Category Archives: Datenschutz

Microsoft prüft die Planung eines deutschen Rechenzentrums (durch Dritte)

Vielen Datenschützern und auch Unternehmern ist ein Rechenzentrum in Dublin oder Amsterdam, also in Europa, nicht ausreichend. Dies deutete Christian Illek in einem exklusiven Interview im Tagesspiegel an. In diesem verkündete er auch die Prüfung und Planung eines deutschen Rechenzentrums, welches durch einen Dritten betrieben werden könnte. So könnte man auch aktuelle Urteile in den USA reagieren und die Daten vor dem Zugriff schützen.

 

Ein Dritter könnte die Telekom sein, meine ich, deren Mitarbeiter schon größere Rechenzentren in Deutschland betreibt, bereits Microsoft Dienste anbietet und schon in diversen Konferenzen von einer deutschen Cloud und mehr Diensten aus Deutschland sprach. Christian Illek sagte nur dazu, dass mit verschiedenen Anbietern gesprochen wird.

 

So wird oft noch in alten Strukturen oder besser in „OnPremise“ gedacht. Die Daten in der Nähe oder besser im eigenen Land. Schon Russland hatte Clouddienst Anbieter dazu verpflichtet Daten nur innerhalb des Landes zu hosten. Dies scheint mir zu kurz gedacht. Ob Daten nun in Amsterdam oder 250km weiter östlich in Bonn liegen würden, scheint zunächst egal zu sein. Denkt man hier an die EU Grundverordnung oder auch die Digitale Agenda der EU Kommission. Dennoch mit der Digitalen Agenda in Deutschland will die Bundesregierung DeutschlandsIT fit für Europa und fit für den internationalen Wettbewerb machen will. Es könnte aber auch eine Chance für Europa und Deutschland sein, hier vorweg zu gehen und mit Microsoft sowie einem großen deutschen Cloud Dienstanbieter, neue Standards zu setzen.

Fraglich ist dann nur, was wäre wenn, die USA Zugriff in Deutschland verlangen, Amtshilfe der deutschen Behörden beantragen oder sich einfach in die Netze hacken oder direkten Zugriff sich über Provider holt, wie es erst kürzlich aus Berichten von Snowden über die Telekom oder Netcologne hieß. Dann müsste die Bundesregierung eine klare Stellung beziehen. Ist das Recht auf informelle Selbstbestimmung oder auch das Persönlichkeitsrecht höher anzusiedeln, wie ein Streit mit den USA? Wird es geheime Abkommen geben, dass deutsche Geheimdienste Informationen weitergeben, die diese wiederum eingeholt haben?

Es bleibt spannend.
Microsoft geht den Weg um Cloud Dienste wie Office 365 oder auch Azure im Mittelstand besser platzieren zu können, so Christian Illek. Viele deutsche Mittelständler setzen auf die eigenen Server im Hause oder deutsche Cloud Anbieter, Microsoft würde hier die Konkurrenz verschärfen und dieses Segment versuchen für sich zu gewinnen. Ebenso wäre der Bereich der deutschen Hochschulen schneller zu bekommen und Apples iCloud/Dropbox/Googledrive würde hier zurückgedrängt.

 

Vielleicht ist ein Argument auch der Fall IKEA. IKEA setzt seit einiger Zeit Yammer weltweit zur internen Kommunikation, nur nicht in Deutschland.

 

Ich bin sehr gespannt und verspreche euch, ich halte Augen und Ohren offen. Sollte es etwas neues geben, dann erfahrt ihr dies hier.

 

Quelle: http://www.tagesspiegel.de/wirtschaft/wegen-datenschutzbedenken-microsoft-plant-deutsche-cloud/10698214.html

 

 

Googles Support-Email ist unzureichend!

Landgericht Berlin
AZ: 52 O 135/13
Verbraucherzentrale Bundesverband vs. Google Inc.

 

Die Verbraucherzentrale Bundesverband (vzbv) hat einen Sieg beim Landgericht Berlin gegen Google errungen. In dem oben benannten Verfahren prangerte die vzbv die Support E-Mail von Google an, die über die Webseite www.google.de zu erreichen war. Google muss nun ein anderes Support-Verfahren mit seiner anderen Support-E-Mail entwickelt und genutzt werden. Bei Zuwiderhandlung fallen 200.000 Euro an, die gegen eine Sicherheitsleistung vorläufig vollstreckbar sind. (zzgl. 10%).

 

Der vzbv klagte im Rahmen seiner Befugnisse (§4 UKlag) als Verband mit dem Schutz des Verbraucherschutzrechtes. Fraglich ist nun auch, ob z.B. die Überlegungen der Verbandsklagen im Rahmen von Datenschutzverstößen in das Uklag kommen. Die Konsultation der Interessensgruppen aus dem April 2014 ist abgeschlossen.

 

Sachverhalt/Problemstellung:
Google bietet als Support eine E-Mail Adresse für seine Kunden an, um Kontakt aufzunehmen. Diese Vorgehensweise ist durch unzählige gerichtliche Vereinbarungen bei Webseiten üblich geworden.

Dem User soll so die Gelegenheit geben werden den Inhaber/Betreiber der Webseite unkompliziert zu erreichen. Eigentlich steckt hinter einer solchen Adresse eine Gruppe von Support-Mitarbeitern oder eben der Betreiber selbst. Google hatte dies nicht gemacht, sondern mit einer automatischen Standardantwort auf alle eingehenden E-Mails, ohne auf den Inhalt selber einzugehen, geantwortet. Diese E-Mail enthielt für jegliche Bereiche/Geschäftsfelder von Google einen Punkt, der wiederum auf eine andere Webseite verlinkte. Im Grunde erhielt der Anfragende nur eine lange Linkliste zu Webseiten, die ihm eventuell helfen könnten. Es war wohl die preisgünstigste Lösung. Aber diese Lösung entspricht nicht dem Gedanken der Erreichbarkeit des Betreibers. Der Betreiber wird über diese E-Mail Adresse faktisch nicht erreicht.

Dies beendete nun das Landgericht Berlin und Google muss sich eine neue Methode überlegen.

 

Vergleich:
Schaut mal sich nun BMW, Microsoft, VW oder auch öffentliche Einrichtungen wie den Bundestag an, so erfährt man, dass hier ein Ticketsystem hinter der Support-E-Mail liegt. Man erhält zunächst eine automatische E-Mail, dass der Sachverhalt eingegangen ist und teilweise erhält man auch eine Ticket- oder Bearbeitungsnummer. Nach einem bestimmten Zeitraum, oft sind es 3-4 Werktage, bekommt der Anfragende im Anschluss eine spezifische Antwort auf seine Anfrage, die  aus Textbausteinen bestehen kann, aber auch oft individuell verfasst wird.

 

Fazit:
Die Nutzung einer Linkliste als automatische Antwort für Supportanfragen von Kunden/Usern ist somit nicht mehr erlaubt!

 

 

Quelle:

http://www.vzbv.de/13837.htm

Urteil als .pdf-Scan
http://www.vzbv.de/cps/rde/xbcr/vzbv/google-lg_berlin-2014-08-28.pdf

Microsoft auf neuer Roadshow zu Security & data privacy

Schon zu Beginn gab es eine Roadshow von Microsoft zum Thema Cloud & Recht. Nun wird es in Deutschland eine weitere Roadshow geben:

Microsoft Cloud-Event: Rechtliche Aspekte und technische Informationen

Termine:

27. Oktober 2014 = München
03. November 2014 = Berlin
27. November 2014 = Frankfurt a. M.
08. Dezember 2014 = Köln

Themen:
„Themen des Events zu Datenschutz und Datensicherheit sind außerdem datenschutzrechtliche Bedingungen, Datenschutzbehörden und die aktuelle Diskussion um das Vorgehen der NSA.“

 AGENDA:

Uhrzeit Thema Sprecher
09:30 – 10:00 Eintreffen der Teilnehmer
10:00 – 10:35 Microsoft Azure – Überblick zu Funktionalitäten, Datenschutz und Sicherheit Maria Wastlschmid, Produktmanager Azure, Microsoft Deutschland GmbH
10:35 – 11:15 Office 365 – Produktvorstellung mit Fokus auf die Kernmerkmale sowie Datensicherheits- und Datenschutzleistungen Florian Müller, Lösungsberater Productivity, Microsoft Deutschland GmbH
11:15 – 11:30 Kaffeepause
11:30 – 12:15 Microsoft Cloud Services – der datenschutzrechtliche Rahmen Dr. Jan-Peter Ohrtmann, Rechtsanwalt, PricewaterhouseCoopers Legal AG
12:15 – 13:00 Microsoft Cloud Services – Erfahrungen aus der Beratungspraxis mit speziellem Fokus auf sensitive Daten und Arbeitsrecht Prof. Dr. Michael Schmidl, Rechtsanwalt, Baker & McKenzie Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbB
13:00 – 14:00 Mittagessen
14:00 – 14:30 Wie arbeitet Microsoft mit den Datenschutzbehörden zusammen? Alexandra Buchberger und Dr. Dirk Bornemann, Rechtsabteilung, Microsoft Deutschland GmbH
14:30 – 15:15 Datenschutzbehörden und die Cloud Dr. Fabian Niemann, Rechtsanwalt, Bird & Bird LLP
15:15 – 15:30 Kaffeepause
15:30 – 16:00 Die aktuelle NSA-Diskussion – Microsofts Position hierzu Dr. Swantje Richters und Dr. Friederike Neunhoeffer, Rechtsabteilung, Microsoft Deutschland GmbH
16:00 – 16:45 Alles Bavarian Cloud – oder was? Prof. Dr. Peter Bräutigam, Rechtsanwalt Noerr LLP

Anmeldung:
http://www.mscloudevent.de/default.aspx

Webseite:

http://www.microsoft.com/germany/technet/aktuell/news/show.aspx?id=msdn_de_55952

Das alte Material von der ersten Roadshow findet ihr auf meiner Webseite unter Material. http://www.rakoellner.de/material/

 

 

 

 

 

Umfrage: Was haltet Ihr von der Cloud?

Ich würde gerne etwas die Stimmung bezüglich des Cloud Computing bei Euch abfragen und so herausfinden, ob sich in der letzten Zeit etwas getan hat.

Stimmt bitte unter den angegebenen Möglichkeiten ab. Wenn Ihr mehr als nur einen Punkt auswählen wollt, dann stimmt bitte einfach zwei Mal ab:

[Update: nun auch mit mehr als einer Antwort 🙂 ]

 

[yop_poll id=“3″]

 

 

 

 

 

 

 

 

[Veranstaltung] IT Forum Düsseldorf bei Lanworks AG

Am 15. September ab 16:00 Uhr beginnt ein IT Forum des Microsoft Partner Lanworks AG. Auch ich werde vor Ort sein und mich einbringen, wie auch den Vortragsteil zum Datenschutz/Sicherheit/Compliance übernehmen.

Aktuell sind noch Plätze frei und hier geht es zur Anmeldung: http://www.lanworks.de/de/kurse/anmeldung.php?strKurs=1114&strTermin=17024&strOrt=

 

USA machen Zugeständnisse – Datenschutz

Wie Viviane Redding, dies mal als Abgeordnete, auf dem Blog Ihrer Partei heute mitteilte, sollen die USA in Datenschutzfragen Zugeständnisse gemacht haben. In einer Besprechung zwischen EU Abgeordneten und dem amerikanischen Botschafter der USA bei der EU soll dieser gesagt haben, dass sich Obama für eine Gleichstellung des Datenschutz zwischen Amerikanern und Bürgern der EU einsetzen will.

Die EU Abgeordneten sollen ebenfalls klar gemacht haben, dass in allen Verhandlungen auch die zum TiSA das Datenschutzniveau der Europäer erhalten bleiben muss.

„Datenschutz sei für Europäer ein Grundrecht und nicht verhandelbar, so die Luxemburgische Abgeordnete.“

Quelle:

http://www.eppgroup.eu/de/press-release/EU-USA/-Datenschutz%3A-USA-macht-Datenschutz-Zugest%C3%A4ndnisse-

BSI Sicherheitskonferenz 2015 – Themen eingereicht

Gestern lief die Frist für den Call for Paper für die IT Sicherheitskonferenz im Jahr 2015 in der Nähe von Bonn ab. Auch ich habe mit beteiligt und konnte drei Themen einreichen. Nun muss ich warten und bekomme im Oktober eine Rückmeldung, ob eines meiner Themen genommen wurde.

Meine Themen:

  1. 2025 – Die perfekte Cyber-Welt (Utopie?)
  2. Cyber Attacks – Ein Angriff im völkerrechtlichen Sinne (Völkerrecht)
  3. Der Arbeitsplatz der Zukunft (Office 365)

Apps zum Thema Sicherheit – Office 365

Mein Office 365 MVP Kollege Michael hat zwei Apps in die Stores gebracht. Wer sich gerne über Office 365 und das Thema Sicherheit informieren möchte, die oder der soll sich diese Apps laden:

Windows Phone:
http://www.windowsphone.com/de-de/store/app/sicherheit-durch-office-365/8ce4ad4b-44b2-48e1-9858-3d5ae60402ee

Windows 8.1 App:
http://apps.microsoft.com/windows/app/sicherheit-durch-office-365/ba51a7c3-d1f3-4cd0-a38d-fa8b88b31988

 

Deutsche Datenschutzbestimmungen für App Entwickler und Anbieter [Bayern]

Apps und gerade die App Entwicklung war und ist bei Gerichten, Behörden und beim Gesetzgeber bisher keine große relevante Materie. Bisher gibt es meines Wissens nach auch nur ein veraltetes Buch aus dem Beck Verlag mit Titel Apps & Recht.

Nun hat im Juni das Bayerische Landesamt für Datenschutz eine Orientierungshilfe veröffentlicht. Diese spricht die App Entwickler und auch App Anbieter an. An Hand von Beispielen wird die juristische Materie beleuchtet und verdeutlicht.

Bis ich die Zeit gefunden habe mir das Dokument genauer anzusehen, hier einige Hinweise:

  1. Während des Entwicklungsprozesses müssen App-Entwickler nach dem Sparsamkeitsgrundsatz Daten erheben. Dies bedeutet, dass nur solche personenbezogenen Nutzungsdaten erhoben und verarbeitet werden dürfen, die für die Leistung der App absolut notwendig sind.
     „Privacy by Design“ – gehört ebenso zum Entwicklungsprozess.
  2. Benutzer müssen über Art, Umfang und Zweck der Erhebung, der Verarbeitung und den Anwendungsfällen der persönlichen Daten in verständlicher Weise informiert werden. Es darf somit keine allgemeine Datenschutzerklärung geben, sondern diese muss auf die App angepasste. So muss die Datenerfassung speziell auf den jeweiligen Prozess transparent gemacht werden. Dazu zählen auch alle einzelnen Sensoren oder auch Kamera, Mikrophone etc. Wichtig ist dies vorallem bei der aufkommenden Trackingmanie.

    senible Daten I:
    Besonders ist in dem Entwurf auf die Verwendung von Standortdaten als sensible Daten hingeweisen. Diese sollten so sparsam wie möglich abgefragt werden und eigentlich so gut wie gar nicht verarbeitet werden. Bei einer Verwendung muss die Verarbeitung transparenz sein und der User aufgeklärt.

  3. Die Datenschutzbestimmungen der App sollten auf der Seite der App der des jeweiligen App-Stores so eingebunden sein, dass Benutzer diese vor dem Download lesen kann.
  4. Die Datenschutzbestimmungen und Kontaktinformationen der Entwickler muss in die App integriert werden und aus der App leicht zugänglich sein. So muss der User mit einem Klick auf die Informationen kommen. Auch ein Kontaktformular sollte eingerichtet sein. Es muss aber nicht genau die eigene Adresse genannt werden, es reicht nach aktueller Rechsprechung auch ein Postfach aus.
  5. sensible Daten II
    Daten aus dem Bereich Bankwesen oder auch aus dem Bereich Gesundheit oder andere sensible persönliche Daten wie die von Minderjährigen sind besonders zu sichern. Zur Sicherung soll eine eine verschlüsselte Übertragung, eine Verschlüsselung auf dem Backend Server und eine Verschlüsselung auf dem Gerät stattfinden. Die Passwörter müssen so sicher wie möglich sein.
    Weiterhin muss man natürlich auf gesetzliche zusätzliche Regelungen wie die des SGB z.B. bei Sozialversicherungsdaten achten.

Quelle:
Bayerisches Landesamt für Datenschutzaufsicht  Juni 2014
http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/Orientierungshilfe_Apps_2014.pdf

Pressemitteilung zum Problem der Datenschutzes in Apps von Mai 2014
http://www.lda.bayern.de/lda/datenschutzaufsicht/p_archiv/2014/pm008.html