Sonstiges BigBrother Awards 2012

[Tarantoga]

Alle Jahre wieder vergibt der Datenschutzverein FoeBuD die ungeliebten Auszeichnungen für die größten Überwachungsfetischisten und Datenkraken der Nation. Diesmal gab es mit der Cloud einen eher abstrakten Preisträger, doch die Begründung hat es wie immer in sich:

"Fast alle Cloud-Anbieter sind amerikanische Firmen - und die sind laut Foreign Intelligence Surveillance Act verpflichtet, US-Behörden Zugriff auf alle Daten in der Cloud zu geben, auch wenn sich die Rechnerparks auf europäischem Boden befinden."

Mit Blizzard Entertainment gehört auch ein erfolgreicher Spieleanbieter zu den Preisträgern - hier waren diverse Datenschutzverletzungen beim Umgang mit Spielerdaten von Online Spielen wie World of Warcraft ausschlaggebend.
Aber natürlich stellt auch die Union wieder zwei Preisträger, zum einen den sächsischen Innenminister Markus Ulbig (CDU), der sich den Preis durch die Funkzellenüberwachung bei einer Neonazi Demo verdient hat - ausgewertet wurden die Daten von etwa 55.000 Menschen die sich zum Zeitpunkt der Demo in dem Gebiet aufhielten, betroffen waren vor allem Gegendemonstranten und die Verbindungsdaten wurden später auch für gänzlich andere Verfahren genutzt.
Und natürlich ist auch unser Bundesinnenminister Hans Peter Friedrich (CSU) unter den Preisträgern - er hat sich den Preis mit der Schaffung des Cyber-Abwehrzentrums und des Abwehrzentrums gegen Rechts verdient, bei dem Polizei, Geheimdienste und teilweise sogar das Militär bedenklich miteinander vernetzt und verzahnt werden - entgegen dem historisch begründeten Verfassungsgrundsatz das die Sicherheitsbehörden strikt voneinander getrennt arbeiten müssen.

Mehr dazu:
heise online | Big Brother Awards 2012 verliehen
Big Brother Awards 2012 - Die Datenkraken der Nation - Bild 1 - Digital - sueddeutsche.de

 

[bitmuncher]

Die Begründung für "die Cloud" als Gewinner zeugt eher von Unwissen. Auch mit amerikanischen Cloud-Anbietern wie Amazon kann man einen Auftragsdatenverarbeitungsvertrag schliessen, der die Einhaltung des BDSG und zugehöriger EU-Bestimmungen individuell regelt. Ein solcher ADV umfasst normalerweise auch eine Regelung, die die Weitergabe an US-Behörden ohne richterlichen Beschluss verbietet. Wer eine Cloud nutzt ohne einen ADV mit dem entsprechenden Anbieter zu schliessen, ist imo selbst Schuld.

 

[Chromatin]

Die Begründung für "die Cloud" als Gewinner zeugt eher von Unwissen. Auch mit amerikanischen Cloud-Anbietern wie Amazon kann man einen Auftragsdatenverarbeitungsvertrag schliessen, der die Einhaltung des BDSG und zugehöriger EU-Bestimmungen individuell regelt. Ein solcher ADV umfasst normalerweise auch eine Regelung, die die Weitergabe an US-Behörden ohne richterlichen Beschluss verbietet. Wer eine Cloud nutzt ohne einen ADV mit dem entsprechenden Anbieter zu schliessen, ist imo selbst Schuld.

Die US Gesetze interessieren sich herzlich wenig dafür, was für Verträge US Firmen mit anderen, moeglicherwise auslaendischen, Firmen schliessen.
Ausserdem kennt man kaum die verzwickten Vertragslandschaften solcher Riesen. So stehen meistens noch dutzende Firmen dahinter, die alle einen Teil Dienstleistung erbringen. Services werden aus den verschiedensten Gründen ausgelagert, nicht zuletzt auch um sich vor etwaigen Haftungsfragen zu drücken.

De-Facto ist jemand, der Daten hat, die _wirklich_ niemandem zugänglich sein sollen, gut beraten in DE ansässige Firmen zu nutzen oder es ggf. sogar selbst zu bauen.

Hier hinkt die öffentliche Aufklärung weit weit hinterher.

 

[Tarantoga]

Nicht nur die Leute von FoeBuD und leicht paranoide HaBoler sehen die Datensicherheit in der Cloud eher skeptisch, auch die sogenannte Berlin Group, eine seit 1983 existierende, internationale Arbeitsgruppe zum Thema Datenschutz hat da so ihre Bedenken - die haben sie jetzt niedergeschrieben und formulierten so ein Memorandum mit Forderungen an Datenschutzstandards in der Cloud: Nachrichten / Datenschutznachrichten (Berliner Beauftragter für Datenschutz und Informationsfreiheit)

Mehr zum Thema:
Datenschützer formulieren Anforderungen an die Cloud | heise Security

 

[bitmuncher]

Ich hab hier eine "Orientierungshilfe – Cloud Computing" der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 26.09.2011 vorliegen, die im Endeffekt nichts anderes aussagt. Bekommt man vom Berliner Datenschutzbeauftragten bei jeder Antwort auf Fragen zur Cloud bzw. zu rechtlichen Aspekten bei Cloud-Anbietern automatisch beigelegt.

Inhaltsübersicht
0	Vorbemerkung
1	Einführung
1.1	Nutzen
1.2	Datenschutzrechtliche Schwerpunkte
2	Begriffe
2.1	Cloud-Anwender
2.2	Cloud-Anbieter
2.3	Public Cloud
2.4	Private Cloud
2.5	Community Cloud
2.6	Hybrid Cloud
2.7	Infrastructure as a Service (IaaS)
2.8	Platform as a Service (PaaS)
2.9	Software as a Service (SaaS)
3	Datenschutzrechtliche Aspekte
3.1	Verantwortlichkeit des Cloud-Anwenders
3.2	Kontrolle der Cloud-Anbieter
3.3	Betroffenenrechte
3.4	Grenzüberschreitender Datenverkehr
3.4.1	Innereuropäischer Raum
3.4.2	Außereuropäischer Raum
4	Technische und organisatorische Aspekte
4.1	Ziele und Risiken
4.1.1	Schutzziele 
4.1.2	Cloudspezifische Risiken
4.1.3	Klassische Risiken
4.2	Infrastructure as a Service (IaaS)
4.3	Platform as a Service (PaaS)
4.4	Software as a Service (SaaS)
5	Fazit

Was ist am neuen Memorandum nun so sonderlich neues und inwiefern liefert es einen wichtigeren "Beitrag zur internationalen Diskussion der Fragen des Cloud Computing"?

In der OH heisst es z.B.:

Nimmt der Cloud-Anwender von einem Cloud-Anbieter IT-Dienstleistungen für Cloud- Services in Anspruch, so wird Letzterer als Auftragnehmer nach § 11 Abs. 2 BDSG tätig. Der Cloud-Anwender bleibt hingegen nach § 11 Abs. 1 BDSG für die Einhal- tung sämtlicher datenschutzrechtlicher Bestimmungen verantwortlich. Weiterhin muss der Cloud-Anwender einen schriftlichen Auftrag an den Cloud-Anbieter erteilen und dabei die inhaltlichen Anforderungen nach § 11 Abs. 2 BDSG erfüllen.
...
Vertraglich festzulegen sind etwa die Berichtigung, Löschung und Sperrung von Da- ten. Die praktische Umsetzung dieser Verpflichtung kann durch technische Maß- nahmen erfolgen (Kapitel 4.). Weiterhin ist z. B. nach § 11 Abs. 2 Nr. 6 BDSG zu re- geln, ob eine Berechtigung zur Begründung von Unterauftragsverhältnissen besteht. Cloud-Anbieter werden zur Erbringung der IT-Dienstleistungen oft Unter-Anbieter einbeziehen, wobei auch für dieses Verhältnis die Regeln der Auftragsdatenverarbei- tung zu erfüllen sind. Die Einbeziehung von Unter-Anbietern kann für den Cloud- Anwender intransparent sein, da deren Inanspruchnahme auch nur für einen kurzzei- tig gestiegenen Bedarf an Rechenleistung in Betracht kommt und nicht deutlich wird, wessen Kapazitäten genutzt wurden. Der Cloud-Anbieter muss daher vertraglich verpflichtet werden, sämtliche Unter-Anbieter abschließend gegenüber dem Cloud- Anwender zu benennen und die für § 11 Abs. 2 BDSG relevanten Inhalte14 offen zu legen. Der Unter-Anbieter ist zu verpflichten, die Weisungen des Auftragnehmers zu beachten.

Oder mit anderen Worten. Schliesst einen anständigen ADV mit den Cloud-Anbietern, bevor ihr deren Services nutzt.

Ist jetzt hier allerdings wirklich nur eine Kurzfassung. Es wird auch auf Datentransfers in Drittstaaten ausserhalb der EU eingegangen, auf Binding Corporate Rules, auf Datenschutz-Gütesiegel, auf die Relevanz des Schutzbedarfs der Daten uvm..

Insofern ist das Memorandum in meinen Augen mal wieder nur rausgeworfene Steuergelder, denn etwas gleichwertiges liegt ja bereits seit Monaten vor, da auch die OH bereits Forderungen an Standards für den Datenschutz enthält.

 

[Tarantoga]

Ich hab hier eine "Orientierungshilfe – Cloud Computing" der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 26.09.2011 vorliegen, die im Endeffekt nichts anderes aussagt. Bekommt man vom Berliner Datenschutzbeauftragten bei jeder Antwort auf Fragen zur Cloud bzw. zu rechtlichen Aspekten bei Cloud-Anbietern automatisch beigelegt.
[...]
Was ist am neuen Memorandum nun so sonderlich neues und inwiefern liefert es einen wichtigeren "Beitrag zur internationalen Diskussion der Fragen des Cloud Computing"?

Na ja, ich dachte eigentlich der Unterschied ist offensichtlich, wie Du ja selbst sagst handelt es sich bei der Orientierungshilfe um ein Papier der Datenschutzbeauftragten des Bundes und der Länder - also eine nationale Angelegenheit. Die Berlin Group ist aber nun einmal eine Arbeitsgruppe der Internationalen Konferenz der Beauftragten für den Datenschutz und den Schutz der Privatsphäre, zu deren Mitgliedern neben zahlreichen Staaten (von A wie Argentinien bis Z wie Zypern), auch Institutionen und Organisationen wie die EU, Europol und Interpol gehören. Der richtige Name der sogenannten Berlin Group lautet daher auch International Working Group on Data Protection in Telecommunications und zu dieser Arbeitsgruppe gehören eben auch Vertreter internationaler Organisationen und Wissenschaftler aus aller Welt. Ein Memorandum der Berlin Group dürfte daher schon, wie ihr Leiter Alexander Dix im heise Artikel feststellt, einen wichtigen Beitrag zur internationalen Diskussion der Fragen des Cloud Computing darstellen.
Zumindest dürfte es mehr internationale Beachtung finden als die erwähnte Orientierungshilfe Cloud Computing die man, wie du selbst sagst, vom Berliner Datenschutzbeauftragten bei jeder Anfrage zu dem Thema bekommt - der natürlich kein anderer ist als Alexander Dix...