Schlagwort: Microsoft

Worldwide Data Protection News on our privacy-ticker.com

5. Juli 2016

Data protection should not know any borders, this is why we started to publish international news on privacy and data protection in an own blog. Please subscribe it using www.privacy-ticker.com/newsletter or just visit www.privacy-ticker.com.

Some of last months’ topics were:
Agreement by EU and U.S. negotiators on final changes on the Privacy Shield
The future of privacy rules after UK´s referendum to leave the EU
French DPA launches public consultation on GDPR
Belgian DPA against Facebook for tracking of non-users
Customer passwords from Deutsche Telekom are for sale on the dark web
German courts ruled: WhatsApp has violated the Telemedia Act
Verizon publishes Data Breach Investigations Report 2016: Phishing attacks trend upwards
Microsoft acquires LinkedIn: privacy issues arise
Accountability initiative by the EDPS: achieving compliance with the GDPR
The role of the DPO´s under the new GDPR: the German reference

Thank you.

Datenschutz Made in Germany

25. Mai 2016

Deutsche Datenschutzbestimmungen zählen zu den strengsten weltweit. Nicht selten werden die Reglementierungen besonders aus Wirtschaftskreisen als zu unflexibel bezeichnet. Stimmen aus den USA, woher die meisten Internetgiganten stammen, sprechen oft von der „German Angst“. Wie groß die globalen Diskrepanzen beim Verständnis zum Thema Datenschutz sind, zeigte unlängst das richtungsweisende Safe-Harbor-Urteil des Europäischen Gerichtshofs, wonach die USA kein sicheres Datenschutzniveau nach europäischem Verständnis aufweisen. Das europäische Verständnis von Datenschutz wiederum orientiert sich stark an dem deutschen Verständnis, das während der Erarbeitung der EU-Datenschutz-Grundverordnung (EU-DSGVO) immer wieder als Maßstab herangezogen wurde. Nicht ohne Grund leitete das Bundesverfassungsgericht in seinem berühmten Volkszählungsurteil bereits 1983 den Datenschutz aus den Artikeln eins und zwei des Grundgesetzes ab und manifestierte auf diese Weise das Grundrecht zur informationellen Selbstbestimmung. Der Schutz persönlicher Daten ist somit Ausprägung des Schutzes der eigenen Persönlichkeit.

US-Amerikanische Internetfirmen, für die der europäische Markt besonders bedeutend ist, passen sich zunehmend dem Verständnis europäischer Kunden nach hiesigen Datenschutzerfordernissen an, indem sie ihr liberal geprägtes Datenschutzniveau für den europäischen Markt freiwillig anpassen. Marktführer aus den USA wie Google, Microsoft, Amazon und viele weitere investieren große Summen, um künftig Rechenzentren in Europa und vermehrt in Deutschland betreiben zu können. Dies bedeutet deutlich größeren Datenschutz für Nutzer und Kunden, denn mit einem Rechencenter in Deutschland gilt auch das strenge deutsche Datenschutzrecht für diese unternehmen.

Wie heise online aktuell mitteilt, wird demnächst auch der Online-Speicherdienst Dropbox Datenschutz made in Germany anbieten und seinen Kunden (zunächst nur Geschäftskunden) die Möglichkeit der Datenspeicherung auf in Deutschland stationierten Servern anbieten. Das Unternehmen bestätigte, dass die Nachfrage nach lokaler Datenspeicherung zunimmt. Dies hängt natürlich mit der steigenden Sensibilisierung für den Datenschutz, also unserem Verständnis und der hohen Gewichtung für den Datenschutz hierzulande zusammen. Nicht ganz unbegründet kann Datenschutz made in Germany daher als eine Art Gütesiegel betrachtet werden.

Einigung über Safe Harbor 2.0 bis Ende Januar nicht absehbar – Aufsichtsbehördliche Maßnahmen ab Februar?

21. Januar 2016

Mit dem Urteil vom 06. Oktober 2015 hat der EuGH das Safe Harbor Abkommen für ungültig erklärt. Die obersten Datenschutzbehörden (Artikel-29-Gruppe) haben daraufhin in ihrer Presseerklärung vom 16. Oktober 2016 den Unternehmen, die von der Entscheidung des EuGHs betroffen sind, eine Umsetzungsfrist bis Ende Januar 2016 eingeräumt, um Datenübermittlungen in Drittstaaten auf alternative Grundlagen zu stützen.

Gleichzeitig wurden die EU-Regierungen, die EU-Kommission sowie die US-Regierung aufgefordert, innerhalb dieser Frist ein neues Safe Harbor Abkommen zu verbschieden, das die vom EuGH ausgeurteilten Voraussetzungen erfüllt und als weitere Grundlage neben den Standardvertragsklauseln sowie den Binding Corporate Rules für den Datentransfer in die Vereinigten Staaten dienen kann.

Eine Einigung über ein neues Abkommen noch im Januar scheint nach derzeitigem Stand unwahrscheinlich.

Am 15. Januar 2016 habe die EU-Kommission die Mitgliedsstaaten darüber informiert, dass die Verhandlungen ins Stocken geraten seien. Teilnehmer der Sitzung hielten eine zeitnahe Einigung für „unrealistisch“ und „unwahrscheinlich“, die Stimmung sei insgesamt pessimistisch.

Laut dem EU-Datenschutzbeauftragten Giovanni Buttarelli hätte eine Einigung im Januar allenfalls politische Bedeutung, ein rechstwirksames Abkommen mit Bindnungswirkung erfordere noch weitere Monate Verhandlung.

Am 2. Februar 2016 tritt die Artikel-29-Gruppe wieder zu einer Sitzung zusammen. Es ist zu erwarten, dass im Anschluss daran mitgeteilt wird, welche Maßnahmen die Aufsichtsbehörden gegen Unternehmen, die Daten auf Grundlage des für ungültig erklärten Safe Harbor Abkommens in die Vereinigten Staaten übermitteln, ergreifen werden.

Vor dem Hintergrund, dass der unzureichende Schutz vor einem Zugriff von US-Behörden auf Daten von EU-Bürgern wesentlicher Grund für die Ungültigerklärung des Safe Harbor Abkommens war, könnte ein aktueller Rechtsstreit zwischen der US-Regierung und Microsoft Bedeutung erlangen. Die US-Regierung begehrt hier Zugriff auf Daten, die sich auf einem Server von Microsoft in Irland befinden und zwar allein aufrund eines US-amerikanischen Gesetzes ohne Berücksichtigung andere Rechtsordnungen. Dass ein Einigungswille auf Seite der Vereinigten Staaten besteht, ein Abkommen zu schließen, dass die Daten von EU-Bürgern vor einem Zugriff schützt, scheint daher fraglich.

Wie US-Firmen auf das Safe-Harbor-Urteil des EuGH reagieren

14. Oktober 2015

Nachdem der Europäische Gerichtshof (EuGH) vergangene Woche die Ungültigkeit des Safe-Harbor-Abkommens zwischen der EU und den USA festgestellt hat, lohnt sich ein Blick auf US-Unternehmen. Denn es sind gerade die Großen der Internetbranche, die überdurchschnittlich viele Daten aus der EU erheben und verarbeiten. Und die Großen, allen voran Google, Amazon, Microsoft, Facebook und Apple sind US-Firmen mit großen Marktanteilen in der EU.

Während das Safe-Harbor-Abkommen, sei es nun die gekippte oder die seit 2013 in der Überarbeitung befindliche neue Version, allein von der Politik gestaltet wird und Alternativen wie EU-Standardvertragsklauseln und Binding Corporate Rules von Juristen und Behörden empfohlen werden, sind es die großen US-Unternehmen, die nach ganz eigenen Lösungen suchen. Diese sind – das liegt in der Natur der Sache – zumeist praxisnäher und nicht selten bereits praxiserprobt. Finanziell, organisatorisch und personell können die Unternehmen deutlich schneller, flexibler und nicht selten sogar innovativer reagieren als es nationale Datenschutzbehörden und eine überbürokratisierte EU-Politik können.

Nun stand das Safe-Harbor-Abkommen schon lange in der Kritik und das Urteil des EuGH kommt auch nicht all zu überraschend. Kernproblem war und bleibt der Patriot Act, der US-Behörden ermächtigt, nahezu uferlos auf Daten von US-Firmen zugreifen zu können. Dieses Vorgehen kritisieren nicht nur der EuGH und europäische Datenschützer. Auch US-Firmen bemängelten in der Vergangenheit das Vorgehen der eigenen Regierung, Firmen dazu zwingen zu können, Daten und Informationen gegen ihren Willen preisgeben zu müssen.

Die Summe der Probleme beim Austausch von Daten zwischen EU und USA ist gerade für die Großen der Branche Grund genug, nach eigenen, praxisnahen Lösungen zu suchen. So setzen jedenfalls die finanzstarken Unternehmen verstärkt auf den Ausbau ihrer Standorte innerhalb Europas, wie das Wall Street Journal berichtet. Insbesondere in Irland, aber auch in Belgien, Finnland, den Niederlanden, Dänemark und in Deutschland investieren Google & Co. beachtliche Summen in den Aufbau eigener Rechenzentren und Infrastrukturen. Der Vorteil: Eines der Fundamente des Datenschutzes, nämlich die Zulässigkeit der Datenverarbeitung gemäß § 11 BDSG, ist grundsätzlich gegeben. Denn innerhalb der EU bzw. des europäischen Wirtschaftsraumes wird ein angemessenes Datenschutzniveau unterstellt, während ein solches bei der Datenverarbeitung über die Grenzen der EU hinaus – oft umständlich – nachgewiesen werden muss.

Microsoft gewährt Einblick in Quellcode

3. Juni 2015

Mit der Eröffnung seines so genannten „Transparency Centers“ in Brüssel erlaubt Microsoft nach der Eröffnug einer solchen Einrichtung in Redmond, USA auch in Europa Einblick in sein Allerheiligste, den Quellcode von Windows. Wie heise.de berichtet, sollen -unter strenger Bewachung- Experten der Regierungen mittels „statischer und dynamischer Tools“ Analysen durchführen können.
Aus (deutscher) datenschutzrechtlicher Sicht ist dieser Vorgang vor allem deshalb interessant, weil im Rahmen von Auftragsdatenverarbeitungen die ergriffenen technischen und organisatorischen Maßnahmen (Anlage zu § 11 BDSG) vertraglich dokumentiert werden müssen. Da Microsoft-Produkte wohl in so gut wie allen Unternehmen zu finden sein dürften, könnten sich durch die Ergebnisse der Experten insoweit auch Anpassungsbedarf bei diesen Dokumentationen ergeben. Die früher üblichen Zertifizierungen nach Common Criteria EAL4+ sind nach Ansicht des BSI wegen gestiegener Komplexität jedenfalls nicht mehr einsetzbar.
Ob und inwieweit sich der nicht immer für seine Transparenz bekannte Microsoft-Konzern durch das „Transparency Centers“ tatsächlich in Karte schauen lässt, bleibt abzuwarten.

Kategorien: Allgemein
Schlagwörter: ,

Das Recht auf Vergessenwerden wird auch von Microsoft umgesetzt

13. Juni 2014

Nach dem kürzlich veröffentlichten Urteil des europäischen Gerichtshofs wird dem Einzelnen das Recht auf Vergessenwerden zugestanden. Die Umsetzung stellt die großen Internet-Unternehmen vor eine große Herausforderung. Microsoft möchte, ebenso wie Google, den Nutzern der eigenen Suchmaschine Bing die Möglichkeit anbieten, eine Löschung der Links aus der Ergebnisleiste zu beantragen. Die Zurverfügungstellung eines entsprechenden Formulars wird jedoch noch etwas Zeit in Anspruch nehmen.

Microsoft teilt hierzu auf einer Bing-Hilfeseite mit, dass derzeit an einem speziellen Verfahren, für Bürger der europäischen Union, zur Löschung bestimmter personenbezogener Ergebnisse gearbeitet werde. Jedoch werde die Umsetzung aufgrund der vielen Fragen noch einige Zeit in Anspruch nehmen.

Im Ergebnis bleibt festzuhalten, dass das Urteil des europäischen Gerichtshofs hohe Wellen geschlagen und den Puls der Zeit, in unser datenhungrigen Gesellschaft, getroffen hat. Das haben anscheinend auch die großen Internet-Unternehmen bemerkt. Die Reaktionen gehen in die richtige Richtung.

 

Skype, Datenschutz und eine Alternative

27. Juni 2013

Seit Skype 2003 den Markt der IP-Telefonie bereicherte, übernahm es ebenso schnell eine führende Marktpräsenz, wie es sich datenschutzrechtlicher Kritik ausgesetzt sah. Laut Angaben von Skype wurde die Software rund 3,3 Milliarden mal heruntergeladen (Stand 1.12.2012). Doch proprietäre Netzwerkprotokolle und eine schon in den geltenden Datenschutzrichtlinien öffentlich gemachte Politik, die eine umfangreiche Sammlung von Nutzerdaten zulässt, lassen erhebliche Nutzereinschränkungen erkennen. Dies führt faktisch etwa zu unkontrollierbaren Lücken in der jeweiligen Firewall oder auch, wie jüngst bekannt wurde, kompletten Protokollierungen (bzw. Mitlesen) durch Microsoft, welche Skype vor zwei Jahren für 8,5 Milliarden Dollar aufkauften, von Nutzerkommunikation.  Jedoch, längst nicht alle Nutzer sind sich dessen gewahr. Das mag nicht verwundern, zieht man in Betracht, dass Skype seit Jahren stets die vordersten Ränge der Download-Statistiken von chip.de und Co. anführt.

Doch sind Alternativen vorhanden, wenn auch nicht so weit verbreitet und insofern bis dato weniger praktisch nutzbar, zieht man die Verbreitung und den Marktanteil von Skype im Bereich der IP-Telefonie in Betracht. So existieren etwa auf dem Extensible Messaging and Presence Protocol (XMPP) basierende Kommunikationssysteme wie Jitsi, die einen offenen Standard nutzen und jedenfalls hinsichtlich des Datenschutzes als verbraucherschutzfreundlicher einzustufen sind als etwa Skype.

Kategorien: Online-Datenschutz
Schlagwörter: , , ,

Microsoft: Report zu Behördenanfragen veröffentlicht

26. März 2013

Das Unternehmen Microsoft wurde nach seinem nun veröffentlichten 2012 Law Enforcement Request Report  im Jahr 2012 weltweit mit 75.378 Anfragen von Polizei und Behörden nach Daten von Nutzern der Microsoft Online-Dienste (z.B. Hotmail, Outlook, SkyDrive, Skype) konfrontiert. Daten, wie etwa die IP-Adresse oder der Nutzername, sind danach in 82 Prozent der Fälle an Anfragende übermittelt worden. Jedoch seien nur in 2,2 Prozent der Fälle Nutzerinhalte (z.B. Betreff oder Text einer E-Mail oder ein auf SkyDrive abgelegtes Bild) herausgegeben worden. In nahezu allen dieser Fälle (insgesamt 1558 Fälle) habe eine gerichtliche Anordnung die Übermittlung von Nutzerdaten und -inhalten gerechtfertigt. Bei Anfragen zu Skype gehört Deutschland nach dem Report gemeinsam mit Frankreich, Großbritannien, Taiwan und USA, zu den fünf führenden Nationen. In 18 Prozent aller Fälle habe Microsoft die Anfragen nicht beantwortet – sie seien entweder abgewiesen worden oder die begehrten Daten seien nicht mehr vorgehalten gewesen.

Der Report soll nach Angaben des Unternehmens künftig alle sechs Monate aktualisiert und veröffentlicht werden.

Datenschützer fordern Transparenz von Skype und Microsoft

4. Februar 2013

Für viele Internetnutzer bedeutete die Einführung der kostenlosen und flächendeckend verfügbaren Voice-Over-IP-Videotelefonie einen spürbaren Fortschritt in der technischen Entwicklung. Als Vorreiter und Marktführer des Metiers positionierte sich von Anfang an der Anbieter Skype, der erstmals im Jahr 2003 (damals noch als Skyper 1.0) auf dem Markt erschien und mittlerweile über 650 Millionen Nutzer zählt. 2011 übernahm der Software-Gigant Microsoft das Unternehmen. Mittlerweile lassen sich nahezu alle internetfähigen Endgeräte mit Skype ausstatten.

Mit der immensen Nutzerzahl geht auch ein enormer Datentransfer einher. Auch hoch sensible Daten sind dabei betroffen. Doch Skype lässt sich beim Thema Datenschutz scheinbar nur ungern in die Karten gucken. Wie das Online-Portal der Zeit berichtet, haben sich nun Aktivisten zusammen getan, um von dem Unternehmen klare Aussagen bezüglich der Weitergabe von Daten zu erhalten. Bislang seien entsprechende Anfragen immer mit der Antwort quittiert worden, eine Verschlüsselung der Daten werde gewährleistet, man halte sich an die öffentlich einsehbaren Datenschutzrichtlinien. Unter der Führung des Kanadiers Nadim Kobeissi, Gründer des Chat-Programms Cryptocat, formulierten nun Aktivisten und Datenschützer einen offenen Brief an Skype, in dem Klarheit bezüglich der aufgetretenen Ungereimtheiten gefordert wird. Es wird eine differenzierte Erklärung dazu gefordert, welche Daten Skype genau und wie speichert, und ob, beziehungsweise inwieweit, diese staatlichen Einrichtungen zur Verfügung gestellt werden. Der Brief findet dabei Unterstützung durch eine breite und teilweise prominente Masse. So beteiligen sich etwa die sich für digitale Bürgerrechte einsetzenden Organisationen Electronic Frontier Foundation und Reporter ohne Grenzen an der Aktion.

 

Artikel-29-Datenschutzgruppe: Überprüfung der überarbeiteten Nutzungsbedingungen von Microsoft

3. Januar 2013

Medienberichten zufolge würden Microsofts kürzlich geänderte Nutzungsbedingungen von der Artikel-29-Datenschutzgruppe auf mögliche Verstöße gegen europäische Datenschutzgesetze geprüft.
Die geänderte Nutzungsbedingungen, die für mehrere von Microsofts Produkten gültig sind, sind seit zwei Monaten  in Kraft.

Die Artikel-29-Datenschutzgruppe habe Microsoft-Boss Steve Ballmer in einem Brief (der Bloomberg vorliegt) über die große Reichweite der Änderungen, die es notwendig machten, die Auswirkungen der neuen Bedingungen auf die Endverbraucher zu beurteilen, informiert.

Vor allem sei zu prüfen, ob Microsoft seine Nutzer entsprechend der europäischen Vorschriften über die anstehenden Änderungen informiert habe, indem die Verbraucher  einen Monat vor Inkrafttreten über die Änderungen informiert worden waren. Ein Teil der geänderten Nutzungsbedingungen betreffe nämlich die Möglichkeit, Daten zwischen Desktop- und Cloud-Diensten zu teilen.

Laut anderer Quelle argumentiere Microsoft, dass nur die Nutzungsbedingungen, nicht aber die Datenschutzrichtlinie verändert worden seien.

1 2