Blog | Juli 2020 »

Datenschutzbestimmungen für Microsoft-Onlinedienste (DPA) aktualisiert

Samstag 15 August 2020   Kategorien: Datenschutz, IT-Sicherheit, Politik   von Rainer W. Gerling

Microsoft hat mit Datum 8. Juli 2020 die Datenschutzbestimmungen für Microsoft-Onlinedienste (DPA) als Reaktion auf das Urteil des EuGH vom aktualisiert. Wir haben die Änderungen gegenüber der Version vom Januar (Stand 9. Juni 2020) dokumentiert.

Die stillschweigende vermeintliche Änderung der Standardvertragsklauseln hate im Juni des Jahres auf Grund der Diskussion zwischen Microsoft und der Berliner Beauftragten für Datenschutz und Informationsfreiheit für einiges Aufsehen und Irritationen gesorgt.

Diesmal werden in den Standardvertragsklauseln (Anlage 2) nur ein paar kleinere sprachliche Fehler korrigiert. Die eigentlichen Änderungen finden in den anderen Teilen statt.

Die erste spannende Änderung ist der Absatz "Behördliche Vorschriften und Verpflichtungen". Microsoft behält sich vor einen Onlinedienst zu kündigen, wenn er in einem Land nicht rechtskonform angeboten werden kann.

Es werden "Diagnosedaten" (umgangssprachlich auch Telemetriedaten) definiert und zu Kundendaten und Dienstgenerierten Daten abgegrenzt.

Auch zum Thema Datenverschlüsslung von im Netz übertragen und von gespeicherten Daten ("in Ruhe") gibt es Aussagen. Leider wird nicht gesagt, wer über die Schlüssel verfügt. Es wird wohl Microsoft sein.

Der Zugriff auf Daten des Kunden erfolgt nur soweit wie erforderlich ("Grundsatz der geringsten Berechtigung").

Ein Thema ist auch der Speicherort der Daten ("Ort der ruhenden Kundendaten").

Eine unmittelbare Reaktion auf das EuGH-Urteil dürfte der folgende Absatz sein: "Microsoft hält sich an die datenschutzrechtlichen Anforderungen des Europäischen Wirtschaftsraums und der Schweiz in Bezug auf die Erhebung, Nutzung, Übermittlung, Speicherung und sonstige Verarbeitung personenbezogener Daten aus dem Europäischen Wirtschaftsraum, dem Vereinigten Königreich und der Schweiz. Alle Übermittlungen personenbezogener Daten an ein Drittland oder eine internationale Organisation unterliegen geeigneten Garantien, wie sie in Artikel 46 DSGVO beschrieben sind, und solche Übertragungen und Garantien werden nach Artikel 30 Absatz 2 DSGVO dokumentiert." Ob die deutschen Aufsichtsbehörden damit zufrieden sind?

Neu sind auch Absätze zum Thema "Biometrie".

Die Datenschutzbestimmungen für Microsoft Online Dienste entwickeln sich in die richtige Richtung. Ein von den Datenschutzaufsichtsbehörden als unbedenklich eingestufter Einsatz von Office 365 bedarf allerdings immer noch begleitender technisch-organisatorischer Maßnahmen durch die Unternehmen.

National Area Networks und Datenpakete im Flugzeug

Montag 10 August 2020   Kategorien: IT-Sicherheit, Politik   von Rainer W. Gerling

Das „saubere Internet“ ist in den USA ein Internet ohne chinesische Komponente, Software und Dienstleistungen. China, Russland und andere Staaten statten haben den Schritt zum sicheren nationalen Netzwerk schon vor längerer Zeit gemacht.

In einer Vorlesung über Netzwerke stellt man typisch die verschiedenen Netze in einer Klassifizierung nach der Reichweite dar:

  • PAN: Personal Area Networks sind kurzreichweitig (kleiner zehn Meter) und verwenden Techniken wie Bluetooth und USB zur Vernetzung.
  • LAN: Local Area Networks beschränken sich auf eine Wohnung oder Liegenschaft. Die Vernetzung erfolgt über Kupfer, Glasfaser oder WLAN.
  • MAN: Metropolitan Area Networks sind Netze von der typischen Ausdehnung einer Stadt und stellen den Nutzern in dieser Reichweite Netzwerkdienste (vor allen Netzwerkzugang) zur Verfügung
  • WAN: Wide Area Networks stellen die Weitverkehrsverbindungen in aller Regel über Glasfaserkabel her.

Der Plan der Trump-Administration zur „Expansion of the Clean Network to Safeguard America’s Assets“ will die nationale US-amerikanische Netzinfrastruktur von Teilen der Welt abkoppeln. Damit muss man wohl hierarchisch zwischen MAN und WAN noch ein NAN (National Area Network) einfügen. Ein NAN (nicht zu verwechseln mit NaN: Not a Number) ist auf das Gebiet eines Staates beschränkt und aus Gründen der Nationalen Sicherheit entweder überhaupt nicht oder nur stark kontrolliert (Nationale Firewall) mit anderen Netzen verbunden.

Die netzwerktechnische Kontrolle wird – wie die PC Welt, offensichtlich besser informiert als andere, berichtet – dadurch ausgehebelt, dass die Datenpakete in Flugzeugen transportiert werden. Werden die Flugzeuge dann nach der Landung mit der Telekommunikationsinfrastruktur des Ziellandes verbunden, können die Datenpakete offensichtlich unkontrolliert ins NAN.

Screenshot PC Welt Die Trump-Administration will deshalb – ebenfalls laut PC Welt – sicherstellen, „dass chinesische Fluggesellschaften nicht aus Gründen der nationalen Sicherheit an US-Netzwerke angeschlossen werden“ (siehe Punkt 4 in dem Screenshot von PC Welt Online links.)

Eigentlich ist das doch technischer Blödsinn, oder? Ich empfehle in meinen Seminaren immer, wenn man eine Übersetzung nicht versteht, den Original Text anzuschauen. Dort steht: „Clean Carrier: To ensure untrusted People’s Republic of China (PRC) carriers are not connected with U.S. telecommunications networks. Such companies pose a danger to U.S. national security and should not provide international telecommunications services to and from the United States.

Sinnvolle Regulierung Der Übersetzungsdienst Deepl übersetzt das zu: “Sauberer Träger: Um sicherzustellen, dass nicht vertrauenswürdige Netzbetreiber der Volksrepublik China (VR China) nicht mit US-Telekommunikationsnetzen verbunden sind. Solche Unternehmen stellen eine Gefahr für die nationale Sicherheit der Vereinigten Staaten dar und sollten keine internationalen Telekommunikationsdienste von und nach den Vereinigten Staaten anbieten.“ Zur Optimierung könnte man „Sauberer Träger“ noch mit „Sauberer Provider“ übersetzen und die Grammatik etwas optimieren. Auch der Google Übersetzer übersetzt den Text im Wesentlichen richtig.

Korrekturlesen ist zeitaufwendig und nervig, macht aber – wie man sieht – durchaus Sinn.

Wenn der Aktionismus der Trump Administration nicht so unsäglich dumm und traurig wäre, könnte das zum Lachen sein. Leute, lasst das Internet in Ruhe. Sobald die Politik sich da einmischt, wird das nichts Gutes mehr. Dabei wäre eine kluge Regulierung der Informationsicherheit zur Verbesserung der Sicherheit etwas extrem sinnvolles.