 2013, and Jordan Casey, CEO, Casey Games

12.10 – 12.30: Closing of morning session by the moderator and Q&A with the audience

12.30 – 14.00: Lunch break

Afternoon session – Work sessions, Plenary debate and Closing

Part 3: Work sessions

14.00 – 16.00: Parallel work sessions

  • Work session 1 – Traditional industry, digital and data strategies: How to get maximum benefits from disruptive ICT developments? (#DAD14industry)
  • Work session 2 – SMEs going digital, entrepreneurship and Startup Europe: How to stimulate transformation and scaling up of traditional companies as well as creating the conditions for disruptive new companies (#DAD14sme)
  • Work session 3 – Public sector and cities also go digital: What are the solutions for smart government and smart cities? (#DAD14smart)
  • Work session 4 – Transforming the traditional media sector: How to succeed in a strongly disruptive situation? (#DAD14media)
  • Work session 5 – How to ensure that Europe has the digital skills to succeed in transforming all economic sectors for the digital age? (#DAD14skills)
  • Work session 6 – Making it in the Digital Single Market: Overcoming challenges and impact of internet ‘gatekeepers’? (#DAD14dsm)

16.00 – 16.15: Coffee break

Part 4: Debate and closing

16.15 – 16.25: Introduction by the moderator, Ann Mettler

16.25 – 16.50: Feedback on digital actions from the work sessions rapporteurs

16.50 – 17.50: Debate on future policy actions with institutional, business and consumer representatives and the audience

  • Markus Beyrer, Director-General Businesseurope
  • Arnis Daugulis, Deputy State Secretary for ICT, Ministry of Environmental Protection and Regional Development of Latvia, Latvian Presidency
  • Monique Goyens, Director-General BEUC
  • Robert Madelin, Director-General, European Commission, DG CONNECT
  • Catherine Stihler, Vice-Chair of Internal Market and Consumer Protection Committee, European Parliament

17.50 – 18.00: Closing by Vice-President Neelie Kroes with the Digital Champions and Young Advisors

 

Artikel 29 Arbeitsgruppe zu Löschanträgen in Suchmaschinen

Am 16 und 17 September 2014 traf sich die Artikel 29 Arbeitsgruppe um Themen bezüglich des EuGH Urteiles (C-131/12) um über die Sachlage zu sprechen, wenn ein Nutzer trotz Löschantrages eine Löschung verweigert wird.

Zu dieser Sachlage kann es kommen, wenn im Rahmen der Güterabwägung, welche zum Beispiel der Expertenbeitrag von Google durchführt, man zu dem Schluss kommt, dass eine Löschung und damit das Persönlichkeitsrecht des Betroffenen nicht überwiegt.

Die Güterabwägung muss zwischen dem Persönlichkeitsrecht des Betroffenen auf der einen Seite und auf der anderen Seite der Meinungsfreiheit, wie auch der Pressefreiheit, des öffentlichen Interesses und der Informationsfreiheit abwägen.

Der Innenminister Thomas de Maziére äußerte sich in der Expertenkommission zu Big Data kritisch, dass ein Konzern wie Google diese Güterabwägung vornehme, die eigentlich nur deutschen Gerichten vorenthalten ist.

 

Mitglieder der Kommission von Google:

  • Prof. Luciano Floridi (Professor für Informationsphilosophie und Infirmationsethik an der University of Oxford)
  • Sylvie Kauffmann (Chefredaktueren in der franz. Zeitung Le Monde)
  • Lidia Kolucka-Zuk (Juristin und Executive Director des Warschauer Trust for Civil Society in Central and Eastern Europe)
  • Frank La Rue (UN-Sonderberichterstatter für das Recht auf Meinungsfreiheit und freie Meinungsäußerung des Menschenrechtsrats der Vereinten Nationen (UNHCR))
  • José-Luis Pinar (Jurist, Spanien, ehemaliger Leiter der span. Datenschutzbehörde)
  • Sabine Leutheusser-Schnarrenberger (Juristin, ehemalige MdB über 23 Jahre, acht Jahre Bundesjustizministerin)
  • Peggy Valcke (Professorin an der KU Leuven in Belgien, Schwerpunkte: rechtliche Aspekte der Medieninnovation, Medienpluralismus und das Zusammenspiel zwischen Medien- und Telekommunikationsregulierung und Wettbewerbsrecht)
  • Jimmy Wales (Gründer und emeritierter Vorsitzender des Board of Trustees der Wikimedia Foundation)
  • Eric Schmidt (Google, Vorstand, strategische Entwicklung)
  • David C. Drummond (Google, Jurist, externer Berater von Google, Board of Directors von Uber Technologies, Inc und Rocket Lawyer Inc.

 

Entscheidung der Artikel 29 Gruppe

Die Expertenkommission entschied, dass man nun eine eigene Arbeitsgruppe mit Ansprechpartnern für die nationalen Aufsichtsbehörden gründet. Diese soll alle Entscheidungen, sowie Fälle sammeln und indexieren. So soll diese als Koordinationsstelle dienen und den nationalen Aufsichtsbehörden bei Beschwerden von Betroffenen helfen, ob gegen den Suchmaschinenbetreiber vorzugehen ist oder nicht.

 

 

Quellen:

Pressemitteilung der Artikel 29 Arbeitsgruppe vom 18. September 2014 (en)

Löschformular von Google

Expertenbeitrat von Google

Infobroschüre der Artikel 29 Gruppe zum EuGH Urteil (.pdf + en)

Webseite der EU Kommission zum Thema Datenschutz

Reform des Datenschutzgesetzes – Newsroom der EU Kommission

Expertenrunde zu Big Data

Veranstaltung von Microsoft IT Sicherheit

Anmeldung & Link: http://www.microsoft.com/de-de/politik/events/weitere-events/gemeinsam-fuer-mehr-it-sicherheit.aspx

Termin: 24.09.2014

AGENDA:

15:00 Einlass
15:30 Begrüßung
15:40 Keynote Dr. Christian P. Illek
Vorsitzender der Geschäftsführung
Microsoft Deutschland GmbH
16:00 Unternehmenspräsentationen
16:45 Kaffeepause
17:15 Keynote Prof. Dr. Nobert Pohlmann
Vorsitzender des TeleTrusT – Bundesverband
IT-Sicherheit e.V.
17:35 Unternehmenspräsentationen
18:30 Get together
Moderation: Daniel Goffart

Office 365 Delve und der Datenschutz

Delve aka Oslo ist nun seit einigen Tagen in den Office 365 Business Tenants mit der aktivierten Option “First Release” verfügbar. Nun stellt sich doch bei einem Feature, welches Informationen aus Exchange, Lync, SharePoint Online und auch OneDrive for Business zusammenfügen soll, die Frage nach dem Datenschutz.

Delve_Jura

Während des Devle YamJam in der vergangen Woche habe auch ich mich beteiligt und Fragen zum Thema Datenschutz und Security gestellt.

Frage: Übernimmt Delve die Security Berechtigungen und die Right Management Einstellungen, so dass nur Inhalt angezeigt wird, den der Nutzer selber freigegeben hat?

Antwort: Ja, Delve verändert die Berechtigungen nicht und respektiert bestehende Beschränkungen zum Beispiel aus dem OneDrive for Business und dem SharePoint Online. Der Nutzer kann nur in Inhalten suchen, die er berechtigt ist zu sehen. Wenn also ein Dokument nicht mit der Person geteilt ist, kann dieses auch nicht in Delve gefunden oder anzeigt werden.
Dies heißt auch, wenn jemand unter Personen auf eine Person geht, dann sieht er nur Inhalte, die für Ihn freigegeben wurde. Achtung: Dies beinhaltet auch Inhalte, die auf Teamsites veröffentlicht wurden in denen beide Personen Mitglied sind.

 

Frage: Wenn ein Benutzer die Berechtigung hat, ein Dokument / Listenpunkt, aber  von der Suche über die Bibliothek / Liste  in Listeneinstellungen ausgeschlossen wird, wird dann der Inhalt noch in Delve angezeigt?

Antwort: Nein der Inhalt wird nicht angeteigt, denn Delve verwendet die gleichen Berechtigungen wie SharePoint Online und der Ausschluss gilt.

 

Frage: Sind private E-Mail und Inhalte von Outlook so getaggt, dass diese automatisch über Delve geteilt werden?

Antwort: Nein, unter Verwendung der Tags/Informationen von Exchange, die die persönlichen Relevanz anzeigen werden übernommen und verbessert. Die eigene Kommunikation ist so veröffentlicht, dass Dritte diese über Delve einsehen könnten. [Kommentar: Es werden also auch die Rechte über Exchange, wie diese von SharePoint übernommen.]

 

Frage: Sind die Wechselsignale, die sich auf E-Mail- Beziehungen (dh , die Empfänger und Absender sind ) ?

Antwort: Ja , Office Graph verwendet diese Berechtigungen bezogen auf die Inhalte für jeden Nutzer einzeln und getrennt.

 

 

Frage: Gibt es eine Möglichkeit, bestimmte Inhalte zu blockieren ? Zum Beispiel wollen wir nicht, dass unsere Mitarbeitern Trends in der Personalsuche oder auch sensible Dokumente sehen.

Antwort: Nein, da Delve keine Dokumente anzeigt, dies es nicht indexiert hat. Delve beruht auf einem Suchindex, wenn eine Datei nicht berechtigt ist, wird diese auch nicht in das Verzeichnis aus dem Suchindex aufgenommen.
Weitere Infos hier: https://support.office.com/Article/Who-can-see-my-documents-f5f409a2-37ed-4452-8f61-681e5e1836f3

Es tauchen nur Inhalte in Delve auf, wenn jemand zum Beispiel ein Dokument geändert (dies ist bereits in Dokumentbibliotheken und Teamwebsites verfügbar) hat. Delve zeigt nichts an, wenn man das Dokument nicht geteilt oder geändert  und so eine Berechtigung/Änderung setzt. Wenn viele Ihrer Kollegen ein Dokument anzeigen, sagt Delve mehrere Ihrer Kollegen haben dieses Dokument (Namen werden angezeigt) gesehen.

Mehr Informationen : https://support.office.com/Article/Who-can-see-my-documents-f5f409a2-37ed-4452-8f61-681e5e1836f3

Zusammenfassung:
Delve zeigt nur die Inhalte an, welche einem selber gehören, für einen selber geteilt wurden (Berechtigung gesetzt) oder in gemeinsam genutzten Teamwebsites abgelegt sind (Berechtigungen über Teamsite).

Persönliche Inhalte oder Kommunikation wird nicht bei Dritten angezeigt.

Sichtbar sind in Delve:  (Sichtbar auch im Screen oben)
der Name der Person, die ein Dokument erstellt und freigegeben hat,
der Name der Person, die ein geteiltes Dokument bearbeitet hat,
die in Lync verfügbaren Informationen, die im Profil (Exchange, SharePoint, Lync) hinterlegt wurden.

 

Update 25.09.2014
Microsoft hat reagiert und auf etwas zu dem Thema “Wer kann meine Dokumente sehen verfasst:

https://support.office.com/Article/Who-can-see-my-documents-f5f409a2-37ed-4452-8f61-681e5e1836f3

 

 

 

Behördliche Auskunftsersuchen bei Microsoft und Google

Bei der Diskussion rund um die Auskunftsersuchen von Behörden an die großen IT Unternehmen ist es immer wichtig sich auch die Zahlen genauer anzuschauen. Google wie auch Microsoft stellen in Transparenzberichten die reinen Zahlen der Auskunftsersuchen öffentlich ins Netz.

Google wurde von deutschen Behörden im Zeitraum Januar bis Juli 2014 gefragt:

Auskunftsersuchen von deutschen Behörden (z.B. Strafverfolgung): 3338
Protzentsatz der weitergegebenen Informationen der Anfrage: 48%
angefragte Konten: 4272

 

Microsoft hat die Zahlen für 2014 noch nicht veröffentlicht, jedoch die Daten für 2013.

Microsoft wurde von deutschen Behörden im Zeitraum Januar bis Juli 2013 gefragt:

Auskunftsersuchen von deutschen Behörden (z.B. Strafverfolgung): 5204 auf 37196
Protzentsatz der weitergegebenen Informationen der Anfrage: 79,88 % auf 77,2 %
angefragte Konten: 8895 auf 66539

Januar bis Juni 2013:

MS2

Juli bis Dezember 2013:
MS

 Quelle der Bilder: Microsoft Webseite siehe unter Quellen

 

 

 

Quellen:

Google (2014): http://www.google.com/transparencyreport/userdatarequests/countries/

Microsoft(2013): http://www.microsoft.com/about/corporatecitizenship/en-us/reporting/transparency/

http://blogs.microsoft.com/on-the-issues/2014/02/03/providing-additional-transparency-on-us-government-requests-for-customer-data/

 

 

 

Microsoft prüft die Planung eines deutschen Rechenzentrums (durch Dritte)

Vielen Datenschützern und auch Unternehmern ist ein Rechenzentrum in Dublin oder Amsterdam, also in Europa, nicht ausreichend. Dies deutete Christian Illek in einem exklusiven Interview im Tagesspiegel an. In diesem verkündete er auch die Prüfung und Planung eines deutschen Rechenzentrums, welches durch einen Dritten betrieben werden könnte. So könnte man auch aktuelle Urteile in den USA reagieren und die Daten vor dem Zugriff schützen.

 

Ein Dritter könnte die Telekom sein, meine ich, deren Mitarbeiter schon größere Rechenzentren in Deutschland betreibt, bereits Microsoft Dienste anbietet und schon in diversen Konferenzen von einer deutschen Cloud und mehr Diensten aus Deutschland sprach. Christian Illek sagte nur dazu, dass mit verschiedenen Anbietern gesprochen wird.

 

So wird oft noch in alten Strukturen oder besser in “OnPremise” gedacht. Die Daten in der Nähe oder besser im eigenen Land. Schon Russland hatte Clouddienst Anbieter dazu verpflichtet Daten nur innerhalb des Landes zu hosten. Dies scheint mir zu kurz gedacht. Ob Daten nun in Amsterdam oder 250km weiter östlich in Bonn liegen würden, scheint zunächst egal zu sein. Denkt man hier an die EU Grundverordnung oder auch die Digitale Agenda der EU Kommission. Dennoch mit der Digitalen Agenda in Deutschland will die Bundesregierung DeutschlandsIT fit für Europa und fit für den internationalen Wettbewerb machen will. Es könnte aber auch eine Chance für Europa und Deutschland sein, hier vorweg zu gehen und mit Microsoft sowie einem großen deutschen Cloud Dienstanbieter, neue Standards zu setzen.

Fraglich ist dann nur, was wäre wenn, die USA Zugriff in Deutschland verlangen, Amtshilfe der deutschen Behörden beantragen oder sich einfach in die Netze hacken oder direkten Zugriff sich über Provider holt, wie es erst kürzlich aus Berichten von Snowden über die Telekom oder Netcologne hieß. Dann müsste die Bundesregierung eine klare Stellung beziehen. Ist das Recht auf informelle Selbstbestimmung oder auch das Persönlichkeitsrecht höher anzusiedeln, wie ein Streit mit den USA? Wird es geheime Abkommen geben, dass deutsche Geheimdienste Informationen weitergeben, die diese wiederum eingeholt haben?

Es bleibt spannend.
Microsoft geht den Weg um Cloud Dienste wie Office 365 oder auch Azure im Mittelstand besser platzieren zu können, so Christian Illek. Viele deutsche Mittelständler setzen auf die eigenen Server im Hause oder deutsche Cloud Anbieter, Microsoft würde hier die Konkurrenz verschärfen und dieses Segment versuchen für sich zu gewinnen. Ebenso wäre der Bereich der deutschen Hochschulen schneller zu bekommen und Apples iCloud/Dropbox/Googledrive würde hier zurückgedrängt.

 

Vielleicht ist ein Argument auch der Fall IKEA. IKEA setzt seit einiger Zeit Yammer weltweit zur internen Kommunikation, nur nicht in Deutschland.

 

Ich bin sehr gespannt und verspreche euch, ich halte Augen und Ohren offen. Sollte es etwas neues geben, dann erfahrt ihr dies hier.

 

Quelle: http://www.tagesspiegel.de/wirtschaft/wegen-datenschutzbedenken-microsoft-plant-deutsche-cloud/10698214.html

 

 

Googles Support-Email ist unzureichend!

Landgericht Berlin
AZ: 52 O 135/13
Verbraucherzentrale Bundesverband vs. Google Inc.

 

Die Verbraucherzentrale Bundesverband (vzbv) hat einen Sieg beim Landgericht Berlin gegen Google errungen. In dem oben benannten Verfahren prangerte die vzbv die Support E-Mail von Google an, die über die Webseite www.google.de zu erreichen war. Google muss nun ein anderes Support-Verfahren mit seiner anderen Support-E-Mail entwickelt und genutzt werden. Bei Zuwiderhandlung fallen 200.000 Euro an, die gegen eine Sicherheitsleistung vorläufig vollstreckbar sind. (zzgl. 10%).

 

Der vzbv klagte im Rahmen seiner Befugnisse (§4 UKlag) als Verband mit dem Schutz des Verbraucherschutzrechtes. Fraglich ist nun auch, ob z.B. die Überlegungen der Verbandsklagen im Rahmen von Datenschutzverstößen in das Uklag kommen. Die Konsultation der Interessensgruppen aus dem April 2014 ist abgeschlossen.

 

Sachverhalt/Problemstellung:
Google bietet als Support eine E-Mail Adresse für seine Kunden an, um Kontakt aufzunehmen. Diese Vorgehensweise ist durch unzählige gerichtliche Vereinbarungen bei Webseiten üblich geworden.

Dem User soll so die Gelegenheit geben werden den Inhaber/Betreiber der Webseite unkompliziert zu erreichen. Eigentlich steckt hinter einer solchen Adresse eine Gruppe von Support-Mitarbeitern oder eben der Betreiber selbst. Google hatte dies nicht gemacht, sondern mit einer automatischen Standardantwort auf alle eingehenden E-Mails, ohne auf den Inhalt selber einzugehen, geantwortet. Diese E-Mail enthielt für jegliche Bereiche/Geschäftsfelder von Google einen Punkt, der wiederum auf eine andere Webseite verlinkte. Im Grunde erhielt der Anfragende nur eine lange Linkliste zu Webseiten, die ihm eventuell helfen könnten. Es war wohl die preisgünstigste Lösung. Aber diese Lösung entspricht nicht dem Gedanken der Erreichbarkeit des Betreibers. Der Betreiber wird über diese E-Mail Adresse faktisch nicht erreicht.

Dies beendete nun das Landgericht Berlin und Google muss sich eine neue Methode überlegen.

 

Vergleich:
Schaut mal sich nun BMW, Microsoft, VW oder auch öffentliche Einrichtungen wie den Bundestag an, so erfährt man, dass hier ein Ticketsystem hinter der Support-E-Mail liegt. Man erhält zunächst eine automatische E-Mail, dass der Sachverhalt eingegangen ist und teilweise erhält man auch eine Ticket- oder Bearbeitungsnummer. Nach einem bestimmten Zeitraum, oft sind es 3-4 Werktage, bekommt der Anfragende im Anschluss eine spezifische Antwort auf seine Anfrage, die  aus Textbausteinen bestehen kann, aber auch oft individuell verfasst wird.

 

Fazit:
Die Nutzung einer Linkliste als automatische Antwort für Supportanfragen von Kunden/Usern ist somit nicht mehr erlaubt!

 

 

Quelle:

http://www.vzbv.de/13837.htm

Urteil als .pdf-Scan
http://www.vzbv.de/cps/rde/xbcr/vzbv/google-lg_berlin-2014-08-28.pdf