Schlagwort: Microsoft

Einigung über Safe Harbor 2.0 bis Ende Januar nicht absehbar – Aufsichtsbehördliche Maßnahmen ab Februar?

21. Januar 2016

Mit dem Urteil vom 06. Oktober 2015 hat der EuGH das Safe Harbor Abkommen für ungültig erklärt. Die obersten Datenschutzbehörden (Artikel-29-Gruppe) haben daraufhin in ihrer Presseerklärung vom 16. Oktober 2016 den Unternehmen, die von der Entscheidung des EuGHs betroffen sind, eine Umsetzungsfrist bis Ende Januar 2016 eingeräumt, um Datenübermittlungen in Drittstaaten auf alternative Grundlagen zu stützen.

Gleichzeitig wurden die EU-Regierungen, die EU-Kommission sowie die US-Regierung aufgefordert, innerhalb dieser Frist ein neues Safe Harbor Abkommen zu verbschieden, das die vom EuGH ausgeurteilten Voraussetzungen erfüllt und als weitere Grundlage neben den Standardvertragsklauseln sowie den Binding Corporate Rules für den Datentransfer in die Vereinigten Staaten dienen kann.

Eine Einigung über ein neues Abkommen noch im Januar scheint nach derzeitigem Stand unwahrscheinlich.

Am 15. Januar 2016 habe die EU-Kommission die Mitgliedsstaaten darüber informiert, dass die Verhandlungen ins Stocken geraten seien. Teilnehmer der Sitzung hielten eine zeitnahe Einigung für “unrealistisch” und “unwahrscheinlich”, die Stimmung sei insgesamt pessimistisch.

Laut dem EU-Datenschutzbeauftragten Giovanni Buttarelli hätte eine Einigung im Januar allenfalls politische Bedeutung, ein rechstwirksames Abkommen mit Bindnungswirkung erfordere noch weitere Monate Verhandlung.

Am 2. Februar 2016 tritt die Artikel-29-Gruppe wieder zu einer Sitzung zusammen. Es ist zu erwarten, dass im Anschluss daran mitgeteilt wird, welche Maßnahmen die Aufsichtsbehörden gegen Unternehmen, die Daten auf Grundlage des für ungültig erklärten Safe Harbor Abkommens in die Vereinigten Staaten übermitteln, ergreifen werden.

Vor dem Hintergrund, dass der unzureichende Schutz vor einem Zugriff von US-Behörden auf Daten von EU-Bürgern wesentlicher Grund für die Ungültigerklärung des Safe Harbor Abkommens war, könnte ein aktueller Rechtsstreit zwischen der US-Regierung und Microsoft Bedeutung erlangen. Die US-Regierung begehrt hier Zugriff auf Daten, die sich auf einem Server von Microsoft in Irland befinden und zwar allein aufrund eines US-amerikanischen Gesetzes ohne Berücksichtigung andere Rechtsordnungen. Dass ein Einigungswille auf Seite der Vereinigten Staaten besteht, ein Abkommen zu schließen, dass die Daten von EU-Bürgern vor einem Zugriff schützt, scheint daher fraglich.

Wie US-Firmen auf das Safe-Harbor-Urteil des EuGH reagieren

14. Oktober 2015

Nachdem der Europäische Gerichtshof (EuGH) vergangene Woche die Ungültigkeit des Safe-Harbor-Abkommens zwischen der EU und den USA festgestellt hat, lohnt sich ein Blick auf US-Unternehmen. Denn es sind gerade die Großen der Internetbranche, die überdurchschnittlich viele Daten aus der EU erheben und verarbeiten. Und die Großen, allen voran Google, Amazon, Microsoft, Facebook und Apple sind US-Firmen mit großen Marktanteilen in der EU.

Während das Safe-Harbor-Abkommen, sei es nun die gekippte oder die seit 2013 in der Überarbeitung befindliche neue Version, allein von der Politik gestaltet wird und Alternativen wie EU-Standardvertragsklauseln und Binding Corporate Rules von Juristen und Behörden empfohlen werden, sind es die großen US-Unternehmen, die nach ganz eigenen Lösungen suchen. Diese sind – das liegt in der Natur der Sache – zumeist praxisnäher und nicht selten bereits praxiserprobt. Finanziell, organisatorisch und personell können die Unternehmen deutlich schneller, flexibler und nicht selten sogar innovativer reagieren als es nationale Datenschutzbehörden und eine überbürokratisierte EU-Politik können.

Nun stand das Safe-Harbor-Abkommen schon lange in der Kritik und das Urteil des EuGH kommt auch nicht all zu überraschend. Kernproblem war und bleibt der Patriot Act, der US-Behörden ermächtigt, nahezu uferlos auf Daten von US-Firmen zugreifen zu können. Dieses Vorgehen kritisieren nicht nur der EuGH und europäische Datenschützer. Auch US-Firmen bemängelten in der Vergangenheit das Vorgehen der eigenen Regierung, Firmen dazu zwingen zu können, Daten und Informationen gegen ihren Willen preisgeben zu müssen.

Die Summe der Probleme beim Austausch von Daten zwischen EU und USA ist gerade für die Großen der Branche Grund genug, nach eigenen, praxisnahen Lösungen zu suchen. So setzen jedenfalls die finanzstarken Unternehmen verstärkt auf den Ausbau ihrer Standorte innerhalb Europas, wie das Wall Street Journal berichtet. Insbesondere in Irland, aber auch in Belgien, Finnland, den Niederlanden, Dänemark und in Deutschland investieren Google & Co. beachtliche Summen in den Aufbau eigener Rechenzentren und Infrastrukturen. Der Vorteil: Eines der Fundamente des Datenschutzes, nämlich die Zulässigkeit der Datenverarbeitung gemäß § 11 BDSG, ist grundsätzlich gegeben. Denn innerhalb der EU bzw. des europäischen Wirtschaftsraumes wird ein angemessenes Datenschutzniveau unterstellt, während ein solches bei der Datenverarbeitung über die Grenzen der EU hinaus – oft umständlich – nachgewiesen werden muss.

Microsoft gewährt Einblick in Quellcode

3. Juni 2015

Mit der Eröffnung seines so genannten “Transparency Centers” in Brüssel erlaubt Microsoft nach der Eröffnug einer solchen Einrichtung in Redmond, USA auch in Europa Einblick in sein Allerheiligste, den Quellcode von Windows. Wie heise.de berichtet, sollen -unter strenger Bewachung- Experten der Regierungen mittels “statischer und dynamischer Tools” Analysen durchführen können.
Aus (deutscher) datenschutzrechtlicher Sicht ist dieser Vorgang vor allem deshalb interessant, weil im Rahmen von Auftragsdatenverarbeitungen die ergriffenen technischen und organisatorischen Maßnahmen (Anlage zu § 11 BDSG) vertraglich dokumentiert werden müssen. Da Microsoft-Produkte wohl in so gut wie allen Unternehmen zu finden sein dürften, könnten sich durch die Ergebnisse der Experten insoweit auch Anpassungsbedarf bei diesen Dokumentationen ergeben. Die früher üblichen Zertifizierungen nach Common Criteria EAL4+ sind nach Ansicht des BSI wegen gestiegener Komplexität jedenfalls nicht mehr einsetzbar.
Ob und inwieweit sich der nicht immer für seine Transparenz bekannte Microsoft-Konzern durch das “Transparency Centers” tatsächlich in Karte schauen lässt, bleibt abzuwarten.

Kategorien: Allgemein
Schlagwörter: ,

Das Recht auf Vergessenwerden wird auch von Microsoft umgesetzt

13. Juni 2014

Nach dem kürzlich veröffentlichten Urteil des europäischen Gerichtshofs wird dem Einzelnen das Recht auf Vergessenwerden zugestanden. Die Umsetzung stellt die großen Internet-Unternehmen vor eine große Herausforderung. Microsoft möchte, ebenso wie Google, den Nutzern der eigenen Suchmaschine Bing die Möglichkeit anbieten, eine Löschung der Links aus der Ergebnisleiste zu beantragen. Die Zurverfügungstellung eines entsprechenden Formulars wird jedoch noch etwas Zeit in Anspruch nehmen.

Microsoft teilt hierzu auf einer Bing-Hilfeseite mit, dass derzeit an einem speziellen Verfahren, für Bürger der europäischen Union, zur Löschung bestimmter personenbezogener Ergebnisse gearbeitet werde. Jedoch werde die Umsetzung aufgrund der vielen Fragen noch einige Zeit in Anspruch nehmen.

Im Ergebnis bleibt festzuhalten, dass das Urteil des europäischen Gerichtshofs hohe Wellen geschlagen und den Puls der Zeit, in unser datenhungrigen Gesellschaft, getroffen hat. Das haben anscheinend auch die großen Internet-Unternehmen bemerkt. Die Reaktionen gehen in die richtige Richtung.

 

Skype, Datenschutz und eine Alternative

27. Juni 2013

Seit Skype 2003 den Markt der IP-Telefonie bereicherte, übernahm es ebenso schnell eine führende Marktpräsenz, wie es sich datenschutzrechtlicher Kritik ausgesetzt sah. Laut Angaben von Skype wurde die Software rund 3,3 Milliarden mal heruntergeladen (Stand 1.12.2012). Doch proprietäre Netzwerkprotokolle und eine schon in den geltenden Datenschutzrichtlinien öffentlich gemachte Politik, die eine umfangreiche Sammlung von Nutzerdaten zulässt, lassen erhebliche Nutzereinschränkungen erkennen. Dies führt faktisch etwa zu unkontrollierbaren Lücken in der jeweiligen Firewall oder auch, wie jüngst bekannt wurde, kompletten Protokollierungen (bzw. Mitlesen) durch Microsoft, welche Skype vor zwei Jahren für 8,5 Milliarden Dollar aufkauften, von Nutzerkommunikation.  Jedoch, längst nicht alle Nutzer sind sich dessen gewahr. Das mag nicht verwundern, zieht man in Betracht, dass Skype seit Jahren stets die vordersten Ränge der Download-Statistiken von chip.de und Co. anführt.

Doch sind Alternativen vorhanden, wenn auch nicht so weit verbreitet und insofern bis dato weniger praktisch nutzbar, zieht man die Verbreitung und den Marktanteil von Skype im Bereich der IP-Telefonie in Betracht. So existieren etwa auf dem Extensible Messaging and Presence Protocol (XMPP) basierende Kommunikationssysteme wie Jitsi, die einen offenen Standard nutzen und jedenfalls hinsichtlich des Datenschutzes als verbraucherschutzfreundlicher einzustufen sind als etwa Skype.

Kategorien: Online-Datenschutz
Schlagwörter: , , ,

Microsoft: Report zu Behördenanfragen veröffentlicht

26. März 2013

Das Unternehmen Microsoft wurde nach seinem nun veröffentlichten 2012 Law Enforcement Request Report  im Jahr 2012 weltweit mit 75.378 Anfragen von Polizei und Behörden nach Daten von Nutzern der Microsoft Online-Dienste (z.B. Hotmail, Outlook, SkyDrive, Skype) konfrontiert. Daten, wie etwa die IP-Adresse oder der Nutzername, sind danach in 82 Prozent der Fälle an Anfragende übermittelt worden. Jedoch seien nur in 2,2 Prozent der Fälle Nutzerinhalte (z.B. Betreff oder Text einer E-Mail oder ein auf SkyDrive abgelegtes Bild) herausgegeben worden. In nahezu allen dieser Fälle (insgesamt 1558 Fälle) habe eine gerichtliche Anordnung die Übermittlung von Nutzerdaten und -inhalten gerechtfertigt. Bei Anfragen zu Skype gehört Deutschland nach dem Report gemeinsam mit Frankreich, Großbritannien, Taiwan und USA, zu den fünf führenden Nationen. In 18 Prozent aller Fälle habe Microsoft die Anfragen nicht beantwortet – sie seien entweder abgewiesen worden oder die begehrten Daten seien nicht mehr vorgehalten gewesen.

Der Report soll nach Angaben des Unternehmens künftig alle sechs Monate aktualisiert und veröffentlicht werden.

Datenschützer fordern Transparenz von Skype und Microsoft

4. Februar 2013

Für viele Internetnutzer bedeutete die Einführung der kostenlosen und flächendeckend verfügbaren Voice-Over-IP-Videotelefonie einen spürbaren Fortschritt in der technischen Entwicklung. Als Vorreiter und Marktführer des Metiers positionierte sich von Anfang an der Anbieter Skype, der erstmals im Jahr 2003 (damals noch als Skyper 1.0) auf dem Markt erschien und mittlerweile über 650 Millionen Nutzer zählt. 2011 übernahm der Software-Gigant Microsoft das Unternehmen. Mittlerweile lassen sich nahezu alle internetfähigen Endgeräte mit Skype ausstatten.

Mit der immensen Nutzerzahl geht auch ein enormer Datentransfer einher. Auch hoch sensible Daten sind dabei betroffen. Doch Skype lässt sich beim Thema Datenschutz scheinbar nur ungern in die Karten gucken. Wie das Online-Portal der Zeit berichtet, haben sich nun Aktivisten zusammen getan, um von dem Unternehmen klare Aussagen bezüglich der Weitergabe von Daten zu erhalten. Bislang seien entsprechende Anfragen immer mit der Antwort quittiert worden, eine Verschlüsselung der Daten werde gewährleistet, man halte sich an die öffentlich einsehbaren Datenschutzrichtlinien. Unter der Führung des Kanadiers Nadim Kobeissi, Gründer des Chat-Programms Cryptocat, formulierten nun Aktivisten und Datenschützer einen offenen Brief an Skype, in dem Klarheit bezüglich der aufgetretenen Ungereimtheiten gefordert wird. Es wird eine differenzierte Erklärung dazu gefordert, welche Daten Skype genau und wie speichert, und ob, beziehungsweise inwieweit, diese staatlichen Einrichtungen zur Verfügung gestellt werden. Der Brief findet dabei Unterstützung durch eine breite und teilweise prominente Masse. So beteiligen sich etwa die sich für digitale Bürgerrechte einsetzenden Organisationen Electronic Frontier Foundation und Reporter ohne Grenzen an der Aktion.

 

Artikel-29-Datenschutzgruppe: Überprüfung der überarbeiteten Nutzungsbedingungen von Microsoft

3. Januar 2013

Medienberichten zufolge würden Microsofts kürzlich geänderte Nutzungsbedingungen von der Artikel-29-Datenschutzgruppe auf mögliche Verstöße gegen europäische Datenschutzgesetze geprüft.
Die geänderte Nutzungsbedingungen, die für mehrere von Microsofts Produkten gültig sind, sind seit zwei Monaten  in Kraft.

Die Artikel-29-Datenschutzgruppe habe Microsoft-Boss Steve Ballmer in einem Brief (der Bloomberg vorliegt) über die große Reichweite der Änderungen, die es notwendig machten, die Auswirkungen der neuen Bedingungen auf die Endverbraucher zu beurteilen, informiert.

Vor allem sei zu prüfen, ob Microsoft seine Nutzer entsprechend der europäischen Vorschriften über die anstehenden Änderungen informiert habe, indem die Verbraucher  einen Monat vor Inkrafttreten über die Änderungen informiert worden waren. Ein Teil der geänderten Nutzungsbedingungen betreffe nämlich die Möglichkeit, Daten zwischen Desktop- und Cloud-Diensten zu teilen.

Laut anderer Quelle argumentiere Microsoft, dass nur die Nutzungsbedingungen, nicht aber die Datenschutzrichtlinie verändert worden seien.

Sony/Microsoft: Planung von Identifikationstechnologie in Konsolen

29. November 2012

Die Spielkonsolenhersteller Sony (Playstation 3) und Microsoft (XBox 360) beabsichtigen Medienberichten zufolge, sich Technologien patentieren zu lassen, die eine eindeutige Identifikation des tatsächlichen Nutzers zulässt. Microsoft sieht danach vor, über die Bewegungssteuerung Kinect weitere Gebiete zu erschließen. So sollen laut dem Patentantrag über die Kamera nicht nur Bewegungen der Spieler als Steuerungssignal aufgenommen, sondern zudem auch festgestellt werden, wie viele Personen sich noch in dem Raum aufhalten. Damit könne Microsoft überprüfen, ob die Zahl der gekauften Lizenzen auch der Personenanzahl entspricht. Sony gehe noch einen Schritt weiter und plane eine biometrische Erfassung seiner Nutzer. In dem entsprechenden Patentantrag sollen Identifizierungsmethoden – z.B. Fingerabdruckscanner, Handsensoren, Gesichtserkennungssysteme, Augenscanner, Stimmerkennungsanalysen oder DNS-Erkennungsverfahren – aufgenommen sein. Dies soll nach Auskunft von Sony dem Hacken, Kopieren und Stehlen von Musik, Software, Videospielen oder anderen geschützten Inhalten Einhalt gebieten und individualisierte Werbung ermöglichen. Ob und wie weit die Patente tatsächlich umgesetzt werden steht offen. Angesichts der bestehenden rechtlichen Hürden erscheint dies jedenfalls vorläufig unwahrscheinlich.

Kategorien: Online-Datenschutz
Schlagwörter: , ,

Auch Microsoft wertet Nutzerinhalte aus

22. Oktober 2012

Nachdem Google zu Beginn des Jahres seine neue Datenschutzerklärung umsetzte und dafür viel Kritik erntete, hat auch Microsoft seine Nutzungsbedingungen jüngst geändert. Aus Datenschutzsicht beachtenswert ist dabei, was sich Microsoft unter Punkt 3.3. “Wie werden meine Inhalte von Microsoft verwendet?” vorbehält:

Wenn Sie Ihre Inhalte in die Dienste hochladen, geben Sie damit Ihre Zustimmung, dass die Inhalte in dem Umfang, in dem dies zu Ihrem Schutz sowie zur Bereitstellung, zum Schutz und zur Verbesserung von Microsoft-Produkten und -Diensten erforderlich ist, genutzt, geändert, angepasst, gespeichert, vervielfältigt, verteilt und angezeigt werden dürfen. So können wir beispielsweise gelegentlich mithilfe von automatisierten Verfahren Informationen aus E-Mail-Nachrichten, Chats oder Fotos filtern, um Spam und Malware zu erkennen und Schutzmaßnahmen gegen diese zu entwickeln sowie um die Dienste mit neuen Features auszustatten, die ihre Benutzerfreundlichkeit steigern. Beim Verarbeiten Ihrer Inhalte ergreift Microsoft Maßnahmen zum Schutz Ihrer Privatsphäre.

Im Gegensatz zu Google blendet Microsoft bisher keine personalisierte Werbung auf Grundlage der ausgewerteten Inhalte ein; nichtsdestotrotz bleibt der fade Beigeschmack, dass der Nutzer nicht erkennen kann, für welche “Verbesserung von Microsoft-Produkten” seine Daten verwendet werden. An dieser Stelle bleibt also fraglich, zu welchem konkreten Zweck Microsoft die Nutzerdaten heranzieht.

Regelrecht peinlich muten die neuen Bestimmungen an, wenn man bedenkt, dass Microsoft noch zu Beginn des Jahres Google für ähnliche Verhaltensweisen durch das viral verbreitete Gmail Man Video und große Anzeigen an den Pranger gestellt hat.

Ohne Microsofts oder Googles Nutzungsbedingungen in Schutz nehmen zu wollen, sei an dieser Stelle erwähnt, dass in der Regel alle E-Mails, die einem Webmailer anvertraut werden, zumindest vom Spamfilter maschinell “gelesen” werden. Zu welchen darüber hinausgehenden Zwecken die extrahierten Inhalte (tatsächlich) verwendet werden, weiß ausschließlich der E-Mail Provider. Die Wahl des E-Mail Providers ist also Vertrauenssache.