Schlagwort: Amazon
14. Oktober 2015
Nachdem der Europäische Gerichtshof (EuGH) vergangene Woche die Ungültigkeit des Safe-Harbor-Abkommens zwischen der EU und den USA festgestellt hat, lohnt sich ein Blick auf US-Unternehmen. Denn es sind gerade die Großen der Internetbranche, die überdurchschnittlich viele Daten aus der EU erheben und verarbeiten. Und die Großen, allen voran Google, Amazon, Microsoft, Facebook und Apple sind US-Firmen mit großen Marktanteilen in der EU.
Während das Safe-Harbor-Abkommen, sei es nun die gekippte oder die seit 2013 in der Überarbeitung befindliche neue Version, allein von der Politik gestaltet wird und Alternativen wie EU-Standardvertragsklauseln und Binding Corporate Rules von Juristen und Behörden empfohlen werden, sind es die großen US-Unternehmen, die nach ganz eigenen Lösungen suchen. Diese sind – das liegt in der Natur der Sache – zumeist praxisnäher und nicht selten bereits praxiserprobt. Finanziell, organisatorisch und personell können die Unternehmen deutlich schneller, flexibler und nicht selten sogar innovativer reagieren als es nationale Datenschutzbehörden und eine überbürokratisierte EU-Politik können.
Nun stand das Safe-Harbor-Abkommen schon lange in der Kritik und das Urteil des EuGH kommt auch nicht all zu überraschend. Kernproblem war und bleibt der Patriot Act, der US-Behörden ermächtigt, nahezu uferlos auf Daten von US-Firmen zugreifen zu können. Dieses Vorgehen kritisieren nicht nur der EuGH und europäische Datenschützer. Auch US-Firmen bemängelten in der Vergangenheit das Vorgehen der eigenen Regierung, Firmen dazu zwingen zu können, Daten und Informationen gegen ihren Willen preisgeben zu müssen.
Die Summe der Probleme beim Austausch von Daten zwischen EU und USA ist gerade für die Großen der Branche Grund genug, nach eigenen, praxisnahen Lösungen zu suchen. So setzen jedenfalls die finanzstarken Unternehmen verstärkt auf den Ausbau ihrer Standorte innerhalb Europas, wie das Wall Street Journal berichtet. Insbesondere in Irland, aber auch in Belgien, Finnland, den Niederlanden, Dänemark und in Deutschland investieren Google & Co. beachtliche Summen in den Aufbau eigener Rechenzentren und Infrastrukturen. Der Vorteil: Eines der Fundamente des Datenschutzes, nämlich die Zulässigkeit der Datenverarbeitung gemäß § 11 BDSG, ist grundsätzlich gegeben. Denn innerhalb der EU bzw. des europäischen Wirtschaftsraumes wird ein angemessenes Datenschutzniveau unterstellt, während ein solches bei der Datenverarbeitung über die Grenzen der EU hinaus – oft umständlich – nachgewiesen werden muss.
27. Oktober 2014
Der Online-Händler Amazon will Medienberichten zufolge sein erstes Rechenzentrum in Deutschland, voraussichtlich Frankfurt, eröffnen und von dort aus die EU-Region versorgen. Begründet worden sei diese Entscheidung – neben dem allgemeinen Wachstum des Geschäfts in Europa – auch mit dem Interesse der Kunden an Datendiensten aus Deutschland. Die strengen deutschen Datenschutzregelungen würden Deutschland insbesondere als Standort für Cloud-Rechenzentren interessant machen. Damit folge Amazon u.a. dem Unternehmen Oracle, das bereits jüngst die Eröffnung von zwei Rechenzentren in Frankfurt und München angekündigt hat, dem Cloud-Dienstleister VMware, der zum kommenden Jahr ein Rechenzentrum in Deutschland bauen wolle sowie dem Unternehmen Cisco, dessen Cloud-Plattform von der Deutschen Telekom betrieben wird.
15. Juli 2013
Amazons 1Button App, welche es als Erweiterung für Firefox und Chrome gibt, bietet direkten Zugriff auf die Amazon-Suche und zeigt Angebote und Topseller übersichtlich an.
Doch das ist nicht alles, was das Programm kann! Wie wahrscheinlich kaum ein Nutzer weiß, übermittelt die Erweiterung sämtliche aufgerufenen Websites nicht nur an Amazon selber, sondern teilweise auch an den Webstatistik Dienst Alexa, welcher zum Amazon Konzern gehört. Wie der der polnische Sicherheitsfachmann Krzysztof Kotowicz herausgefunden hat, werden dabei sogar die URLs von verschlüsselten HTTPS-Verbindungen an die Amazon-Server übertragen.
In den Datenschutzbestimmungen zur App findet sich zu diesem Verhalten folgender Passus: “The Amazon Browser Apps may also collect information about the websites you view, but that information is not associated with your Amazon account or identified with you.” Dem Wortlaut nach ist also nur von Sammeln, nicht aber von Übermitteln die Rede. Auch die Angabe, dass die übermittelten Daten nicht mit dem Amazon-Account verbunden werden oder zur Identifizierung genutzt werden, scheint fragwürdig, weil Amazon bei der Übermittlung das gleiche Cookie verwendet, wie auch zur Identifikation der Nutzer im Onlineshop.
Doch damit nicht genug: Amazon überträgt von bestimmten Seiten sogar die Inhalte an die eigenen Server. So werden beispielsweise die über eine verschlüsselte HTTPS-Verbindung aufgerufenen Ergebnisse einer Google-Suche an Alexa übertragen. In Bezug auf diese Übermittlung an Alexa finden sich folgende Angaben in den Datenschutzbedingungen: “In some cases, that information may be personally identifiable, but Alexa does not attempt to analyze web usage data to determine the identity of any user.” Damit gibt Amazon recht unverhohlen zu, dass durch die Übermittlung einzelne Nutzer identifizierbar sind. Die übermittelten Daten enthalten dabei nicht nur identifizierende Merkmale, sondern auch sämtliche URL-Parameter wie Session-IDs, die zumindest theoretisch dazu genutzt werden können, die Identität des Nutzers gegenüber den besuchten Webdiensten zu übernehmen.
4. April 2012
Der Berliner Datenschutzbeauftragte Dr. Alexander Dix hat in seinem Jahresbericht 2011 auf die stark erhöhte Gefahr eines Missbrauchs bei der Nutzung und Verarbeitung von privaten Daten hingewiesen.
Die Privatsphäre des Bürgers sei insbesondere durch neuartige Überwachungstechniken in Staat und Wirtschaft bedroht. Hier nimmt der Bericht vor allem Cloud-Computing sowie soziale Netzwerke aber auch den Einsatz von sogenannten Staatstrojanern ins Visier.
Unternehmen und Behörden müssten ebenfalls bei der Nutzung von Cloud-Computing die grundsätzlichen Anforderungen an Datenverarbeitungsprozesse, zu denen neben Informationssicherheit etwa auch Kontrollierbarkeit, Transparenz und Beeinflussbarkeit gehörten, erfüllen.
Facebook-Nutzern rät der Datenschutzbeauftragte die Timeline Funktion nicht zu aktivieren oder zumindest die Reichweite in die Vergangenheit zu begrenzen. Zudem sollte es Facebook-Apps und anderen Webseiten verwehrt sein, Einträge ungefragt auf die persönliche Neuigkeiten-Seite zu schreiben.
Im Rahmen der in der Vergangenheit kontrovers diskutierten staatlichen Maßnahmen wie die gesetzliche Verankerung der Online-Durchsuchung und die durch das Bundesverfassungsgericht vorgenommene Abgrenzung zur unzulässigen Quellen-Telekommunikationsüberwachung kommt der Bericht zu dem Ergebnis, dass die “Informationelle Selbstbestimmung, Persönlichkeitsrechte und die sich daraus ergebenden Forderungen für die Freiheit des Einzelnen nach den Vorgaben des Grundgesetzes […] zusehends in die Defensive gegenüber den Interessen des Staates zur Vorbeugung und Verfolgung von Straftaten und zur Gewährleistung von Sicherheit und Ordnung [geraten].”
Eine weitere besondere Herausforderung für den Datenschutz sieht der Datenschutzbeauftragte darin, dass große internationale – vor allem aber US-amerikanische – Unternehmen, wie Google, Apple, Amazon und vor allem Facebook immer größere Mengen an personenbezogenen Daten verarbeiten und speichern ohne dabei das deutsche und europäische Datenschutzrecht hinreichend zu berücksichtigen.
2. Juli 2011
Gordon Frazer, Managing Director bei Microsoft UK, räumte zum Start des Online-Office-Dienstes Office 365 ein, dass US-Behörden auch dann Zugriff auf Daten gewährt werden müsste, wenn diese physikalisch auf europäischen Servern gespeichert sind.
Auf Grundlage des USA Patriot Acts ist ein solcher Zugriff dann nicht auszuschließen, wenn eine Firma ihren Hauptsitz in den USA hat oder alle Anteile von einer US-Mutterfirma gehalten werden. Neben Microsoft sind auch sonstige Internetgrößen wie Amazon, Apple und Google betroffen. Dies wird auch durch die Aussage Frazers, dass weder Microsoft noch andere Firmen die Garantie geben könnten (, dass den US-Behörden kein Zugriff auf die Daten gewährt wird), deutlich.
Nach Möglichkeit würden die Kunden aber von einem solchen Zugriff unterrichtet. Die Einschränkung “nach Möglichkeit” ist notwendig, da bestimmte US-Behörden wie das FBI einen National Security Letter erlassen können, welcher es den betroffenen Stellen verbietet, Informationen über die Anfrage weiterzugeben (sogenannte Gag order).
Insgesamt wurde damit zum ersten Mal eine solche Zugriffsmöglichkeit explizit bestätigt. Unternehmen, die den rechtlichen Anforderungen des Datenschutzes beim Cloud-Computing Genüge tun wollen, kann somit vorerst nur geraten werden, ihre Daten einem europäischen Anbieter anzuvertrauen. (se)
