Category Archives: EU-Recht

Yammer nun mit EU Modelclauses

EUM_Yammer

Ich bekam am Ende der letzten Woche eine Email von Yammer, in der die Verfügbarkeit der EU Standardvertragsklauseln für Yammer bestätigt wurden. Dies ist äußerst wichtig für den Einsatz dieser Plattform in Deutschland. Aber warum? Es handelt sich natürlich um eine datenschutzrechtliche Fragestellung, wie so oft in den letzten Monaten.

Yammer wird seit Anfang Mai 2015 in Microsofts Rechenzentren gehostet und ist ein reiner SaaS Dienst. Nun schauen wir uns dies etwas genauer an. Yammer wird in US Rechenzentren gehostet und damit laut EU-Kommission in einem unsicheren Drittland aus Gesichtspunkten des Datenschutzes her. Um den Datenschutz nun auf das europäische Niveau zu heben, müssen die EU Standardvertragsklauseln zwischen dem Kunden/Nutzer und dem Dienstanbieter vereinbart werden. Diese müssen 1 zu 1 mit den EU Modelclauses übernommen werden, nach einer Überprüfung mit dem Vergleichen-Tool von Word, kann ich dies für Yammer bestätigen.

Früher wurden Daten im rechtlichem Sinne in Yammer alleine über den Dienstvertrag und über die ehemalig gültige Safe Harbor Vereinbarung verarbeitet. Durch den Wegfall der Safe Harbor Regelungen war der datenschutzkonforme Einsatz von Yammer endgültig beendet worden, doch nun wurden die EU Standardvertragsklauseln abgeschlossen und einer Nutzung von Yammer steht fast nichts mehr im Wege. Zu bedenken bleibt nun auf der einen Seite die korrekte Konfiguration von Yammer und dass die EU Standardvertragsklauseln eventuell nochmal angepasst werden müssen, denn als Folge des Safe Harbor Urteils müssen diese bis zum 31.01.2016 geprüft und eventuell angepasst werden.

Konfiguration von Yammer
Empfohlen sind folgende Einstellungen:

  • Benutzersyncronisation mit der lokalen AD / Benutzersteuerung / Benutzerkontrolle / SSO
  • Wortfilter
  • Nutzungsbedigungen erstellen und von allen Nutzern vor der Nutzung des Tools bestätigen lassen
  • Betriebsvereinbarungen und Absprache mit dem Betriebsrat zur Nutzung von Yammer als Tool im Unternehmen. Sinnvoller Weise wird ein Ausschluss der Auswertung der Daten zur Leistungskontrolle und Überwachung des Mitarbeiters vereinbart.
  • regelmäßige Sicherung und Extraktion der Inhalte von Yammer auf lokale Festplatten (Archivierung)

via: https://blogs.office.com/2015/11/20/eu-model-clauses-and-hipaa-baa-update-now-available-for-all-yammer-customers/

 

 

Yammer Einsatz im Graubereich muss bevorzugt werden?

Ein höchstinteressante Unterhaltung hatte ich auf dem Technical Summit 2015 in Darmstadt zu Yammer. Eine der größten deutschen und internationalen Firmen setzt Yammer aktuell ein. Bei der Diskussion über Datenschutz, Datensicherheit und Schatten-IT, sind wir nach gut 2,5h Abwägung der widerstreitenden Interessen zum Entschluss gekommen: Yammer muss eingesetzt und geduldet werden, auch wenn es datenschutzrechtlich in einem Graubereich sein könnte (vor der Ankündigung der EU Modelclauses).

Was wäre die Alternative eines gut konfigurierbaren und aus Datensicherheitsgründen erstmal akzeptable Plattform – außer eventuell der Gedanke des Zugriffs von Geheimdiensten, aber ist es onPremise sicherer? – : Die User nutzen alternativ private Tools wie WhatsApp, Dropbox, GoogleDocs oder MegaUploads, TeamSpeak, Facebook-Gruppen oder Twitter. Alles dies ist aus Sicht eines Unternehmens schlechter, ein Verbot dieser Dienste nicht ausreichend, da unkontrollierbar, so die realistische Einschätzung. Also: geduldeter Yammer-Einsatz mit Aufklärung der Mitarbeiter und Kontrolle der Plattform durch des Unternehmens. (Berechtigung der Mitarbeiter über eine eigens eingerichteten Stelle: Berichtigung, Löschung, Sperrung und Änderung der Daten

In the Cloud We trust – Neuigkeiten zur deutschen Cloud 1.

 

WICHTIG: Ich habe mich dazu entschieden meine alten Blogposts veröffentlicht zu lassen, um die Entwicklung der Deutschen Cloud transparenter zu machen. Also aktuell und gültig ist immer der neuste Blogpost!

SatyaDE6

Microsoft hat am 11.11.2015 seine deutsche Cloud in Berlin angekündigt und wird in den nächsten zwei Jahren diese vollständig in das bisher erprobte Rechenzentrumskonzept einbinden.

 

Neben den offiziellen Blogposts und Youtube Videos gibt es kleinere TechNet Blogs wie den von Ralf, die offizielle Neuigkeiten veröffentlichen. Ich sammle euch diese Neuigkeiten zusammen und werde in den nächsten Wochen immer wieder Blogposts veröffentlichen.

 

Über interne Informationen und Gespräche darf ich aus Geheimhaltungsgründen keine Auskünfte geben! Bitte versteht dies, dies gehört neben der NDA zum gegenseitigen Respekt, den ich den Microsoft Mitarbeitern zolle, die offen, ehrlich und sehr umfassend mit mir als MVP sprechen. Ich kann mein Feedback geben, aber eben nicht alles posten. Sobald Informationen offiziell sind, findet ihr diese dann hier unter den Posts “Neuigkeiten zur deutschen Cloud 1 bis eben z.B. 10.

 

Vorab möchte ich euch noch auf diesen Artikel von Brad Smith vom 21.01.2015 aufmerksam machen und bittet euch diesen zu lesen: “In the Cloud we Trust”

 

Also stand der heutigen Informationen im Kurzüberblick:

 

Rechenzentren in Deutschland:’
1. Frankfurt (Region Deutschland xx-xx)  2. Biere bei Magdeburg (Region Deutschland XX)
Anmerkungen: Rechenzentren werden bei Microsoft in Regionen und nicht nach Städten aufgeteilt.

 

Vertrag:  3 Teile  a) Vertrag mit Microsoft Corp. (+ EU Modelclauses) b) Vertrag mit Dublin ( + ADV) c) Vertrag zur deutschen Cloud

 

Deutsche Cloud:
Die deutsche Cloud wird ausgestattet sein mit allen Microsoft Azure Diensten/Services und auch den Office 365 Diensten/Services (bis auf Yammer). Diesbezüglich macht Microsoft keinen Unterschied zur Public Cloud gehostet in Dublin (Region West Europe) und Amsterdam (Region Nord Europe).

 

Wichtig: Es gibt die deutsche Cloud und die public Cloud! Es sind zwei getrennte Systeme!

 

Anwendungen in der deutschen Cloud, die zu einem bestimmten Prozentsatz teurer wird als die Public Cloud, können nicht mit externen Anwendungen kommunizieren. Es wird bei der deutschen Cloud von einer abgeschotteten Cloud gesprochen, d.h. alle Anwendungen müssen in der deutschen Cloud noch einmal gehostet und betrieben werden oder man muss insgesamt dort hin umziehen. Weiterhin müssen Office 365 Tenants und auch Azure Tenants neu angelegt werden, dann eben mit Standort in einer Region.

 

Die Azure AD wird innerhalb der beiden oben genannten Regionen laufen können (aus einem technischen Hintergrund sind immer zwei Regionen verpflichtend). Damit verlassen keine Daten das Territorium des deutschen Rechts. Lediglich die Tenant ID, die Domain (z.B. rakoellner.onmicrosoft.com oder rakoellner.com), sowie die Region werden als Index ausgetauscht. Personenbezogene Daten werden, wie jetzt schon, nie weltweit ausgetauscht. Technisch ist es so, dass man sein Login eingibt und dann sofort in das RZ der Region umgeleitet wird und dort seine Verifikation eingibt. (SSL) Personenbezogene Daten werden lediglich zwischen den beiden deutschen Rechenzentren ausgetauscht.

 

Der Termin:  zweite Hälfte 2016

 

Umziehen der eigenen Tenants: Eine Migration ist möglich, aber ich vermute mal, dass neue EA Verträge zunächst bedient werden.

 

dedizierte Umgebungen: nein

 

Zertifizierung: Die Zertifizierung übernimmt D-Trust, eine Tochter der Bundesdruckerei und eben nicht z.B. die deutsche Telekom. Hier könnte man mogeln? Nein, Ralf schreibt: “Microsoft beantragt ein Zertifikat für einen neuen Dienst, der Datentreuhänder überprüft den eingereichten Request und genehmigt ihn, und die D-Trust erstellt das Zertifikat. Auch hier also keine Chance für Mogelei.”

 

Zukunft:
Microsoft spricht mit allen Landesdatenschützern, dem BSI und auch der EU. Das Ziel ist es, alle Zertifizierungen (27001, 27018) bis hin zum BSI Grundschutz zu erreichen. Weiterhin soll irgendwann auch eine Verbindung zwischen deutscher Cloud und public Cloud verfügbar sein.

 

T-Systems:
Die T-Systems überwacht und kontrolliert die beiden deutschen RZs, als “Datentreuhänder”. Der Begriff ist etwas unglücklich, ich würde eher von einem Vermieter oder Vermittler sprechen, die an die Microsoft ihre Räumlichkeiten und Mitarbeiter abstellt. Microsoft gibt sozusagen “den Schlüssel an die T-Systems ab” und erhält keinen direkten Zugriff mehr. Den Ansatz beschreibt Ralf sehr schön auf seinem Blog.   T-Systems Mitarbeiter übernehmen also die Überwachung und Kontrolle.

 

Ralf schreibt zum (Support) Prozess:
Wenn Microsofts Mitarbeiter Zugriff auf die Räumlichkeiten physisch oder per Remote haben wollen, dann braucht dies die Genehmigung der T-Systems. Dies gilt auch für den Zugriff auf Kundendaten, den sowohl der Kunde als auch ein T-Systems Mitarbeiter zustimmen müssen. Der Zugriff ist räumlich und zeitlich begrenzt und terminiert automatisch.

 

“Standardmäßig hat Microsoft keinerlei Rechte in den Kundenbereichen. Erst wenn für einen bestimmten Anlass (Supportanfrage, Updates der Infrastruktur, Einrichtung neuer Services etc.) ein Zugriff benötigt wird, wird er – auf Antrag – dem Mitarbeiter gewährt, aber auch nur für eine bestimmte Zeit (hier kommt noch ein weiteres Feature ins Spiel, JIT, also Just-in-Time) und nur auf den benötigten Bereich. Und genau diese Rechtegewährung nimmt der Datentreuhänder vor, nicht Microsoft. Aus eigenem Antrieb hat Microsoft keine Möglichkeit, sich selbst diese Rechte zuzuweisen. Die Protokollierung dieser Rechtezuweisung findet in einem Bereich statt, auf den Microsoft ebenfalls keinen Zugriff hat, also nix mit Spuren verwischen oder so. Zusätzlich hat der Datentreuhänder die Möglichkeit, sich in die Session aufzuschalten und direkt zu kontrollieren, was der Supportingenieur da so treibt.

 

Diese Rechtegewährung betrifft übrigens auch den physischen Zugang zu den Rechenzentren: Auch hier ist eine Genehmigung des Datentreuhänders notwendig, und zusätzlich wird ein Mitarbeiter des Datentreuhänders als Begleitung dem Microsoft-Mitarbeiter nicht von der Seite weichen und ihn in die Serverräume begleiten.

 

Für alle diese Fälle, in denen ein Microsoft-Mitarbeiter in Kontakt mit Kundendaten kommen könnte, bedarf es also eines Anlasses, eines definierten Bereiches, und eines definierten Zeitraumes, um den Zugriff durch den Datentreuhänder freigeschaltet zu bekommen. Fälle, wie sie zum Beispiel in der Vergangenheit bei nahezu allen größeren amerikanischen Providern aufgetreten sind, nämlich dass eine US-Behörde unter Hinweis auf den Patriot Act oder andere US-Gesetze die Herausgabe von Daten angeordnet hatte, obwohl diese außerhalb (zum Beispiel in Europa) der USA gespeichert waren, lassen sich für die “Microsoft Cloud Deutsche Datentreuhand” jetzt recht einfach verhindern, da ja gar kein Zugriff durch Microsoft mehr möglich ist.” (Ralf)

 

 

Wer mehr wissen will, der/die sollte auf die Session beim Technical Summit 2015 gehen! Ich werde auch dort sein und direkt bloggen! Naja nicht direkt, denn ich muss dann erstmal meine Session halten, ihr seid alle dazu – mit gültigem Ticket – eingeladen! 16:45 -> Datenschutz und Datensicherheit

Also überlegt euch schon mal: deutsche Cloud oder public Cloud 🙂

+ Ein herzlichen Dank an Ralf! Ein toller Artikel, der viele Fragen klärt!

 

 

 

 

 

 

 

via: http://blogs.technet.com/b/ralfwi/archive/2015/11/12/microsoft-cloud-deutsche-datentreuhand.aspx

ShareConf Session ist nun online abrufbar – Cloud Law

Cloud-Vortrag

Seit heute ist auch meine Session von der ShareConf in Köln online verfügbar. Meine Session wurde professionell seiner Zeit aufgezeichnet und ist nun im Microsoft Channel abrufbar.

Titel: Entwicklung für und in der Cloud – rechtliche Aspekte in Softwareprojekten

Im Rahmen dieses Vortrages im Level 100-200 bin ich auf die Basis des rechtlichen Schutzes bei Softwareentwicklungen eingegangen. Ich plane in einem weiteren Vortrag konkret auf Lizenzhinweise im Quelltext, Tools, wie auch besondere Hinweise beim Cloud Computing einzugehen. Eine besondere Problematik liegt in der Überlassung der Cloud Dienste im Rahmen dessen der Entwickler besonderes Customising oder auch Plugins erstellt. Diese funktionieren natürlich nicht mehr, wenn der darunter liegende Cloud Dienst nicht mehr läuft.  Ebenso darf man nur Plugins und Erweiterungen im Rahmen der Nutzungsbedingungen des Cloud Dienstes erstellen.

Link:

https://channel9.msdn.com/Events/community-germany/ShareDev-Cologne-2015/Entwicklung-fr-und-in-der-Cloud-rechtliche-Aspekte-in-Softwareprojekten

Cloud Roadshow mit IT-Rechtlern von Microsoft

Seit 2013 veranstaltet Microsoft ein Cloud Event mit aus ihrer Sicht renommierten IT-Rechtlern. Auch in diesem Jahr wird es wieder drei Veranstaltungen im November geben, die jeweils mit der selben Agenda abgehalten werden. Früher gab es noch fünf Veranstaltungen, aber das Progamm wurde wohl zusammengestrichen.

Wenn ihr diese besuchen wollt, dann sucht euch einen Termin in eurer Nähe aus:

10.11.2015  -> Frankfurt
18.11.2015 -> Hamburg
30.11.2015 -> München

Continue reading

Technical Summit 2015 – Ich bin dabei!

Technial Summit

 

Vom 17. September bis zum 19. September findet diesmal in Darmstadt das – nach der Cebit – größte Event der Microsoft Deutschland GmbH statt. Es handelt sich um eine technische Konferenz mit vielen Vorträgen, Workshops am letzten Tag und drum herum Treffen der Communities und Förderprogramme von Microsoft.

Ich werde im Rahmen dieser Konferenz mit Peter Kirchner zusammen einen Vortrag zum Thema

“Was gehen mich Datenschutz & Datensicherheit in der Cloud an” 

halten. Wir wollen die aktuellen Themen zu der Thematik ansprechen und uns gemeinsam mit den Teilnehmern um Unterschiede und Gemeinsamkeiten kümmern. Wir erläutern, wie man compliant und sicher mit dem Thema umgehen kann.

Continue reading

Artikel 29. Arbeitsgruppe begrüßt EuGH Entscheidung zu Safe Harbor

Die Artikel 29 Arbeitsgruppe reagierte direkt auf das Urteil des EuGH zum Ende von Safe Harbor und zur Stärkung der nationalen Datenschutzbehörden. In ihrer heutigen Pressemitteilung begrüßt die Artikel 29 Arbeitsgruppe der EU Kommission das Urteil des EuGH, welches eigentlich auch die Fehler dieser der EU Kommission beratenden Arbeitsgruppe bescheinigt.

  • Die Kommission begrüßt die Kritik an der Massenüberwachung in den USA, welche diese selber auch schon mehrfach angemahnt haben.
  • Weiterhin begrüßt die Kommission die Stärkung der nationalen berechtigten Datenschutzbehörden, die selbstständig Prüfungen durchführen können und nicht an die Entscheidung der EU Kommission gebunden ist.
  • Ebenso nimmt es die Aussage des Gerichts entgegen, dass man in den USA kein ausreichenden Rechtsschutz besitzt.

 

via:
http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2015/20151006_wp29_press_release_on_safe_harbor.pdf

Ein wichtiger Schritt ? Ein Meilenstein? Neues Datenschutzabkommen Umbrella zwischen der EU und den USA!

Heimlich still und leise wurde ein neues Datenschutzabkommen zwischen der EU und den USA ausgehandelt. Nachdem das Safe Harbor Abkommen von den deutschen Landesdatenschutzbeauftragten auf ihrer letzten Konferenz in der jetzigen Form quasi beerdigt wurde, gibt es nun nach vierjährigen Verhandlungen ein neues Abkommen.

EU Justizkommissarin Frau Věra Jourová meldete nun den Abschluss der Verhandlungen und das Bestehen eines neuen Datenschutzabkommens mit dem Namen Umbrella am 08. September auf ihrem Blog.

Continue reading

Microsofts Verfahren zur Herausgabe von Daten aus einem RZ in Dublin – Runde 2

Am 09.09.2015 ging das Verfahren vor dem New Yorker Gericht in die zweite Runde. Dort verlangt ein us amerikanischer Geheimdienst die Herausgabe von Email-Daten aus dem Microsoft Rechenzentrum in Dublin, Irland. Das Verfahren verlor Microsoft in der ersten Instanz und nun begann die Berufungsinstanz.

Zu Beginn machten beide Parteien ihre Standpunkte noch einmal klar. Auf der einen Seite steht der Regierungsvertreter, der den Zugang erstreiten will. Er argumentiert, dass theoretisch Mitarbeiter der us-amerikanischen Mutter der Microsoft Inc. Zugang zu Daten in dem Microsoft Rechenzentrum der irländischen Tochter haben. Damit seien dies auch Daten des Mutterunternehmens und somit us amerikanische Daten. Eine Herausgabe nach us amerikanischen Recht wäre damit gegeben.

Auf der anderen Seite stehen Microsoft´s Anwälte. Diese bestärken den Standpunkt, dass die Daten der Kunden, eben Kundendatenseien und Microsoft lediglich den Servicedienst anbietet. Es seinen keine Daten der Firma Microsoft und damit müsste man sich bezüglich der Herausgabe an den Kunden wenden. Weiterhin wird angeführt, dass man über diesen versuchten direkten Zugriff erhalten würde. Dies sollte eigentlich über ein Rechtshilfeersuchen an die irländische Exekutive passieren. Letztlich stellt einer der Juristen von Microsoft die These in den Raum, was wäre wenn die chinesischen Behörden so direkten Zugriff auf Rechtenzentren in den USA bekommen würden? Dies ist aus meiner Sicht ein extrem gutes Beispiel, da es die Gefahren und die zweischneidige Beurteilung zeigt.

Letztendlich sind über 28 Unternehmen neben der irländischen Regierung Microsoft beigesprungen, so auch Apple, Dropbox oder Salesforce. Nun bleibt abzuwarten, wie die zweite Instanz urteilt und ob Briefe und Ersuchen auch an den Präsidenten Obama geholfen haben.

Zu guter Letzt stelle ich mal die provokante These auf: Es ist vollkommen egal, wie dieses Verfahren ausgeht! Wenn ein Geheimdienst Zugriff auf Daten haben möchte, dann gibt es 100 andere Wege und dafür wird dieses Urteil nicht benötigt.

 

via:
http://www.theguardian.com/technology/2015/sep/09/microsoft-court-case-hotmail-ireland-search-warrant

Haftung eines Hotelbewertungsportal für unwahre Tatsachenbehauptungen

Der BGH entschied vor wenigen Tagen, dass ein Hotelbewertungsbetreiber nicht für unwahre Tatsachenbehauptungen eines seiner Nutzers auf Unterlassen (§ 4 Nr. 8, § 3 Abs .1 UWG) haftet, wenn dieser seine Prüfpflichten einhält.

Continue reading