Am 10. Juli 2023 hat die EU-Kommission den erwarteten Angemessenheitsbeschluss für das EU-U.S. Datentransferabkommens "Transatlantic Data Privacy Framework" (DPF) gefällt. Damit soll der Transfer privater Daten zu US-Cloud-Anbietern und -Unternehmen legalisiert werden. Die Wirtschaft feierte zwar den Beschluss, aber noch ist nichts in trockenen Tüchern. Hier nochmals eine kurze Bestandaufnahme, wie sich die Sachlage aktuell darstellt und was von gerichtlicher Seite (EuGH) zu erwarten ist.
Anzeige
Worum es beim DPF geht
Um persönliche Daten von EU-Bürgern ins Ausland transferieren zu können, muss laut Datenschutzgrundverordnung in den verarbeitenden Ländern der gleiche Rechtsschutz wie innerhalb der EU für betroffene Bürger gelten. Die EU-Kommission hat einzelne Länder durch einen sogenannten Angemessenheitsbeschluss in diese Gruppe entsprechender Staaten eingestuft. Mit den USA, die mehr oder weniger die IT-Angebote für europäische Firmen bestimmen, wurde dies mit Datenschutzabkommen versucht.
Problem ist leider, dass die Rechtsrahmen zwischen EU und USA bezüglich des Datenschutzniveaus für EU-Bürger nicht passen. EU-Bürger sind diesbezüglich in den USA Menschen zweiter Klasse, obwohl die EU-Kommission genau das gleiche Datenschutzniveau ihrer Bürger bei Verarbeitung persönlicher Daten durch US-Unternehmen gewährleisten muss. Und so fällt die EU-Kommission mit ihren ausgehandelten US-Datenschutzabkommen juristisch auf den Bauch.
Obiger Screenshot eines Tweets von Max Schrems zeigt das aktuell herrschende Dilemma. Als erstes wurde zwischen EU und den USA das sogenannte "Safe Harbor"-Abkommen geschlossen, welches regelt, dass personenbezogene Daten europäischer Nutzer von in der EU gehosteten Servern an die USA übermittelt werden dürfen. Der Österreicher Max Schrems führte gegen Facebook Irland eine Klage vor dem Europäischen Gerichtshof (EuGH). Das Safe Harbor-Abkommen wurde dann 2015 von den Richtern in Luxemburg ersatzlos gekippt (siehe Safe Harbor: EuGH erklärt Abkommen für ungültig).
Anzeige
Damit war der Datentransfer oder die Speicherung von Daten in der von US-Anbietern gehosteten Cloud rechtlich schon nicht mehr gedeckt. Firmen setzten natürlich wieder besseres Wissen weiterhin auf diese als "alternativlos" empfundenen Angebote und hofften auf ein neues Abkommen, was vor dem EuGH hält. Die wackere EU-Kommission hat das Ganze dann in einen neuen, schicken Begriff "Privacy Shield" gekleidet und das Abkommen mit den USA abgeschlossen. Max Schrems mit seiner Organisation noyb hat dieses Abkommen dann über den Rechtsweg erneut und final vor dem EuGH in Luxemburg prüfen lassen. Erwartungsgemäß wurde das Abkommen 2020 von den Richtern des EuGH kassiert, da auch "Privacy Shield", trotz klingendem Namen, nichts an der Schieflage des Datenschutzniveaus für EU-Bürger in den USA ändern (siehe mein Blog-Beitrag EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield").
Gemäß dem Motto "aller schlechten Dinge sind Drei" hat die EU-Kommission unter der aktuellen Präsidentin Ursula von der Leyen ein neues Datenschutzabkommen mit den USA angeleiert (siehe US-Präsident Biden bringt Datenschutzabkommen "Privacy Shield 2.0" auf den Weg). Das Ganze nennt sich nun Trans-Atlantic Data Privacy Framework (DTF) und beruht auf einem Erlass des US-Präsidenten. Die EU-Kommission hat dann einen sogenannten Angemessenheitsbeschluss gefasst, die dem Abkommen das gleiche Datenschutzniveau für EU-Bürger bei Verarbeitung persönlicher Daten in den USA bescheinigt, wie innerhalb der EU.
Dritter Anlauf zum Scheitern?
Ich hatte bereits im Blog-Beitrag EU-Kommission fällt Angemessenheitsbeschluss für EU-U.S. Data Privacy Framework einen Abriss gegeben, wie dieses neue "Abkommen" von der NGO-Organisation noyb sowie von Datenschutzorganisationen wie der europäischen ESDA und des deutschen BfDI gesehen wird. Kurzfassung: Das Abkommen wird vom EuGH überprüft werden und nach bisheriger Einschätzung mit hoher Wahrscheinlichkeit erneut scheitern.
Max Schrems uns seine Organisation noyb hat das Abkommen samt seiner Implikationen analysiert und schreibt hier, dass das angeblich "neue" transatlantische Datenschutzabkommen weitgehend eine Kopie des gescheiterten "Privacy Shield"-Abkommens sei. Anders als von der Europäischen Kommission behauptet, ändert sich am US-Recht wenig: das grundsätzliche Problem mit FISA 702 wurde von den USA nicht angegangen, wodurch nach wie vor nur US-Personen verfassungsmäßige Rechte haben und nicht anlasslos überwacht werden dürfen. EU-Bürger sind weitgehend schutzlos, dürfen anlasslos überwacht werden und haben, anders als von der EU-Kommission in wohlklingenden Dokumenten beschrieben, auch keinen wirklichen Rechtsschutz in den USA.
Die Tage bin ich über obigen Tweet auf diesen Artikel bei heise gestoßen, wo Max Schrems die Regulierung des DCF kommentiert und von einer vertanen Chance spricht, ein Datenschutzabkommen mit den USA auszuhandeln, dass auch vor dem EuGH wegen seiner wirklichen Angemessenheit Bestand hat. Für interessierte Leser vielleicht ganz lesenswert.
Organe der EU handeln gegen die Bürger
Der obige Fall ist ein Beispiel, wo die Interessen der EU-Bürger zum Schutz persönlicher Daten durch die EU-Kommission nicht wirklich wahrgenommen werden. Insider gehen davon aus, dass der Ukraine-Konflikt das "Abkommen" zum Trans-Atlantic Data Privacy Framework (DTF) beflügelt haben, obwohl sich substantiell nichts geändert hat. Und es deutet sich an, dass "die Politik" substantiell daran arbeitet, nicht Regierungsorganisationen wie noyb mundtot zu machen.
In den am Beitragsende verlinkten Blog-Beiträgen hatte ich dokumentiert, wie die irische Datenschutzbehörde (DPC) dort angesiedelte US-Unternehmen systematisch in Bezug auf die DSGVO und erfolgter Datenschutzverstöße schützt. Die irischen DPC muss oft von den nationalen Datenschutzbehörden gezwungen werden, nach Verstößen Bescheide mit Strafzahlungen gegen solche Firmen zu erlassen bzw. die auferlegten Bußgelder zu erhöhen.
Nun wurde von der irischen Regierung ein Gesetz verabschiedet, mit dem europäische Datenschützern ein Maulkorb verpasst werden kann – ich hatte im Beitrag Irische Datenschutzbehörde soll Kritikern Maulkorb verpassen können darüber berichtet. Und am 11. Juli 2023 hat EU-Kommissar Didier Reynders (Justiz) wohl auf einer Pressekonferenz non-profit-Organisationen wie noyb angegriffen. Der Vorwurf lautet (zum dritten Mal), dass Bürger und "gemeinnützige Organisationen" Fälle vor dem EuGH als "Geschäftsmodell" vorbringen. Dieses Narrativ wurde hier in den Kommentaren im Blog auch bereits erhoben, kann ich so nicht stehen lassen.
Dies sehe ich als einen inakzeptablen Angriff auf die Arbeit von Bürgerrechtsorganisationen. Max Schrems arbeitet als Vorsitzender von noyb pro bono. Da Kommissar Reynders diese höchst respektlosen und falschen Behauptungen wiederholt vorgebracht hat, fordert Max Schrems in einem offenen Brief eine offizielle Richtigstellung und Entschuldigung. Da passt auch der
Da passt dann auch obiger Tweet ins Bild, nach dem US-Behörden Fingerabdrücke und Gesichtsbilder in insgesamt 40 Staaten abfragen wollen, wobei die meisten davon in Europa gespeichert sind. Mit einem Kniff setzt sich die EU-Kommission an die Spitze der Gespräche über das Vorhaben, schreibt netzpolitik.org in diesem aktuellen Artikel. Die Herausgabe dieser Daten ist in der EU ein sehr kontrovers diskutiertes Thema, was die EU-Kommission jetzt kapern will und möglicherweise erneut von Gerichten gestoppt werden wird.
Interessante Einschätzung von reuschlaw
Abschließend noch ein kleiner Informationssplitter von den Juristen von reuschlaw, die auf dem Gebiet DSGVO-konforme Cloud beraten. Ich hatte deren Einschätzungen zum Sachverhalt, dass die deutsche Datenschutzkommission den Einsatz von Office 365 als nicht DSGVO-konform einstufte, im Blog-Beitrag MS 365 DSGVO-Konformität: Merkwürdiger "Meinungsartikel" bei heise aufgegriffen. Stefan Hessel hat auf Twitter nachfolgenden "One Pager" zum Thema EU-U.S. Data Privacy Framework eingestellt.
Erste Aussage: Ein Scheitern des entsprechenden Datenschutzabkommens vor dem EuGH "kann nicht ausgeschlossen werden". Zweite Aussage: Wer sich auf den seit dem 10. Juli 2023 geltenden EU-Angemessenheitsbeschluss zum DTF beruft (siehe auch die EDBP-Stellungnahme) und Daten an US-Unternehmen zur Verarbeitung überträgt, muss bestimmte Maßnahmen treffen. Dazu gehört auch die Prüfung, dass das US-Unternehmen die erforderliche Selbstzertifizierung erfolgreich durchlaufen hat. Und das muss einerseits in der Datenschutzdokumentation berücksichtigt werden. Zudem ist zum überwachen, dass das US-Unternehmen seine Zertifizierung aufrecht erhält. Von reuschlaw hieß es auch, dass die Datenschutzkonferenz (DSK) eine Neubewertung von Microsoft 365 im Hinblick auf den DSGVO-konformen Einsatz vornehmen will. Dort liegt bisher (nach meinen Kenntnissen) noch kein Ergebnis vor.
Für das allseits in Firmen eingesetzte Microsoft 365 gibt es inzwischen noch eine andere Entwicklung, die es bei nüchterner Betrachtung ungeeignet erscheinen lässt, Microsoft weiterhin als Partner in diesem Bereich einsetzen zu können. Ich beziehe mich diesbezüglich auf meinen Blog-Beitrag GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten, wo Microsoft zugeben musste, dass angeblich chinesische Hacker der Gruppe "Storm-0558" Zugriff auf die gesamte Microsoft Cloud hatten.
Daniela hat gerade in diesem Kommentar auf den Artikel "Fahrlässige Praktiken": US-Senator kritisiert Microsoft scharf bei Inside IT hingewiesen. US-Senator Ron Wyden erhebt schwere Vorwürfe gegen Microsoft, u.a. dass der beim Hack verwendete Schlüssel schon 2016 von Microsoft erstellt worden und sollte eigentlich 2021 ablaufen. Der Hack wurde 2023 bemerkt. Zudem hätte Microsoft laut Wyden keinen einzigen Skeleton Key haben dürfen, der dazu verwendet werden kann, den Zugriff auf die private Kommunikation verschiedener Kunden zu kompromittieren. Es handelt sich also um einen höchst unzuverlässigen Anbieter, der im Umkehrschluss die DSGVO-Konformität und -Sicherheit der übermittelten Daten nicht sicherstellen kann.
Hans hat mich am Wochenende auf diesen Text von FeFe hingewiesen, der es schön auf den Punkt bringt. Zitat "Einer Schließfach-Firma, bei der sich rausstellt, dass jedes Schließfach mit jedem Schlüssel zu öffnen ist, würde man ja auch nie wieder vertrauen." Den Schluss zu ziehen, Microsoft jetzt rauszuwerfen, wird bei vielen Firmen nicht passieren, es wird weitergewurschtelt, bis zum Crash.
Kritik am Foreign Intelligence Surveillance Act
Ergänzung: Es wurde ja in den nachfolgenden Kommentaren angerissen, dass das Abkommen "eine Überwachung europäischer Bürger" verhinderte. Mir ist gerade ein interessanter Artikel aus der FAZ unter die Augen gekommen.
Laut dem Artikel mussten Berater von US-Präsident Biden einen "unangemessenen Einsatz" des Foreign Intelligence Surveillance Act eingeräumt. Dieser erlaubt Geheimdienstbehörden die Überwachung von Nicht-US-Bürgern im Ausland. Section 702 des Acts erlaubt Geheimdienstbehörden (FBI, NSA) die Überwachung elektronischer Kommunikation von Nicht-US-Bürgern im Ausland, ohne gerichtliche Veranlassung. Da auch US-Bürger ausspioniert wurden, steht die Regelung in den USA in der Kritik.
"Gleichgültigkeit, ein Mangel an geeigneten Verfahren sowie die schiere Masse" an Überwachung habe zum "unangemessenen Einsatz" der sogenannten Section 702 im Foreign Intelligence Surveillance Act durch die US-Bundespolizei FBI geführt, erklärte das Gremium aus unabhängigen Beratern des US-Präsidenten am Montag. Eine Abschaffung des Verfahrens sei allerdings ein schwerer Fehler heißt es. Kurzfazit: Die Daten, die im Rahmen des EU-US Data Privacy Framework DPF transferiert werden, werden wie bisher in die Geheimdienstprogramme (PRISM etc.) eingespeist – genau dies, was eigentlich durch DPF verhindert werden sollte.
Ähnliche Artikel:
Safe Harbor: EuGH erklärt Abkommen für ungültig
EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield"
Vorläufige Einigung zwischen EU und USA im Trans-Atlantic Data Privacy Framework
US-Präsident Biden bringt Datenschutzabkommen "Privacy Shield 2.0" auf den Weg
Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform
Nachbetrachtung zur DSK-Einstufung "Microsoft 365 weiterhin nicht datenschutzkonform"
MS 365 DSGVO-Konformität: Merkwürdiger "Meinungsartikel" bei heise
EU-Kommission fällt vorläufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework
Stellungnahmen von ESDA und BfDI zum EU-U.S. Data Privacy Framework
Entschließung des EU-Parlaments zum US-EU Framework (Mai 2023)
USA erfüllen Verpflichtungen des EU-U.S. Data Privacy Framework
EU-Kommission fällt Angemessenheitsbeschluss für EU-U.S. Data Privacy Framework
Max Schrems und noyb stellen Strafanzeige gegen irische DPC
Irische DPC fordert noyb zur Löschung von Facebook-Entscheidungsentwurf auf
Wie Irlands IDPC systematisch Google, Facebook & Co. vor DSGVO-Verfahren schützt
EuGH erklärt Facebooks/Metas DSGVO-Regeln für illegal
Anzeige
"Organe der EU handeln gegen die Bürger". was sonst? Die EU ist eine Wirtschafts-Union. In jüngster Zeit auch eine Kriegs-Union. Aber sie war und ist keine Bürger Union oder eine politische Union. Man hat sich mit dem EU Parlament ein kleines Demokratiemäntelchen umgehängt, aber das Sagen haben letzendlich doch die Regierungen der Mitgliedsstaaten bei der Sache und beim Personal. Sonst hätte eine solche Fehlbesetzung wie Zensursula nicht passieren können. Es geht nicht darum die Bürger zu schützen, sondern sie, rspektive ihre Daten zu verkaufen. DSGVO war wohl eher ein Unfall. Es besteht keinerlei zwingende Notwendigkeit Daten mit den USA auszutauschen. Selbst Unternehmen wie Master oder VISA werden wohl kaum bereit sein, auf den Umsatz in Europa zu verzichten, wenn sie keine Daten mehr nach USA schicken dürfen und ganz schnell europäische DV Zentren aufbauen.
Das ließt sich hier aber anders:
https://www.security-insider.de/eu-us-datenschutzrahmen-privacy-shield-a-47fd136bd8a3be3a32ac4facfdf4e707/
Zitat:
"Konkret soll das neue Data Privacy Framework neue verbindliche Garantien einführen, um alle vom Europäischen Gerichtshof geäußerten Bedenken auszuräumen, einschließlich der Beschränkung des Zugriffs auf EU-Daten durch US-Geheimdienste auf das Notwendige und Verhältnismäßige und die Einrichtung eines Datenschutzüberprüfungsgerichts (Data Protection Review Court, DPRC). "
…
"US-Unternehmen können nun dem EU-US-Abkommen DPF beitreten. Damit garantieren sie, eine Reihe detaillierter Datenschutzverpflichtungen einzuhalten, beispielsweise die Anforderung, personenbezogene Daten zu löschen, wenn sie für den Zweck, für den sie erfasst wurden, nicht mehr erforderlich sind, und die Kontinuität des Schutzes sicherzustellen, wenn personenbezogene Daten mit anderen geteilt werden.
Darüber hinaus sieht der neue Rechtsrahmen eine Reihe von Schutzmaßnahmen für den Zugriff auf Daten vor, die im Rahmen des Data Privacy Frameworks von US-amerikanischen Behörden übermittelt werden, insbesondere für Zwecke der Strafverfolgung und der nationalen Sicherheit. Der Zugriff auf Daten ist auf das zum Schutz der nationalen Sicherheit erforderliche und verhältnismäßige Maß beschränkt, betont die EU-Kommission."
…
"Die Wirksamkeit des EU-US-Datenschutzrahmens wird regelmäßigen Überprüfungen unterzogen, die von der Europäischen Kommission zusammen mit Vertretern europäischer Datenschutzbehörden und zuständiger US-Behörden durchgeführt werden. Die erste Überprüfung wird innerhalb eines Jahres nach Inkrafttreten des Angemessenheitsbeschlusses, also in 2024, stattfinden, um zu überprüfen, ob alle relevanten Elemente vollständig im US-Rechtsrahmen umgesetzt wurden und in der Praxis wirksam funktionieren."
Zitatende
Der Datenschutz ist also eingebunden. Und ja, fragst du zwei Datenschützer, bekommst du zwei Meinungen. Die Kritiker wie Schrems sehen das natürlich anders, ok, sollen sie es vor dem EUGH prüfen lassen, und falls es durchfällt geht halt die Hängepartie weiter, bis der 4. Versuch startet, usw. Die Unternehmen werden dann die Hängepartie weiterhin mit einer internen Risikomeldung mit Haftung des Managements (wozu haben die eine Manager-Versicherung sonst?) abgedeckt, fertig. Ich wäre jedenfalls mit den von mir oben zitierten Maßnahmen zufrieden. Wer sich jetzt noch über den Zugriff von amerikanischen Behörden im Fall von strafrechtlichen Ermittlungen echauffiert muss IMHO mindestens ein schlechtes Gewissen zu den Sachen haben, die er/sie da in der Cloud abzulegen gedenkt. Tipp: Macht nen Veracrypt-Container oder steigt von OneDrive auf Dropbox um und nutzt darin Boxcryptor.
Was halt vielfach übersehen wird, dass nicht das gesamte Datenschutzniveau der EU und der USA miteinander verglichen oder in Einklang gebracht wird, sondern dass amerikanische Unternehmen dem DPF beitreten und damit den Europäern ein europäisches Datenschutzniveau garantieren. Das scheinen viele nicht zu verstehen!
Das mit dem geklauten AAD-Schlüssel hat erstmal direkt nichts mit dem Datenschutzabkommen zu tun, das hätte auch einem europäischen Unternehmen passieren können, und das schreibe ich, ohne dieses Thema verharmlosen zu wollen.
Zitat von oben:
"Nun wurde von der irischen Regierung ein Gesetz verabschiedet, mit dem europäische Datenschützern ein Maulkorb verpasst werden kann – ich hatte im Beitrag "Irische Datenschutzbehörde soll Kritikern Maulkorb verpassen können darüber berichtet". Und am 11. Juli 2023 hat EU-Kommissar Didier Reynders (Justiz) wohl auf einer Pressekonferenz non-profit-Organisationen wie noyb angegriffen. Der Vorwurf lautet (zum dritten Mal), dass Bürger und "gemeinnützige Organisationen" Fälle vor dem EuGH als "Geschäftsmodell" vorbringen. Dieses Narrativ wurde hier in den Kommentaren im Blog auch bereits erhoben, kann ich so nicht stehen lassen. "
Zitatende
Das ist natürlich schon ein Hammer, das ist aber etwas, was auch schon zur DUH ("Deutsche Umwelthilfe") versucht wurde vorzuwerfen, ist schon lästig, wenn man von solchen Vereinen auf Nichteinhaltung von Normen und Gesetzen hingewiesen wird…
Naja, warten wir die Überprüfung vor dem EUGH ab…
Übrigens: "Hans hat mich am Wochenende auf diesen Text von FeFe hingewiesen, der es schön auf den Punkt bringt. Zitat "Einer Schließfach-Firma, bei der sich rausstellt, dass jedes Schließfach mit jedem Schlüssel zu öffnen ist, würde man ja auch nie wieder vertrauen.""
Das ist schlicht falsch! Ich kann mich mit meinem privaten MS-Zeugs nicht in mein Firmen-MS-Zeugs annmelden, das geht nicht. Bei dem geklauten MSA/AAD-Schlüssel handelt es sich um sowas wie einen "Generalschlüssel" oder "Dietrich". Wenn der Einbrecher vor der Haustür mit einer Bohrmaschine als "Schlüssel" steht, hat er sie auch ruckzuck auf.
Alles schön und gut, ändert aber immer noch nichts am Cloud Act bzw. FISA702. Auch wenn die Unternehmen beitreten, müssen die sich trotzdem an diese beiden Punkte/Gesetze halten, inkl. der Tatsache, dass die Unternehmen dich darüber nicht informieren dürfen. Das betrifft alle US-Unternehmen, völlig egal wo die Server stehen und dieses neue Abkommen ändert daran mal einfach nichts.
Und du kannst als nicht US-Bürger weiterhin nicht deine Rechte einklagen, denn du hast keine. Die Stelle, an die du dich nach diesem "neuen" Framework richten kannst hat auch für jede Anfrage eine vorgeschriebene Antwort.
Lies mal den Artikel, den Schrems auf der Noyb Seite hierzu geschrieben hat, dann verstehst du, warum das das Gleiche wie vorher nur mit neuem Namen ist.
Europäische Ermittlungsbehörden können auch Zugang zu Onlinedaten einfordern, wenn dringender Tatverdacht besteht. Sonst nicht, und genauso ist es auch in den USA. Das geht alles über einen Richter, und auch hier in Europa hört man erst spätestens nach dem Zugriff davon. Also, wo ist der Aufreger. Mach einfach keinen Shice in deinem OneDrive (und sonst wo…) und alles ist gut.
schaue dir die bei noyb verlinkten Dokumente an. Einer der Gründe, warum der EuGH die bisherigen Abkommen gekippt hat, war die anlasslose Einspeisung der Daten an US Geheimdienstprogramme. Da gibt es keine Änderung und keinen Rechtsschutz für EU Bürger.
Ich lese hier immer "die bisherigen Abkommen". Ich zitiere mal das Zitat von oben:
"Darüber hinaus sieht der neue Rechtsrahmen eine Reihe von Schutzmaßnahmen für den Zugriff auf Daten vor, die im Rahmen des Data Privacy Frameworks von US-amerikanischen Behörden übermittelt werden, insbesondere für Zwecke der Strafverfolgung und der nationalen Sicherheit. Der Zugriff auf Daten ist auf das zum Schutz der nationalen Sicherheit erforderliche und verhältnismäßige Maß beschränkt, betont
die EU-Kommission."
Und genau in dem Rahmen versuchen auch europäische Sicherheitsbehörden, auf die Clouddaten, Mailpostfächer usw. zuzugreifen. Da hat dann aber niemand was dagegen.
Du hast das Problem immer noch nicht verstanden. Zum einen: Es wurde nicht definiert, was "verhältnismäßig" ist. Da haben die USA und die EU unterschiedliche Ansichten zu. Darauf wird aber gar nicht eingegangen. Und zum zweiten: Du kannst dich im Falle dagegen immer noch nicht rechtlich wehren. Das angebliche "Gericht" das dafür eingesetzt werden soll ist keines und die Antworten per Definition vorgegeben. Und drittens: Cloud Act und FISA702 werden durch dieses Abkommen NICHT ausgehebelt, die gelten weiterhin.
Lies wirklich mal den Artikel von noyb und verlass dich nicht auf das Geschwafel von der Flintenuschi. Die erzählt genau so viel Schwachsinn wie die liebe Fr. Faeser.
Und als Ergänzung: Generalschlüssel werden seitens des Systems auch benötigt, um dem Anwender helfen zu können, wenn nichts mehr geht / bzw. Datensicherungen und Wiederherstellungen durchgeführt werden müssen.
Ich wollte den hören, der nicht mehr auf seine MS-Konten zugreifen kann, bei MS vorstellig wird und dort gesagt bekommt " Wir können Dir nicht helfen"
Zitat: "sondern dass amerikanische Unternehmen dem DPF beitreten und damit den Europäern ein europäisches Datenschutzniveau garantieren."
Wie soll ich das jetzt deuten?
Ist das ein Benefit für US Unternehmen – ich kann – muss aber nicht?
Windows 10 war auch das letzte Windows – Garantiert!
Was hindert MS, Facebook, Google, etc zu sagen, och, nö lass mal!
Das ist alles wischi-waschi! Und passt zur Ursula.
m2Cent
Das ist doch ganz einfach: Tritt ein amerikanisches Unternehmen dem DPF nicht bei, dann fällt es nicht unter die Regelung und die Kundendaten sind nicht so abgesichertn wie das vom Datenschutz gefordert ist. Es ist so sicher wie das Amen in der Kirche, dass Microsoft, Google, Amazon, Apple, Meta, Dropbox und wie die alle heißen jetzt dem DPF beitreten werden, weil sie sonst mit europäischen Kunden keine Geschäfte mehr machen können.
Zitat:
"Konkret soll das neue Data Privacy Framework neue verbindliche Garantien einführen, um alle vom Europäischen Gerichtshof geäußerten Bedenken auszuräumen, einschließlich der Beschränkung des Zugriffs auf EU-Daten durch US-Geheimdienste auf das Notwendige und Verhältnismäßige und die Einrichtung eines Datenschutzüberprüfungsgerichts (Data Protection Review Court, DPRC). "
Ja, da ist es doch:
"einschließlich der Beschränkung des Zugriffs auf EU-Daten durch US-Geheimdienste auf das Notwendige und Verhältnismäßige "
Geheimdiensten fremder Staaten ist kein Zugriff auf EU-Daten zu gewähren!
Außer im rechlichen Rahmen (z.B. Interpol) zur Strafverfolgung.
Und wer bestimmt, was notwendig ist und was verhältnismäßig ist?
Alleine das würde IMHO schon ausreichen, damit das Abkommen vom EuGH kassiert wird.
Mach einfach keinen Shice (im Internet und sonstwo) und kein amerikanischer Geheimdienst interessiert sich für den (Un)Sinn, den du da speicherst.
Alles darüber hinaus steigert nur den Aluhut-Verbrauch. Das ist nicht gut für die Umwelt.
Ist das so schwer zu verstehen?
Ohne dir zu Nahe treten zu wollen ,das liest sich wie die üblichen "Ich hab doch nichts zu verbergen" Aussagen. Ganz dünnes Eis. Ich weiß ja nicht, wie alt du bist oder wo du geografisch herkommst, aber Leute, die die DDR miterlebt haben können dir gerne mal erzählen, wie es sich so in einem Überwachungsstaat gelebt hat (Stichwort STASI, die würden bei den heutigen Möglichkeiten feuchte Augen bekommen).
Nichts anderes ist das hier und wir täten alle gut daran, uns immer wieder daran zu erinnern, was das bedeuten kann. Daher kann ich es nur gut heißen, wenn Leute wie Schrems dieses Verhalten immer wieder hinterfragen und auch durch Gerichte klären lassen.
So weit so gut/schlecht. Microsoft rauszuwerfen dürfet bei vielen Unternehmen nahezu unmöglich sein. Aus diesem Grund bleibt alles beim alten. Wir entfernen ja auch keine "Regierung" nur weil diese stetig versagt ;) (überspitzt formuliert).
Naja, die müssen ja nicht Microsoft rauswerfen, sondern nur zurückrudern von Microsoft 365 auf On-Prem und das Hosting von Microsoft auf europäische Cloudanbieter umziehen.
Denn bei On-Prem und europäischen Cloudanbietern findet ja keine Speicherung in den USA statt.
Was offensichtlich nicht mehr geht sonst hätten wohl das BSI und andere Stellen doch mal langsam aber sicher was veröffentlicht.
Aus meiner Sicht wird gerade deutlich wie wenig Kontrolle Regierung und firmen noch Kontrolle über ihre IT haben und Deutschland defacto mit einem Fingerschnipsen abgeschaltet werden kann.
MS hat 40 Jahre einen guten Job gemacht um komplette Staaten unter Kontrolle zu bekommen.
Und nein: Ich trage keine Alumütze.
Wo ein Wille ist, ist auch ein Weg!
Niemand ist auf Gedeih und Verderb Mircosoft ausgeliefert.
Es wird schwer und es wird steinig, auch teuer könnte es erst einmal werden,
aber es geht.
München ist ja nicht gescheitert, weil es unüberwindbare Hürden gegeben hätte, sondern einfach, weil MS wahnsinnig viel Geld in die Lobby gesteckt hat,
weil Menschen träge sind, und weil es erst einmal einen richtigen Batzen Geld gekostet hätte.
Natürlich kommt man da raus, mit entsprechendem Komfort- und Effizienzverlust. Notfalls schalte ich meinen Atari TT und Amiga 2500 wieder ein. Alles darüber hinaus ist Luxus.
Dann brauche ich auch dieses Frickel-OS wo jeder reingucken kann, nicht zu bemühen.
Egal ob überspitzt oder nicht, der Vergleich ist gar keiner!
Denn a. kann sehr wohl eine Regierung entfernt werden, nennt sich Misstrauensantrag,
ok, kannst nicht Du machen, und b. spätestens nach vier Jahren, steht die Regierung und deren
Arbeit auf dem Prüfstein. Wenn sie nur Murks gebaut hat und dies auch alle Wähler so sehen,
ist sie weg!
Was MS und deren ständigen Datenschutzverstößen angeht, geht doch!
Wird man aber so Knall auf Fall nicht machen, aber mit Fristen ist es möglich.
Und ich bitte darum!
Wenn nicht, können wir sämtlicher Gesetze und Vorschriften auch in die Tonne treten,
denn es bleibt dann die Frage, warum ich mich an Gesetze halten soll und muss,
aber andere sich nicht an Gesetz und Recht halten brauchen.
dann in die Tonne treten!
Die europäischen Anbieter können das sicher nicht besser als die US-Anbieter. Die Europäer haben nicht mal im Ansatz die Manpower und diese Cloudresourcen wie MS. Das ist als würde ich Aldi mit einem Tante-Emma-Laden vergleichen. Wenn auch Tante-Emma sicher den besseren Service bietet ;)
Nun ja, wenn man mal weiter denkt, ergeben sich aber interessante Implikationen, die bei strategischen Entscheidungen zu bedenken sind.
– ich stelle fest, dass Microsoft – trotz "Manpower und Cloud-Ressourcen" offenbar schlimmer als der "Tante-Emma-Laden" geführt wird und an allen Ecken und Enden sichtbar patzt – ergo eigentlich kein Partner mehr sein kann, dem man zu-/vertrauen kann.
– ich bilde mir ein, dass ich diese groben Schnitzer beim Mitbewerb (AWS, Google) so noch nicht gesehen habe – was mir da im Hinterkopf herum geht: Alle diese genannten Firmen, sowie Facebook etc. setzen auf Linux und Open Source-Lösungen (wobei es auch da Schwachstellen gibt).
– im Sinne eines Dreisprungs komme ich nun zurück auf Microsoft, und mir stellt sich die Frage, ob Herr Nadella seinen Laden nicht hoffnungslos überfordert hat, als er diesen 2014 auf "mobile first und cloud first" umorientiert hat.
Zum letzten Punkt: Die Firmenkultur einer großen Organisation hat ein irres Beharrungsvermögen – das alte Denken und gewachsene Strukturen wirken Jahrzehnte. Man wollte bei Microsoft Cloud einführen und hat (vermutlich) einen Großteil seiner On-Premises-Lösungen dafür umgestrickt. Gleichzeitig ist man (ich vermute mal) in der Mannschaft noch stark in dieser Denke verhaftet. Mir fällt seit Jahren auf, dass bei Microsoft immer wieder Klöpse passieren, wo man sich spontan fragt, wie das passieren kann. Stefan Kanthak schreibt von "Anfängerfehlern und Kindern, die nicht wissen, was sie tun".
Mich beschleicht das Gefühl, dass da die gesamte IT-Welt mit Microsoft in einem ziemlichen Blindflug (was Sicherheit betrifft) unterwegs ist. Und ich drücke es mal platt aus: Alleine der erwähnte AAD-Sicherheitsvorfall würde dazu führen, dass Microsoft bei entsprechendem Wettbewerb ganz schnell auf dem Markt marginalisiert würde. Auch wenn das Beispiel hinkt: Ein Autohersteller, dessen Autos von Jedermann mal so eben aufgeschlossen und geklaut werden könnten, dürfte kaum mehr Fahrzeuge abgesetzt bekommen. In der IT wird dagegen argumentiert, warum das Ganze alternativlos ist. Mir fällt dazu nur Eddy Stoiber und sein Spruch von den Kälbern und dem Metzger ein – ist zwar böse, aber trifft es irgendwie.
Das Problem ist – sind die anderen Anbieter wirklich sicherer oder wissen die noch nicht das sie bereits kompromittiert wurden?
So kann man es natürlich auch als Problem definieren: Ich weiß, dass der Anbieter X unzuverlässig / unsicher ist. Aber wechseln ist halt schwierig, denn bei Anbieter b oder c könnte es auch unsicher sein, also bleibe ich bei x, denn da weiß ich wenigstens sicher, dass ich unsicher bin.
Altbekanntes Problem… So um die 2000er herum hatten viele PC-Hauptplatinen- und PC-Hersteller Probleme mit Low-ESR-Kondensatoren, die geplatzt sind. Da hörte man dann von den Kunden schonmal "ich kaufe nie mehr Komponenten oder einen PC von XXXXXX." Ein halbes Jahr später waren sie dann wieder da, weil die anderen Hersteller das Problem auch hatten, aber man festgestellt hat, dass bei denen der Support (noch) schlechter als bei XXXXXX war.
Selbst bei Hersteller XXXXXX erlebt…
(Die Hersteller wurden damals alle mit gefälschten Panasonic-Elkos aus China betrogen. Alle.)
Da wir momentan nur mit Halbwissen um uns werfen lässt sich das abschließend nicht klären.
Ich hab jetzt nur mal hier im Blog die letzten 3 Wochen revue passieren lassen und mir Stichworte des Grauens notiert, aus Frust wollte ich nicht mehr weiter zurück gehen, alles entweder Sachen die sich per Remotecode, Zugriff aus dem Internet oder lokalem Lan ausnutzen ließen und teilweise sehenswerte Leaks verursacht haben (oder könnten):
Ivanti, Zimbra, OverlayFS Modul, AMI-BMC, verseuchtes Zeugs in NPM, Zenbleed, Confluence/Bamboo, OpenSSH, NetScaler AD, TP-LINK TL-WR840N, AIOS, MOVEit
Alles ohne dass Microsoft da seine Finger im Spiel hat. Wenn man das dann auf Verbreitung / Codegröße, Komplexität, usw. runterbricht, steht MS insgesamt IMHO garnicht so schlecht da.
So sieht es aus. Leider konzentrieren sich alle auf MS. Klar habe die auch massig Schwachstellen. Allerdings ist das OpenSouce bzw. "Linux" basierende Zeug auch nicht viel sicherer. Einen Tot werden wir wohl sterben müssen. Ich wähle den Fenstertot.
Stimmt.
Statistik von CVE Details über in 2017 gefundene Sicherheitslücken:
1. Android = 841
2. Linux Kernel = 453
3. iOS = 387
4. macOS = 299
5. Windows 10 = 268
Auch 2022 noch steht Android ganz weit oben in der Liste.
Die Zahlen könnte man auch als Zeichen von Transparenz interpretieren oder als Hinweis das MS die Probleme in seinen Produkten nicht findet.
Fairerweise muss ich sagen das ich bekennender Linux-User bin.
Du kennst doch die goldene Regel, oder? "Wer das Gold hat, bestimmt auch die Regeln". Oder auch: "Vor dem Gesetz sind alle gleich, aber manche eben doch gleicher".
Beispiel deutscher "Cloud" Anbieter Ionos
https://www.hudsonrock.com/search?domain=ionos.de
2,135 Compromised Users und
1,382 Compromised Employees
hmm – wenn das stimmt…
Web.de und gmx haben auch diese Probleme, wenn auch weniger…
interessante Seite, ob da was dran ist?
telekom.de 2261 / 81 / 129
vodaphone.de
basf.com 1080 / 25 / 73
usw.
Hmm… und wieso ist HudsonRock vertrauenswürdig?
Frage das HudsonRock
Gehören alle zusammen zum selben Konzern. Daher ist der Vergleich vielleicht eher unglücklich gewählt.