Hadmut Danisch

Ansichten eines Informatikers

US-Behörden greifen auf deutsche Daten in der Microsoft-Cloud zu

Hadmut
30.6.2011 22:36

iX berichtet darüber, daß Microsoft zugegeben hat, daß amerikanische Justiz-Behörden auch auf die in Europa von Microsoft betriebene Cloud zugreifen können, womit diese inherent unsicher ist und insbesondere dem Datenschutzrecht unterliegende Daten deshalb nicht in die Cloud eingebracht werden dürfen. Also beispielsweise auch keine Webdienste. Genau diese Frage hatte ich im Februar an Microsoft gestellt und damals von denen nur eine blöde Antwort bekommen, da haben die das Publikum noch verarscht. Und da soll noch einer sagen, ich hätte eine Berufsneurose oder würde Microsoft zu sehr kritisieren.

17 Kommentare (RSS-Feed)

Battleaxe
30.6.2011 22:57
Kommentarlink

>da soll noch einer sagen, ich hätte eine Berufsneurose oder würde Microsoft zu sehr kritisieren

Nur die M$-Fanboys. Dass das OS insgesamt “suboptimal” ist pfeifen die Spatzen von den Dächern. Leider ist M$ das was IBM in den 60ern, 70ern, 80ern und 90ern war: Was hätte ich machen sollen – ich hab das teuerste genommen und wenn nicht mal MICBRM (die ersten drei Buchstaben) das schafft !?!?

BA


Hadmut
30.6.2011 22:58
Kommentarlink

Damals hieß es, no one ever got fired for buying IBM. Diese Position hat Microsoft übernommen.


In der Konsequenz hieße das aber dann, dass ein deutsches Unternehmen, sagen wir, die Deutsche Bank, die ihren Rechenzentrumsbetrieb an die IBM Deutschland GmbH (oder HP oder wen auch immer) “outsourct”, damit rechnen muss, das unter dem Druck einer Patriot Act-Anfrage die Mutterfirma als 100%-Gesellschafter Daten einfordert. Damit würde die Tochter aber wiederum gegen geltendes deutsches Recht verstoßen – ganz ohne Cloud Computing.

Ähnlich muss auch die Situation beim Cloud-Ansatz sein: Wenn ich einen Vertrag mit einem in Deutschland angesiedelten Unternehmen abschließe, das deutschem Recht unterliegt, muss dieses sich auch an die deutschen Datenschutzgesetze halten. Oder?

Was ist, wenn ich einen Root-Server bei 1&1 oder Hetzner im RZ hosten lasse, auf dem ich meine Daten verschlüsselt ablegen, und das von einem amerikanischen Konzern gekauft wird?

Ich will nicht sagen, dass das Problem nicht besteht. Aber ich glaube, es hat seine Ursache weniger im Cloud Computing, sondern war schon immer da – es wird nur auf einmal sichtbarer.


Hadmut
1.7.2011 10:10
Kommentarlink

Ja, obwohl das von der Firmenstruktur abhängt. Es kann durchaus sein, daß die IBM Deutschland GmbH als deutsche Firma ein Rechenzentrum hier betreibt, während Microsoft Deutschland nur die Verträge für die Nutzung ihrer von der amerikanischen Mutter betriebenen RZs oder Clouds verkloppt.

Denn wie (siehe meinen früheren Blog-Artikel) Microsoft selbst sagte, solle es einem doch egal sein, wo die Rechenzentren stehen. Hätten sie welche in Deutschland, würden sie damit werben.

Das mit dem Kauf durch einen amerikanischen (oder auch chinesischen) Investor ist eine interessante Frage.


Andere stellen die Tatsache, dass ihre RZs in der EU stehen, ja heraus: Amazon z.B. garantiert m.W., dass Daten in der EU bleiben. Aber was ich mich frage ist, ob das überhaupt etwas nützt – kann sich die Mutterfirma damit gegenüber den US-Behörden überhaupt verweigern?

Mittel- und langfristig muss sich das wohl weltweit angleichen. Das dabei das deutsche Verständnis von Datenschutz eine Überlebenschance hat, ist wohl (leider) unwahrscheinlich.


Jan Dark
1.7.2011 12:15
Kommentarlink

Microsoft hat nichts zugegeben, sondern auf Nachfrage über die Rechtslage Auskunft gegeben. Die Auskunft hätte auch jeder andere Rechtskundige geben können. Es ist schon leicht irritierend, von zugeben zu sprechen, wenn man Gesetze erklärt.

Dass die Angloamerikaner aggressiver in der elektronischen Aufklärung sind als Deutsche, ist seit Jahrzehnten bekannt. Als 1986 das La Belle mit mehreren Toten in die Luft flog, war es die NSA, die durch Überwachung Ost-Berliner Banken dahinter kam, wer hinter den Morden steckte. Deutsche hatten weder die Ausrüstung, noch die Gesetze noch den Mut, die Täter ausfindig zu machen. Ist das jetzt schlecht, wenn der ein Staat Mörder fängt?

1986 gab es keine Cloud. Die USA haben im rechtsfreien Raum geschnüffelt. Heute haben sie wenigstens Gesetze und erste Ansätze zur Rechtsstaatlichkeit. Auch wenn sie später dran sind als zivilisierte Staaten. Aber das ist kein Problem der Cloud.

Was wäre denn die Alternative? Ich stelle mir einen Server zu Hause hin und wenn ein übel meinender Denunziant mich willkürlich anzeigt, kommt das Rollkommando und beschlagnahmt alle meine Rechner. Wäre ich dann glücklich, dass es deutsche Behörden waren, die mich in den Ruin trieben, statt US-Behörden, die mitlesen?

Wir haben es doch gerade bei Kachelmann gesehen: im Urteil unschuldig, aber das hält die deutsche Justiz nicht davon ab, einen Unschuldigen monatelang der Freiheit zu berauben und in den Knast zu stecken.

Die Datenschutzdiskussion über die Cloud sind völlig überzogen. Was der Datenschutzbeauftragte aus S-H in mühseliger Kleinarbeit aufzählt
(https://www.datenschutzzentrum.de/sommerakademie/2011/sak2011-thilo-weichert-hintergrundtext.html) mutet an, wie ein linear Fortschreibung der Bedrohungsanalyse aus den 80ziger, aber hat nichts mit der Gegenwart zu tun.

Millionen von Menschen und Unternehmen ist es schlicht egal, wo ihre Daten residieren. Einige Millionen möchten nicht mal Urheberschutz, der von Leuten, die mit Sicherheitsberatung Geld verdienen, als ganz wichtig angesehen wird (Betriebsgeheimnisse in der Cloud).

Ich glaube nicht, dass wir mit der Sichtweise von vor 30 Jahren weiterkommen. Wenn ich meine IP-Verbindunegn ansehen, stelle ich fest dass hunderte von Spielkindern versuchen einzudringen, malicious Code einzuschmuggel. Ich sehe, dass for fun in hunderte System eingebrochen wird, für Spass denial of service Attacken propagiert werden. Aber wenn Microsoft erklärt, wie amerikanische Gesetze sind, dann offenbart sich uns das Reich des Bösen?

Gunter Dueck, der bei IBM auch Cloud Beauftragter war, hat neulich erzählt, dass man für die Cloud-Aktivitäten zwei Rechenzentren eingerichtet hätte. Eines in den USA und eines in Ehningen (Landkreis Böblingen), Deutschland. Weil die Deutschen immer so schwierige Datenschutzdiskussionen machen. Einer von über 200 Staaten in der Welt. Das macht mich stutzig.

Disclaimer: ich nutze GMX, Microsoft BPOS, Google-Mail, Strato für private und geschäftliche Zwecke und habe keine Ahnung auf welchen Festplatten meine Mail bei denen liegt. Und ich halte den Verfassungsschutz nicht für sicherer als die NSA.


Hadmut
1.7.2011 12:26
Kommentarlink

Du begehst da einen Denkfehler. Es geht ja nicht darum, ob man Angst vor der Cloud hat oder auch vor der deutschen Polizei Angst haben muß. Mit dieser Angst-Diskussion bist Du auf der völlig falschen Schiene.

Es geht darum, daß man nach deutschem Recht in verschiedenen Bereichen personenbezogene Daten nicht auf Rechnern verarbeiten darf, auf die Leute von außerhalb der EU Zugriff nehmen könnten. Es geht nicht darum, ob das schlimm ist oder die USA schlimmer als die Deutschen sind, sondern schlicht und ergreifend darum, daß es verboten ist, so einen Dienstleister für bestimmte Aufgaben zu verwenden.

Man verstösst damit gegen Gesetze, wenn man so einen Dienstleister beauftragt, und kann sich damit viel Ärger einhandeln.

Darum geht es.


yasar
1.7.2011 12:23
Kommentarlink

Ein paar rechtliche Aspekte:

http://www.heise.de/resale/artikel/Das-Recht-in-der-Cloud-1193203.html

Interessanterweise auch schon im Februar.


Jan Dark
1.7.2011 15:56
Kommentarlink

Denkfehler? Der Herr Weichert, der kein Richter ist, vermutet, dass man gegen deutsches Recht verstieße, wenn staatliche Organe bei der Terrorabwehr personenbezogene Daten einsehen wollte. Mit dieser irrigen Rechtsauffassung (Datenschutz vor Terrorschutz) kann sich Herr Weichert nicht mal in Deutschland durchsetzen. Oder glaubst Du ihm ernst, dass eine Beschlagnahme von einer Festplatte rechtswidrig wäre, weil da personenbezogene Daten drauf wäre, die man nicht weitergeben darf auch nicht an Polizeibehörden zur Verbrechensbekämpfung?

Ich halte die Rechtsauffassung von Weichert für naiv und bekommen zunehmend Zweifel an seiner Eignung für den Job. Datenschutz vor dem Grundrecht auf Unversehrtheits des Körpers? Gaga.

Natürlich dürfen Strafverfolgungsbehörden bei uns und in den USA auf Daten zugreifen, wenn der dringende Verdacht besteht, dass terroristische Tötungsdelikte verübt werden sollen. Ein Staat, der zur Terrorbekämpfung sogar die Essensfolge im Flugzeug ins Zielland übermittelt und das Placet gibt bei SWIFT, macht keine Gesetze, die Herr Weichert erratisch haben möchte.

Lies Dir einfach mal den §14 BDSG durch, wo die befugte Weitergabe für gesetzliche Zwecke erlaubt ist, z.B. Punkt 7.
“es zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinne des § 11 Abs. 1 Nr. 8 des Strafgesetzbuchs oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Bußgeldentscheidungen erforderlich ist,”

Da ist die volle Palette staatlichen Zwanges abstrakt erlaubt.


Hadmut
1.7.2011 16:51
Kommentarlink

Ich verstehe gerade überhaupt nicht, was du mir da sagen willst und was das oder Weichert mit dem Blogartikel zu tun haben sollen…


J.
1.7.2011 19:22
Kommentarlink

“Natürlich dürfen Strafverfolgungsbehörden bei uns und in den USA auf Daten zugreifen, wenn der dringende Verdacht besteht, dass terroristische Tötungsdelikte verübt werden sollen. ”

Aber US-Behörden dürfen nicht einfach so auf Daten in Deutschland zugreifen. Ich hoffe sehr, dass DE die USA in so einem Fall vor den IGH zerrt. So eine Verletzung seiner Souveränität kann ein Staat nicht dulden.


Jan Dark
1.7.2011 20:36
Kommentarlink

In Deinem ersten Link des Blogartikels auf die iX steht:

“Nach Einschätzung von Thilo Weichert, Chef des Unabhängigen Landeszentrums für Datenschutz Schleswig Holstein (ULD), steht eine solche Datenweitergabe aus dem EU-Gebiet heraus im Widerspruch zu europäischem Datenschutzrecht. ”

Ich halte diese Einschätzung für falsch. Weichert ist auch kein Richter. Ich halte es für falsch, die Weitergabe von personenbezogenen Daten an Strafverfolgungsbehörden für nicht im Einklang mit dem europäischen Datenschutzrecht zu halten. Microsoft hat klare gesagt, dass es um den Patriot Act geht. Die Weitergabe zur Strafverfolgung ist in Deutschland, der EU, dem EWR und den USA explizit zulässig. Weichert stellt den Datenschutz über den Schutz der Bevölkerung vor Straftätern. Das ist abartig.


Hadmut
1.7.2011 22:25
Kommentarlink

Ich halte zwar nichts von Thilo Weichert, aber da hat er Recht. Und dazu muß er auch kein Richter sein. (Hat übrigens der Datenschutzbeauftragte der letzten Firma, in der ich war, auch so gesagt.)

Du hast das immer noch falsch verstanden. Es geht nicht darum, sie nicht an Strafverfolgungsbehörden weiterzugeben.

Es geht darum, daß man von vornherein Daten nicht auf Server packen darf, auf die Leute Zugriff von außerhalb der EU haben. Und damit auch auf die Server, auf die eine US-Behörde den Zugriff anordnen kann. Es geht nicht darum, den Strafverfolgungsbehörden zu Zugriff zu verweigern, sondern generell allen Nicht-EU-Staaten. Dazu bedarf es keiner Strafverfolgung. Lies das doch erst mal nach, bevor Du so insistierst und einem Mißverständnis aufsitzt.


Jan Dark
1.7.2011 22:44
Kommentarlink

“Es geht darum, daß man von vornherein Daten nicht auf Server packen darf, auf die Leute Zugriff von außerhalb der EU haben.”

Das ist sachlich einfach falsch.
“Safe Harbor (englisch für „Sicherer Hafen“) ist eine besondere Datenschutz-Vereinbarung zwischen der Europäischen Union und den Vereinigten Staaten, die es europäischen Unternehmen ermöglicht, personenbezogene Daten legal in die USA zu übermitteln.”
http://de.wikipedia.org/wiki/Safe_Harbor

Die deutschen Datenschützer mögen diese Regelung nicht und wettern überall dagegen, aber das hat keine juristische Substanz. Lies Dir auch die Anmerkungen über den Düsseldorfer Kreis durch. Das sind Behörden, die sich was wünschen, aber keine Gesetzgeber sind.

Gesetzgebende Körper haben aber die Lage völlig anders kodiert als es hier (und bei Heise ständig durch den Iustitiar) falsch behauptet wird:
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2000:215:0007:0047:DE:PDF


Hadmut
1.7.2011 23:47
Kommentarlink

Oh, ich kenne den Safe Harbor. Ich war persönlich bei einer der Veranstaltungen anwesend, mit denen damals der US-Sonderbotschafter David Aaron 1998 für den Safe Harbor getrommelt hat.

Ändert aber nichts daran, daß in der Firma, in der ich war, vom Datenschutz sämtliche Auftragsdatenverabeitungsaufträge mit Firmen abgelehnt wurden, bei denen von außerhalb der EU eine Zugriffsmöglichkeit auf die Daten bestand. Und der Datenschutz und die Rechtsabteilung hatten das sehr genau geprüft. Nur habe ich selbst keinen Zugang mehr zu den Informationen und der Literatur.

Safe Harbor ändert daran aber nichts. Soweit ich mich jetzt aus dem Stand erinnere, sind § 92 TKG und §§ 4b,c BDSG relevant, wonach eine Datenübertragung personenbezogener Daten ins Ausland ohne Einzeleinverständnis nur zulässig ist, wenn sie erforderlich ist. Dabei sind EU-Anbieter aus EU-Markt-Recht heraus mit deutschen Anbietern gleichberechtigt, weshalb die EU hier nicht als Ausland gilt. Die USA gelten aber als Ausland. Und eine Übertragung in die USA bzw. an einen Cloud-Anbieter, bei dem Zugriff aus dem Ausland besteht, ist eben nicht erforderlich, um den Zweck zu erfüllen. Also geht es nicht, Safe Harbor hin oder her. In dieser Sache gilt zunächst deutsches Recht. EU-Recht gilt hier meines Wissens nicht unmittelbar.

Übrigens ändert auch die Safe-Harbor-Richtlinie nichts daran, daß erst mal der verantwortlich ist und bleibt, der die Daten erhebt und weitergibt. Er muß dafür sorgen, daß die Datenshcutzanforderungen erfüllt werden. Und das kann er in den USA nicht, weil es dort kollidierendes Recht gibt.

Außerdem halte ich deine Auffassung für grundsätzlich fragwürdig. Facebook ist auch dem Safe Harbor beigetreten, und wie bei denen der Datenschutz aussieht, ist ja bekannt. Nämlich ungefähr gleich Null. Die behaupten ganz offiziell, daß sie alle Daten beliebig speichern und weiterverkloppen dürfen.

Zudem begehst Du noch einen ganz anderen Denkfehler: Safe Harbor umfasst nur US-amerikanische Unternehmen bzw. Unternehmen innerhalb amerikanischen Rechts. Ich weiß aber von diversen Cloud-Anbietern, daß sie in Billig-Ländern wie Mexiko oder der Ukraine arbeiten. Also nicht dem Safe Harbor unterliegen können.


Jan Dark
2.7.2011 11:05
Kommentarlink

Zunächst ging es um Microsoft und USA. Nicht um Facebook und Drittländer. Da ist es kein Denkfehler, wenn ich zu Microsoft und USA Stellung nehme.

Ich hätte nie gedacht, dass Leute, die intensiv das Internet nutzen, nun sich auf nationale Standpunkte wie Ursula von der Leyen zurückziehen, statt Internetprobleme global an zugehen. Christiane Schulzki-Haddouti hat dazu in der Zeit ja richtige Worte gesagt:
http://blog.zeit.de/kulturkampf/2010/08/24/wenn-daten-in-der-cloud-verschwinden/

Dennoch bleibt der Hinweis richtig, dass es bei dem heise-Artikel um Zugriffe der US-Justiz ging bei Strafverfolgung (Patriot Act). Da ist auch im irdischen Leben Amtshilfe der Regelfall. Deine frühere Firma wird sich auch nicht gegen Strafverfolgung aus der USA abgesichert haben. In einer Zeit, wo fast täglich jugendliche Hacker Kundendaten in Massen auf irgendwelchen Servern erhacken zu sagen, man habe juristisch geprüft, dass Zugriffe nur aus Europa erfolgen dürfen ist richtig schön süß und weltfremd. Wie vieles in der Diskussion.

Der Düsseldorfer Kreis hat 2010 nur darauf hingewiesen, dass die Safe Harbor Zertifizierung schriftlich überprüft werden muss. Die Selbstzertifzierung darf nicht länger als sieben Jahre alt sein udn muss gemeldet sein. Das soll man sich vom Hoster schriftlich geben lassen. Mehr nicht. Nicht mal eine persönliche Inaugenscheinnahme der Speicherorte ist erforderlich. Wie Juristen so sind. Es ist auch in den letzten 10 Jahren des Safe Harbors kein Bußgeld an deutsche Nutzer wegen BDSG ergangen.

Das übliche Spiel, das Microsoft die irdische Filiale des Reich des Bösen sei, verdeckt die echten Probleme. Nimm an, du nimmt einen US-Hoster für Deine Geschäftsbriefe. Dann schickt Dir ein Kunde eine Bestellung (und Du ihm später eine Rechnung, was Du seit 1.7. Schäuble-sei-Dank ohne Signatur darfst). Dann bist Du zunächst nach HGB verpflichtet, Deine Geschäftsbriefe sieben Jahre aufzubewahren. Dein Kunde exportiert aber seine personenbezogenen Daten in die USA, weil er Dir eine Mail schickt.

In ein solches Szenario mit unserem alten verkrusteten Recht einzusteigen, ist extrem teuer. Ich glaube nicht, das die Bürger das wollen. Und die Politiker steigen deshalb auch nicht ein, weil die ahnen, was auf die zukommt. Das Facebookgezetere der altbackenen Verbraucherministerin hat auch zu nichts geführt:
http://dipbt.bundestag.de/dip21/btd/17/033/1703375.pdf
Auch das Gezetere des Hamburger Datenschutzbeauftragten zu Google-Analytics wurde eingestellt.

Wir werden also keine andere Chance haben, als zu kapitulieren, wenn wir ein globales Medium mit nationalem Recht zu steuern versuchen.
Oder soll etwa der E-Mail-Absender prüfen müssen, wo der Server seines Empfängers steht, damit er zu Verschickung der Mail dem Export seiner personenbezogenen Daten ggf. zustimmen kann, wenn keine gesetzliche Erfordernis besteht, die zu speichern? Oder soll ohne diese Zustimmung der Provider gleich bei Empfang aus Datenschutzgründen löschen? Wie lange meinst Du, hält man solche absurden Spiele durch?

Wir werden da zu globalen Regelungen kommen müssen. Die weder allein durch die USA noch allein durch deutsche Reaktionen auf die RAF-Rasterfahndungen bestimmt sein werden.


Hadmut
2.7.2011 21:35
Kommentarlink

Ich hab noch immer nicht verstanden, was Du (insb. von mir) eigentlich (sagen) willst. Ich sehe einfach deinen Standpunkt und Dein Ziel nicht.

Irgendwie spielst Du nur Kommentar-Ping-Pong.