Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Cloud Anbieter in den USA rechtswidrig: Zum Beschluss der Vergabekammer Baden-Württemberg

9

Ein deutsches Gericht stellte fest, was sich aus dem EuGH-Urteil Schrems II und der Logik bereits erschlossen hatte. Dennoch ist die Empörung groß, sogar bei der Datenschutzbehörde aus BaWü und bei Stefan Brink. Sie wollen nicht wahrhaben, dass Geheimdienste die DSGVO nicht einhalten und dann Verschlüsselung keine weithin verfügbare Lösung ist.

Update: Mittlerweile habe ich einen Praxistest eines deutschen Cloud Anbieters durchgeführt. Darin zeige ich, wie Cloud Computing aus Deutschland funktioniert. Wer reine Cloud Speicher sucht, findet sowieso schon seit längerem welche von rein deutschen Anbietern.

Einleitung

Die Vergabekammer Baden-Württemberg beschloss am 13.07.2022 (Az.: 1 VK 23/22), dass die Nutzung amerikanischer Cloud Anbieter wegen Art. 44 ff DSGVO rechtswidrig sei. Der EuGH hatte ja bereits in der viel beachteten Schrems II-Entscheidung festgestellt, dass die USA ein Entwicklungsland sind, was den Datenschutz angeht.

Manche kritisieren nach Veröffentlichung dieses Beitrags meine Meinung bzgl. der Thematik der Verschlüsselung, die ich unten erwähne. Bisher erreichte mich aber neben einer konstruktiven Rückmeldung keine weitere Rückmeldung oder Begründung, warum eine Verschlüsselung das Problem mit Schrems II in der Cloud in der Praxis lösen soll. Für die wenigen Fälle, für die eine Verschlüsselung wirksam alle personenbeziehbaren Daten verschlüsselt, gibt es meist (immer?) gute rein europäische Alternativen (Beispiel: Cloud Speicher). Mittlerweile gibt es sogar ein Pendant zu AWS S3 aus Deutschland (technisch offiziell die gleiche Schnittstelle, Preise quasi gleich). Weiterhin gibt es eine komfortable und auf Kubernetes basierende Serverless-Architektur eines deutschen Anbieters, die Module wie AWS Lambda oder EC2 ablösen kann.

Schrems II

Datentransfers in die USA sind nicht mit der DSGVO vereinbar, weil die DSGVO betroffenen Personen wie Ihnen und mir gewisse Rechte einräumt. Diese Rechte werden aber durch amerikanische Geheimdienstvorschriften wie EO 12333 (präsidialer Erlass, etwa durch Donald Trump), Cloud Act (Datenüberwachung im Ausland) oder FISA 702 (Überwachung von elektronischem Datenverkehr im Ausland). Egal, welche Gespräche die Europäische Kommission auch mit den USA führen möchten: Solange es diese Gesetze und Vorschriften in den USA gibt, kann es keine datenschutzkonforme Lösung geben.

Serverstandort egal

Nur, weil es viele anscheinend immer noch nicht verstehen wollen, erwähne ich es hier noch einmal: Aufgrund der eben genannten amerikanischen Überwachungsgesetze ist es egal, wo ein Server steht, wenn der Server im Zugriff einer amerikanischen Firma steht. Nehmen wir Google als Beispiel:

  1. Die NSA bittet Google ganz, ganz höflich, einen Server in Europa so zu manipulieren, dass alle Daten des Kunden X (X sind Sie) für die nächsten 4 Wochen unverschlüsselt an die NSA geschickt werden.
  2. Google sagt: Bitte bitte, liebe NSA, wir dürfen das doch wegen der blöden DSGVO nicht machen.
  3. Die NSA sagt: Liebes Google, wir wissen das, aber wir sind die NSA. Also tut gefälligst, was wir Euch sagen, oder sucht Euch eine andere Heimat als die USA
  4. Nun sagt Google USA an Google Irland: Jungs und Mädels, ihr habt es gehört: Die NSA möchte leider Zugang zu unserem Server. Wir müssen das leider tun. Ist aber nicht so schlimm, weil, die amerikanischen Vorschriften verbieten es uns, irgend jemandem davon zu erzählen. Unser Kunde X (das sind Sie, ja Sie) wird also gar nix davon mitbekommen. Was ich nicht weiß, macht mich nicht heiß.
  5. Dann sagt Google Irland: Hmm, wir haben doch Standardvertragsklauseln. Was ist mit denen? Google USA und die NSA schütteln nur den Kopf und fragen sich, wer der Idiot in Irland ist, der immer noch an die heile Welt glaubt. Die irische Filiale von Google erhält ein Feuerzeug oder einen Papierkorb (ist CO2-neutraler) zugeschickt. Eines dieser beiden Werkzeuge darf verwendet werden, um diesen Haufen Papiermüll zu entsorgen.

Datenverarbeitung

Eine Datenverarbeitung beginnt mit der Datenerhebung. Das Erheben von Daten ist die frühestmögliche Datenverarbeitung. Sie beginnt bereits mit dem objektiv möglichen Empfang von Daten aufgrund eines Angebots. Angebot ist hier im weitesten Sinn des Begriffs gemeint.

In einem eigenen Beitrag hatte ich bereits vor längerem die Bedeutung der Datenerhebung als Begriff herausgearbeitet. Als Analogie sei der Briefkasten eines Arztes genannt, der es Patienten erlaubt, dass Patienten ihre Akten oder persönliche Informationen in den Arztbriefkasten werfen. Wenn der Arzt seinen Briefkasten zehn Tage lang nicht leert und der Briefkasten danach abbrennt, hat er die Daten aus dem Briefkasten dennoch verarbeitet. Der Hintergrund ist, dass er sie hätte verarbeiten können. Niemand kann nach dem Briefkastenbrand nachweisen, dass er die Daten nicht verarbeitet hat. Darauf kommt es aber wahrscheinlich auch nicht an. Siehe verlinkten Beitrag. Übrigens kommt es auch für die Zustellung eines Einschreibens nicht darauf an, ob Sie es lesen oder nicht (die Beweisführung im Gerichtsverfahren ist eine andere Sache).

Rechtswidrige Lösungen

Auch wenn manche es nicht wahrhaben wollen: Eine Lösung, die nicht rechtskonform ist, ist keine Lösung. Wenn ein Drogenbaron wie Pablo Escobar sein Drogengeld, welches er unter anderem auch durch Terror und Mord, einnahm, dazu verwendet, um Schulen in Armenvierteln zu finanzieren, dann ist dieses Geld als nicht zulässig anzusehen. Gerne kann der Staat das Geld, nachdem er es dem Kriminellen weggenommen hat, zum Aufbau von Schulen verwenden, aber nicht anders. Auch, wenn es weh tut. Juristen, die sich als Datenschützer ausgeben, werden in der FAZ so zitiert, dass sie dieses Verbot des US-Datentransfers für überzogen halten. Diese Juristen sollten sich mal mit dem Rechtssystem auseinandersetzen, welches sie selber tagtäglich für ihre Zwecke und die ihrer Mandanten nutzen.

Berichterstattung in Kürze

Aufgrund einer Berichterstattung bei Heise kamen unter anderem folgende Kommentare von Lesern zustande:

Kommentare auf einen Heise-Artikel. Quelle: Heise-Artikel-Kommentare.

Die Überschrift des sechsten Kommentars halte ich für besonders konstruktiv, wobei eine Beurlaubung ja wieder Steuergeld kostet. Wenn sich die Behörde aus Baden-Württemberg doch nur mal dazu entschließen könnte, Datenschutzverstöße im Internet, die auch in BW zigtausendfach vorhanden sind, mal ordentlich zu sanktionieren. Den Kommentar „Der Cloud-Act ist eindeutig“ finde ich zutreffend. Zu „Zwei Juristen“ folgt vom Kommentargeber „drei Meinungen“, womit er nicht Unrecht hat, wie ich erst kürzlich beschrieben habe.

Was ist Cloud Computing?

Der Begriff ist aus meiner Sicht unscharf. Cloud Computing bezeichnet im Kern verteiltes Rechnen. Ein mathematisches Problem wird also mit Hilfe von mehreren Computern gleichzeitig gelöst. Allgemein scheint Cloud Computing aber für folgende Anwendungen zu stehen:

  • Dokumentenablage (etwa Dropbox oder OneDrive)
  • Schneller online Speicher (etwa Content Delivery Networks, kurz: CDN)
  • Hochverfügbare online Anwendungen (hierzu gehören auch Webseiten)
  • Über das Internet erreichbare dedizierte Server oder virtuelle Maschinen. Mittlerweile gehören hierzu auch Container-Anwendungen (Docker, Kubernetes…)
  • Verteiltes Rechnen

Anbieter von Cloud Computing sind insbesondere Google, Amazon, IBM, Microsoft und mittlerweile auch die Telekom. Was CDNs, dedizierte Server und die Ablage von (statischen) Dokumenten angeht, findet man weitere Anbieter in Europa.

Kritik am Beschluss der Vergabekammer

Der LfDI Baden-Württemberg hat den Beschluss der Vergabekammer aus seinem Bundesland kritisiert.

Die Kritik zielt im Wesentlichen auf zwei Punkte ab:

  1. Die Vergabekammer habe nicht die neuesten, und somit nicht die wirkungsvollsten Standarddatenschutzklauseln (SCC) geprüft, sondern ältere.
  2. Die Vergabekammer habe die Verschlüsselungstechnik hin zu einem angedachten Cloud Anbieter nicht ausreichend geprüft.

Was mich übrigens wundert, ist das neue Hobby von Stefan Brink. Er wird ab Ende 2022 nicht mehr bei der Datenschutzbehörde tätig sein und scheint zum Gehilfen von Unternehmen zu werden, die Datenschutzregeln zu streng finden. Jedenfalls gab es mal einen Artikel von ihm und anderen mit dem Titel „So war die DSGVO nicht gemeint“. Teil der anderen war auch ein Interessensvertreter der United Internet AG, die schon zur zentralen Einwilligungsverwaltung lobbyiert hat (PIMS, § 26 TTDSG).

Als Gegenmeinung veröffentliche ich hier die Rückmeldung eines Lesers. Er schreibt, dass sich das LfDI BW „mit viel Nachdruck“ „klar gegen den Einsatz von MS365 an Schulen eingesetzt hat“. Die Stellungnahme des LfDI BW zum Beschluss der Vergabekammer BW erscheine aus rechtlicher Sicht richtig, weil jeder Einzelfall zu prüfen sei. Ich sage allerdings, dass man schon darauf hätte hinweisen können, dass in m. E. nahezu 100 % der Fälle eine rechtskonforme Nutzung amerikanischer Clouds nicht möglich ist (jedenfalls nicht ohne Einwilligung, die ebenfalls fraglich erscheint, oder ohne Vertragsgrundlage, die ebenfalls fragwürdig erscheint).

DSGVO gilt für amerikanische Geheimdienste nicht

Zum ersten Punkt, den SCCs, gehe ich hier nur kurz ein: Geheimdienste lassen sich nicht durch ausländische Vorschriften von ihrer Arbeit abhalten. Wenn die NSA einem amerikanischen Unternehmen auferlegt, bestimmte Daten von einem Server, der in Europa steht, herauszurücken, dann hat das amerikanische Unternehmen, nennen wir es mal Amazon, genau zwei Möglichkeiten:

  1. Amerikanische rechtliche Vorgaben einhalten, weiter in Amerika bestehen bleiben und die DSGVO missachten, oder
  2. die DSGVO einhalten und sich eine neue Heimat suchen, nachdem sich die Geschäftsführer der Firma am besten unauffällig ins Ausland abgesetzt haben, um nicht den Rest ihres Lebens in einem amerikanischen Gefängnis verbringen zu müssen.

Zum zweiten von der Landesdatenschutzbehörde kritisierten Urteilspunkt, der Verschlüsselung von Daten, gehe ich etwas näher ein.

Verschlüsselung von Daten

Eine Verschlüsselung sämtlicher Daten, die zur Identifikation einzelner Personen dienen könnten, ist eine wirksame Maßnahme, um Datenschutzprobleme zu vermeiden. Dazu muss der Datenexporteur (beispielsweise eine Behörde aus Deutschland) die Daten in voll verschlüsselter und somit anonymisierter Form an den Datenimporteur (Cloud Anbieter aus den USA) übertragen.

Die Vollverschlüsselung muss sich dabei sowohl auf Inhaltsdaten als auch auf Übermittlungsdaten beziehen. Inhaltsdaten sind beispielsweise Dokumente oder Daten, die in der Cloud abgelegt werden sollen. Übermittlungsdaten nenne ich hier die Metadaten, die zur Übertragung der Inhaltsdaten anfallen. Zu diesen Metadaten gehören insbesondere die Netzwerkadresse und der Device-Fingerprint. Die Netzwerkadresse ist lau EuGH- und BGH-Urteilen „Breyer“ personenbezogen. Der Device-Fingerprint, oft in Form des Browser-Fingerprint gegeben, ist als personenbeziehbar anzusehen.

Mir ist nicht bekannt, inwieweit die Vergabekammer in ihrem Urteil zu prüfen hatte, ob eine Vollverschlüsselung vorlag. Im Urteilstext jedenfalls konnte ich dazu keine Anhaltspunkte finden. Diese Prüfung hätte von einer der Verfahrensparteien vor Gericht angestoßen werden müssen.

Wie sieht es in der Praxis mit Datenverschlüsselung aus, die anonymisierte Daten erzeugt? Schauen wir uns ein paar Fälle aus der Praxis an.

Ein Dokumentenspeicher wie OneDrive kann kaum DSGVO-konform betrieben werden. Selbst, wenn Microsoft die abgelegten Daten verschlüsselt, ist Microsoft selbst doch in der Lage, diese Daten auch zu entschlüsseln. Der Grund ist, dass Microsoft den Schlüssel kennt. Ein Dienstprogramm, das Daten selbst und verschlüsselt auf OneDrive hochlädt, ohne dass Microsoft das Dienstprogramm bereitstellt oder Zugriff auf den Schlüssel hat, oder dass Microsoft Netzwerkdaten des Nutzers erhält, würde das Problem lösen. Mir ist nicht bekannt, dass es ein solches Dienstprogramm existiert. Bitte informieren Sie mich, wenn Sie mehr wissen. Über Kommentare zu diesem Beitrag wurden mir mittlerweile Möglichkeiten genannt. Allerdings gehe ich davon aus, dass auch hier die Netzwerkdaten des Nutzers zum Cloud-Anbieter übermittelt werden.

Microsoft, Google, Amazon und IBM erlauben es ihren Kunden, eigene Schlüssel für die Verschlüsselung zu nutzen. Diese Konzepte heißen Bring Your Own Key, Customer Managed Encryption Key, Client-side Encryption oder Keep Your Own Key. Allen Konzepten ist gemein, dass der Cloud Anbieter letztendlich den Schlüssel erhält. Angeblich wird dieser Kundenschlüssel dann nur für die absolut notwendige Zeit im Hauptspeicher gehalten, um Daten zu verschlüsseln oder auch um zu entschlüsseln. Somit haben auch Geheimdienste bei Bedarf Zugriff. Siehe die amerikanischen Rechtsvorschriften für Geheimdienste.

Auf verschlüsselten Daten lässt sich so schwer arbeiten. Vereinfacht gesagt, kann man auf verschlüsselten Daten keine Berechnungen durchführen. Das ginge nur, wenn eine homomorphe Verschlüsselung vorläge. Diese Verschlüsselung sorgt dafür, dass das Wesen der Daten hinsichtlich einer bestimmten Berechnung unverändert bleibt. Dafür brauchen Sie wahrscheinlich einen Mathematiker, der Ihnen möglicherweise in vielen Fällen sagen wird, dass dies entweder nicht machbar oder sehr teuer sein wird.

Bei rein statischen Dokumenten, wie etwa Word-Dateien oder PDFs, wäre eine verschlüsselte Speicherung recht problemlos möglich, ohne dass Microsoft und & Co. die Inhalte entschlüsseln könnten. Dafür allerdings braucht man keinen amerikanischen Cloud Anbieter, wie die Realität und Praxiserfahrung zeigt. Es gibt andere Anbieter für Dokumentenablageserver, die rein europäisch sind.

Neben den Inhalten müssen aber auch die Metadaten, also die Netzwerkadresse und anderes, verschlüsselt werden. Technisch ist dies über ein virtuelles privates Netzwerk (VPN) möglich. DSGVO-konform wäre es, wenn der VPN-Anbieter nicht aus den USA stammt und keine Daten in den USA oder auf Servern von US-Anbietern speichert. NordVPN etwa ist ein Anbieter mit Sitz in Panama. Klingt für mich nicht sehr vertrauenswürdig.

Statt eines VPN könnte ein Proxy verwendet werden. Bei einem Proxy ist der Anbieter ebenfalls kritisch zu prüfen. Ein Proxy ist unsicherer als ein VPN-Zugang und wird nicht von jeder Anwendung unterstützt. Wenn die Anwendung für den Zugriff auf den Cloud Anbieter wiederum vom Cloud Anbieter selbst stammt, müsste man prüfen, ob die Anwendung nicht heimlich Daten sammelt und somit das VPN aushebelt.

Eine Verschleierung von Metadaten durch ein VPN oder einen Proxy setzt voraus, dass es keine Seitenkanäle gibt. Ein VPN, welches auf einer höheren Systemebene arbeitet (vgl. OSI-Modell), kann immer Opfer von Seitenkanalangriffen sein. Ein solches VPN ist eines, welches Sie beispielsweise unter Windows starten und zum einen über das VPN arbeiten können sowie parallel in Ihrem Browser weiterhin über Ihre normale Internetverbindung surfen.

Fazit

Beim Rechnen auf Daten ist eine DSGVO-konforme Verschlüsselung gegenüber dem amerikanischen Cloud Anbieter in der Praxis quasi nicht möglich.

Für die reine Dokumentenablage gibt es bereits Lösungen aus Europa. Amerikanische Anbieter werden hierfür nicht benötigt. Es geht hier „nur“ um die Frage des Komforts, die allerdings aus rechtlicher Sicht keine Rolle spielt.

Viele amerikanische Cloud Anbieter öffnen ihre Schnittstellen nur ungern. Das bedeutet, es gibt überwiegend eigene Dienstprogramme, mit denen auf Cloud Dienste zugegriffen werden kann. Somit ist eine wirksame Verschlüsselung nicht möglich. Anders ist es nur, wenn unabhängige Dienstprogramme genutzt werden können, sodass Verschlüsselungsschlüssel nur dem Kunden bekannt sind, aber nicht dem Cloud-Anbieter. Wenn dann noch ein sicheres (kostenpflichtiges) VPN genutzt wird, kann eine DSGVO-Konformität entstehen.

In der Praxis sehe ich kaum Fälle, in denen amerikanische Anbieter DSGVO-konform verwendet werden können, sobald über diese Anbieter personenbezogene Daten verarbeitet werden sollen. Wer eine europäische Lösung für verteiltes Rechnen sucht, dem sei als Stichwort die Open Telekom Cloud genannt. Ich will hier nicht übermäßig Werbung machen und weiterhin mitteilen, dass diese Cloud ein gewisses technisches Verständnis erfordert. Mir allerdings gelang es, einen Kubernetes-Cluster mit einer Workload und Node.js Containern aufzusetzen, obwohl ich von Kubernetes keine Ahnung habe und Docker auch nur etwas kenne. Meine alten Linux-Kenntnisse halfen mir ebenfalls. Das grundlegende Setup der Systemarchitektur funktioniert über eine grafische Benutzeroberfläche. Lediglich das Bereitstellen der Entwicklungsobjekte als Workload bedarf tiefer gehender Arbeiten, wie etwa unter Linux. Zusätzlich habe ich das Angebot eines anderen deutschen Anbieters gesehen, der einen Klon von Amazon AWS S3, einer Key-Value-Datenbank für die Massendatenverarbeitung, bereitstellt. Nach Vergleich der Preistabellen sah ich, dass beide Preismodelle nahezu gleich hohe Kosten erzeugen (abhängig von Speicherbedarf ist der ein oder andere Anbieter jeweils minimal günstiger).

Für Videokonferenzen, die man im weitesten Sinn den Cloud Diensten zuordnen kann, empfehle ich den Blick auf deutsche Anbieter wie ecosero. Microsoft Teams überzeugt mich jedenfalls nicht nur bezüglich des Datenschutzes nicht, sondern auch nicht bezüglich des Komforts und der Handhabbarkeit. Kaum jemand möchte wissen, was ein Tenant ist, und schon gar keine Probleme mit diesem Tenant-Dings bekommen.

Amerikanische Cloud Anbieter: Komfort nicht maximal

Allerdings muss das auch über AWS gesagt werden. Zwar fällt bei AWS die Installation von beispielsweise Node.js weg. Dafür macht es aber überhaupt keinen Spaß, einen Entwickler-Arbeitsplatz einzurichten, der über eine Serverless-Infrastruktur mit AWS kommuniziert. Serverless bedeutet, dass die Hardware komplett weg abstrahiert ist. Man muss also nicht wissen, welche und wie viele Server für einen arbeiten. Vielmehr sichert der Cloud Anbieter zu, dass beispielsweise bis zu 1000 Worker gleichzeitig arbeiten. Um die Leistung abschätzen zu können, und überwiegend nur deswegen, macht der Cloud Anbieter Angaben zur Rechenleistung und zum Hauptspeicher. Diese Konfiguration kann, oft gegen höhere Kosten, nach oben angepasst werden.

Mich hat es wirklich einige Wochen gekostet, eine anspruchsvolle Anwendung mit Node.js, die hardwarenahe Drittkomponenten verwendet, zum Laufen zu bringen und sowohl eine Entwicklerumgebung als auch die Cloud-Umgebung aufzusetzen. Danke an Tobias Schümann, der wohl der erste in Deutschland war (ist?), der sämtliche AWS Zertifikate erworben hatte und der mir sehr half, AWS besser zu verstehen. Nur zur Info: Ich nutze keinen amerikanisch geführten Cloud Dienst mit personenbezogenen Daten.

Demnächst halte ich einen Vortrag auf der IDACON 2022 in München (Hybridveranstaltung mit online Teilnahmemöglichkeit) zum Thema Cloud Computing.

Microsofts Stellungnahme zur Datenschutzkonformität von Microsoft 365 und Microsoft Teams

In einem dreiseitigen Papier vom 11.08.2022 veröffentlichte Microsoft seine Meinung zu den Vorwürfen und Bedenken, die aufgrund der Schrems II-Thematik vorliegen. Das Papier hat vermutlich ein Anwalt geschrieben, denn die Formulierungen sind geeignet, die Wahrheit zu verschleiern.

Beispielsweise schreibt Microsoft (Quelle: das eben verlinkte Papier, Fettdruck von mir):

„Ein Interesse von US-Behörden z.B. an Daten aus einem Schulunterricht in
Deutschland kann nicht ernsthaft behauptet werden.
…
Es gibt keinen Anhaltspunkt dafür, dass die US-Regierung §702 FISA nutzt, um
(i) Industriespionage zu betreiben oder US-amerikanische wirtschaftliche
Interessen zu verfolgen oder (ii) Regierungen im Europäischen Wirtschaftsraum
ins Visier zu nehmen; ...“

Dass es keine Anhaltspunkte gibt, ist so zu erklären: Geheimdienste sprechen nicht nur selber ungern über ihre Arbeit. Soweit ich weiß, verbieten es amerikanische Rechtsvorschriften sogar, dass ein US-Unternehmen, welches zur Datenherausgabe gemäß einiger Überwachungsgesetze „gebeten“ wurde, darüber zu sprechen. Wie soll es dann Anhaltspunkte für ein Verhalten geben, über das nicht gesprochen werden darf?

Eine weitere Aussage von Microsoft verdeutlicht die Verschleierungsversuche der Wahrheit (Fettdruck hinzugefügt):

„Die technische Verbindung zwischen Nutzer und Microsoft (z.B. über Server und
Rechenzentren) ist in vielen Fällen zwingende Voraussetzung für die vertraglich
geschuldete Diensterbringung. Nichts davon kann als ein Ausspähen von Kunden
angesehen werden.“

Eine Analogie: Meistens hat sich der Mörder richtig verhalten und alle Gesetze eingehalten. Über die Fälle, in denen es nicht so war, wollen wir nicht sprechen.

Übrigens zitiert Microsoft im genannten Papier auf der letzten Seite ganz unten Stefan Brink und verlinkt auf den von mir oben schon genannten FAZ-Artikel: »Vgl. Stefan Brink et al.: “Auf der anderen Seite geht der EuGH zu weit, wenn er etwa die nur abstrakte und hypothetische Möglichkeit des Zugriffs nicht-europäischer Sicherheitsbehörden ohne konkretes und reales Risiko für persönliche Daten von Europäern als Killerkriterium für globalen Datenaustausch begreift.«

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT und Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über neue Beiträge werden Sie informiert, wenn Sie meinen Newsletter abonnieren. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Kommentare von Lesern

Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus
  1. Jens-Uwe Viehrig | IfDDS GmbH

    Hallo Herr Meffert,
    vielen Dank für Ihre Unterstützung so zahlreicher Datenschutzbeauftragter beim Kampf gegen die Windmühlenlobby.
    Wie Sie selbst schreiben ist eine Speicherung von vollverschlüsselten Daten auf US-Cloudspeicher-Diensten datenschutzrechtlich okay, vorausgesetzt der Schlüssel ist sicher genug.
    M.E. würden BOXCRYPTOR oder alternativ dazu CRYPTOMATOR eine derartige Verschlüsselung anbieten, oder?
    Das Problem ist natürlich die Faulheit und die aktuelle Wohlfühlposition des Verantwortlichen, der dann erst Daten herunterladen, bearbeiten und anschließend wieder hochladen muss. Eine Bearbeitung in der Cloud ist auf diese Weise vermutlich nicht möglich.

  2. Dr. DSGVO

    Wenn der US-Cloudspeicher nur verschlüsselte Daten erhält, den Schlüssel nicht kennt, und beim Übertragen der verschlüsselten Daten an den US-Cloudspeicher keine personenbeziehbaren Daten übertragen werden (wie etwa die IP-Adresse), dann wäre das Problem gelöst.

    Wenn es aber „nur“ um Cloudspeicher geht, dann gibt es doch genügend europäische Alternativen, die genutzt werden könnten.

    Boxcryptor etwa schreibt selbst auf seiner Webseite: “Boxcryptor ist keine VPN-Lösung. Obwohl wir Partnerschaften mit verschiedenen VPN-Anbietern haben, sind wir technisch in keiner Weise mit deren Produkten verbunden.”.

  3. RA Michael Seidlitz

    > Ein Dienstprogramm, das Daten selbst und verschlüsselt auf OneDrive hochlädt, ohne dass Microsoft das
    > Dienstprogramm bereitstellt oder Zugriff auf den Schlüssel hat, würde das Problem lösen.
    > Mir ist nicht bekannt, dass es ein solches Dienstprogramm existiert.
    > Bitte informieren Sie mich, wenn Sie mehr wissen.

    Beispielsweise:

    Cryptomator (Open-Source)

    https://cryptomator.org/de/

    Boxcryptor (propietär)

    https://www.boxcryptor.com/de/

    R&S®Trusted Gate – Solution for Microsoft® 365 (proprietär)

    https://www.rohde-schwarz.com/de/produkte/cybersicherheit/sichere-zusammenarbeit/rs-trusted-gate-solution-for-microsoft-365_63493-543722.html

    • Dr. DSGVO

      Vielen Dank für Ihre Rückmeldung. Ich schaue mir diese Dienste näher an.
      Zu den ersten beiden hatte ich schon dem vorigen Kommentargeber geantwortet, der diese auch nannte.

      Wissen Sie, ob die Netzwerkdaten des Nutzers bei den von Ihnen genannten Produkten zu den Cloud Anbietern übertragen werden? Das sollte ja eben nicht der Fall sein. Ich kenne nur wenige, die sich ein stabiles VPN leisten wollen oder ein VPN in Kauf nehmen können (weniger Komfort, möglicherweise eingeschränkte Funktion der Netzwerkverbindung an sich etc.).

      Bei Boxcryptor für MS Teams stelle ich mir die Frage, ob das Videobild auch verschlüsselt übertragen wird, und nicht nur Textnachrichten und Anhänge.

      Mittlerweile hat mir Boxcryptor freundlicherweise auf meine Fragen zur o.g. Thematik geantwortet und meine Annahmen bestätigt:
      “Boxcryptor hat keinen Einfluss auf die Kommunikation mit ihrem Cloud-Provider. Boxcryptor verschlüsselt lediglich ihre Dateien auf lokaler Ebene, nicht jedoch den Datenverkehr als solchen. Der Upload der (verschlüsselten) Datei zu OneDrive gleicht von außen einem normalen Dateiupload.”
      sowie
      “Boxcryptor hat keinen Einfluss auf Live-Datenübertragung wie Telefonie und Videotelefonie über Teams. Die Verschlüsselung ist beschränkt auf in Teams geteilte Dateien und Chatnachrichten.”

      Ich denke, anders geht es technisch auch gar nicht. Anders könnte/kann es nur sein, wenn der Cloud-Anbieter explizit eine Programm-Schnittstelle (API) bereitstellt. Allerdings hilft das bei Anwendungen wie Videostreaming oder verteiltem Rechnen nur bedingt bis gar nicht.

  4. Lacrosse

    zum Kollegen Brink: der Standpunkt, die DSGVO nicht nur als “Verbraucherrecht” zu sehen ist legitim. Siehe Art. 1 (3) DSGVO (freier Datenverkehr in der EU). Die unternehmerische Freiheit ist ebenso geschützt nach Art. 16 der EU Grundrechte Charta. D.h. die Diskussion ist in Ordnung. Das muss man IMHO aushalten. Gerne eine Diskussion auf Mastodon darüber.

    • Dr. DSGVO

      Einverstanden. Aushalten ja, aber gut finden: Nein.

  5. Martin S.

    Microsofts Aussage „Die technische Verbindung zwischen Nutzer und Microsoft (z.B. über Server und Rechenzentren) ist in vielen Fällen zwingende Voraussetzung… ” ist technisch korrekt, aber erlaubt halt auch das Ausspähen zusätzlich zur vereinbarten Dienstleistung. Eine clevere Halbwahrheit.

    Letztlich bleibt als einzige (halbwegs) sichere Lösung eine Cloud in der EU, mit einem Anbieter, der seinen Firmensitz auch der EU hat. Letzteres um besser vor Erpressungsversuchen von US.Behörden geschützt zu sein.

  6. Sehen und Verstehen.

    Mir ist das mit den Drittland-Cloud-Anbietern viel zu stressig!

    Neben den langweiligen Diskussionen nervt mich vor allem der Zusatz-Aufwand…
    – Standard-Vertragsklauseln abschließen
    – Verschlüsselung durchziehen
    – Mitarbeiter-Schulung (klassifizieren wo was speichern, zu verschlüsseln…)
    – Zusatzkosten für Verschlüsselungs-Tools
    –> Kennt Ihr den Preis für R&S®Trusted Gate? Ich schon… Aua! 🙁
    – Datenschutzerklärung erweitern
    – Regelmäßiges Prüfen der Gesamtsituation
    – etc. etc. etc…

    …und letztendlich bringt der ganze Zusatz-Aufwand doch keine 100% Rechtssicherheit…?!

    Nein, ich habe Besseres zu tun!

    Deshalb nutze ich einfach einen regionalen Hosting-Anbieter (ohne Drittland-Hintergrund!) der mir neben Speicher auch virtuelle Desktops mit Microsoft Office, etc. ‘daten-souverän’ bereitstellt.

    Ja, das kostet den ein oder anderen Euro mehr.

    (Microsoft hat dies in den letzten Jahren lizenztechnisch geschickt eingefädelt und zwingt ihre Kunden dadurch indirekt in ihre eigene Cloud – Beschwerde ist raus…
    https://www.infobae.com/de/2022/03/20/beschwerde-gegen-microsoft-bei-der-europaischen-kommission-wegen-wettbewerbswidriger-verhaltensweisen/ ).

    Wie auch immer, ich möchte mich in Ruhe und rechtssicher auf mein Geschäft konzentrieren – das ist mir wichtiger als Geld an der falschen Stelle zu sparen.

    • Michael Gscheid

      > …ist mir wichtiger als Geld an der falschen Stelle zu sparen
      Wenn ich mir den zusätzlichen Aufwand ansehe und mir die Kosten überlege ist es sicher günstiger lokale Anbieter zu nutzen.

      -Michi

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Die Wahrheit über die Wahrheit im Datenschutz und in anderen Lebensbereichen