Nachbetrachtung: Microsoft 365, die DSK und die DSGVO
Hier mal ein Abriss eines Themas, welches euch Administratoren möglicherweise auch tangiert.
Seit die Datenschutzkommission (DSK) im November 2022 bekannt gegeben hat, dass Microsoft 365 nicht (oder nicht ohne weiteres) DSGVO-konform eingesetzt werden kann, ist die "Hütte bildlich gesehen am Brennen".
Microsoft hat sofort ein Statement herausgegeben, dass man die DSGVO sogar übererfülle und Reuschlaw liefert ebenfalls Argumente. Ich persönlich habe mit dem Them nichts kokretes am Hut - aber es hat mir Spaß gemacht, das Thema mal als Blog-Beitrag in einer Nachbetrachtung zu spiegeln, Argumente von Microsoft, warum das (bald) kein Thema mehr ist auf den Prüfstand zu stellen, und auch eine Ausarbeitung des Datenschutzbeauftragten von Baden-Württemberg zum Pilotprojekt von Office 365 in Schulen (wurde abgebrochen, weil nicht DSGVO-konform zu bekommen) auszugraben und gegenüber zu stellen.
Ganz doof: Der Ball zur Entscheidungsfindung liegt beim Datenschutzverantwortlichen - nicht bei Microsoft oder irgend einem Juristen.
Nachbetrachtung zur DSK-Einstufung "Microsoft 365 weiterhin nicht datenschutzkonform"
Seit die Datenschutzkommission (DSK) im November 2022 bekannt gegeben hat, dass Microsoft 365 nicht (oder nicht ohne weiteres) DSGVO-konform eingesetzt werden kann, ist die "Hütte bildlich gesehen am Brennen".
Microsoft hat sofort ein Statement herausgegeben, dass man die DSGVO sogar übererfülle und Reuschlaw liefert ebenfalls Argumente. Ich persönlich habe mit dem Them nichts kokretes am Hut - aber es hat mir Spaß gemacht, das Thema mal als Blog-Beitrag in einer Nachbetrachtung zu spiegeln, Argumente von Microsoft, warum das (bald) kein Thema mehr ist auf den Prüfstand zu stellen, und auch eine Ausarbeitung des Datenschutzbeauftragten von Baden-Württemberg zum Pilotprojekt von Office 365 in Schulen (wurde abgebrochen, weil nicht DSGVO-konform zu bekommen) auszugraben und gegenüber zu stellen.
Ganz doof: Der Ball zur Entscheidungsfindung liegt beim Datenschutzverantwortlichen - nicht bei Microsoft oder irgend einem Juristen.
Nachbetrachtung zur DSK-Einstufung "Microsoft 365 weiterhin nicht datenschutzkonform"
Please also mark the comments that contributed to the solution of the article
Content-ID: 4844796999
Url: https://administrator.de/contentid/4844796999
Printed on: December 9, 2024 at 03:12 o'clock
27 Comments
Latest comment
Hallo,
danke für den Link.
Microsoft vs DSK ist irgendwie die Spitze des Eisberges. Das Grundproblem ist, dass die DSGVO und die Datenschutz-Realität weit auseinander liegen. In so einer Situation muss sich entweder die Realität oder das Gesetz ändern. Nun besteht die Realität nicht nur aus klagenden Betroffenen. Und das Gesetz ist nicht Naturgegeben.
Seltsam ist auch, dass gegenüber nicht-staatlichen Akteuren immer die Datenschutzkeule geschwungen wird, während der Staatliche Datenhunger nur selten eingedämmt wird.
Und noch seltsamer ist, dass bei einer so eindeutigen Stellungnahme der DSK kein Vertriebsverbot beschlossen wird.
Hier geht es um politische Ideen und deren Umsetzung. Im Grunde ist das ein ganz großes gesellschaftspolitisches Experiment: Gelingt es, gut gemeinte Regeln durchzusetzen, wenn die Wirtschaft dies nicht möchte und es einem Großteil der Bevölkerung egal ist?
Es bleibt spannend.
Grüße
lcer
danke für den Link.
Microsoft vs DSK ist irgendwie die Spitze des Eisberges. Das Grundproblem ist, dass die DSGVO und die Datenschutz-Realität weit auseinander liegen. In so einer Situation muss sich entweder die Realität oder das Gesetz ändern. Nun besteht die Realität nicht nur aus klagenden Betroffenen. Und das Gesetz ist nicht Naturgegeben.
Seltsam ist auch, dass gegenüber nicht-staatlichen Akteuren immer die Datenschutzkeule geschwungen wird, während der Staatliche Datenhunger nur selten eingedämmt wird.
Und noch seltsamer ist, dass bei einer so eindeutigen Stellungnahme der DSK kein Vertriebsverbot beschlossen wird.
Hier geht es um politische Ideen und deren Umsetzung. Im Grunde ist das ein ganz großes gesellschaftspolitisches Experiment: Gelingt es, gut gemeinte Regeln durchzusetzen, wenn die Wirtschaft dies nicht möchte und es einem Großteil der Bevölkerung egal ist?
Es bleibt spannend.
Grüße
lcer
Das Grundproblem ist, dass die DSGVO und die Datenschutz-Realität weit auseinander liegen. In so einer Situation muss sich entweder die Realität oder das Gesetz ändern.
Stimmt.
Ich bin in dem Zusammenhang nicht das Gesetz zu ändern. Das ist gut so wie es ist.
Vielmehr müssen die Konzerne - nicht nur Microsoft sondern auch Google, Meta, Amazon usw - zur Kenntnis nehmen, dass sie sich geltendem Recht unterzuordnen und entsprechend anzupassen haben. So einfach ist das.
Ich und jeder andere habe mich auch an die Spielregeln zu halten. Mache ich das nicht bekomme ich Ärger. Warum sollte das für juristische Personen, egal wie groß, anders sein?
Manuel
Das Gesetz ist in Ordnung. Die Auslegung dazu ist sehr abenteuerlich. Wir erwarten seitens des Gesetzgebers Ausführungsbestimmungen, die auch zugesagt sind. Da es europaweit harmonisiert werden muss, kann es sein, dass es nicht bis zum Start der Bundescloud warten muss.
Bis dahin, immer wieder Berge an Zustimmungen einholen nicht vergessen.
Bis dahin, immer wieder Berge an Zustimmungen einholen nicht vergessen.
https://www.golem.de/news/bedenken-zu-microsoft-365-datenschuetzer-will- ...
Zitat: "Konsequenz könnte laut Hasse sein, dass die Software nicht mehr verwendet werden kann. Allerdings wolle er nun zunächst herausfinden, wie stark sie in der Unternehmerschaft verbreitet sei. Zudem wolle er unter anderem mit der Industrie- und Handelskammer über die Auswirkungen des Beschlusses sprechen."
Süß, was dabei wohl rauskommt? 🤔
Spoiler: Ist natürlich nur der Thüringische DSB ... d.h. in Thüringen ist die SW dann vielleicht, irgendwann, evtl. verboten 🤭
Zitat: "Konsequenz könnte laut Hasse sein, dass die Software nicht mehr verwendet werden kann. Allerdings wolle er nun zunächst herausfinden, wie stark sie in der Unternehmerschaft verbreitet sei. Zudem wolle er unter anderem mit der Industrie- und Handelskammer über die Auswirkungen des Beschlusses sprechen."
Süß, was dabei wohl rauskommt? 🤔
Spoiler: Ist natürlich nur der Thüringische DSB ... d.h. in Thüringen ist die SW dann vielleicht, irgendwann, evtl. verboten 🤭
Ich bin absoluter Befürworter der DSGVO weil sie nicht nur gut gemeint sondern eigentlich auch gut gemacht ist. Andere Gesetze sind viel schlimmer zu verstehen, anzuwenden, komplizierter und bieten mehr Raum für Schlupflöcher. Natürlich ist die DSGVO nicht perfekt. Vor allem ist es für kleinere Unternehmen eine echte Bürde und das aufzuweichen stellt einen vor ganz neue Probleme. Aber Konzerne wie Microsoft haben die Mittel (beim Steuer sparen schaffen sie es ja auch, sei es noch so kompliziert) und müssen akzeptieren das ihr Handeln Grenzen hat. Ja es gibt Realitäten aber das begründet ja keine Verhinderung von Neuregelungen.
In Kolumbien überlegen sie jetzt ernsthaft wie man Kokain-Anbau legalisiert um die Koka-Bauern zu entkriminalisieren. Wenn man erstmal anfängt Gesetze der Realität anzupassen eröffnen sich natürlich viele neue Wege
Super Blog Herr Born und guter Hinweis. Allerdings müsste das hier technisch gesehen Werbung sein und der Zusammenhang zwischen Webseite und Forum-User verdient vielleicht einen offensichtlicheren Hinweis.
In Kolumbien überlegen sie jetzt ernsthaft wie man Kokain-Anbau legalisiert um die Koka-Bauern zu entkriminalisieren. Wenn man erstmal anfängt Gesetze der Realität anzupassen eröffnen sich natürlich viele neue Wege
Super Blog Herr Born und guter Hinweis. Allerdings müsste das hier technisch gesehen Werbung sein und der Zusammenhang zwischen Webseite und Forum-User verdient vielleicht einen offensichtlicheren Hinweis.
Also wir prüfen gerade bei uns den Einsatz von Azure und haben auch schon entsprechende Dokumente von einem externen Berater erhalten.
In diesem steht u.a. sowas:
Das heißt doch so viel wie: Wenn wir die Vorteile durch Microsoft365 gut begründen können, dann kann man teilweise auf den Datenschutz verzichten bzw. auf Unklarheiten im Datenschutz?!
Ich finde das schwierig, weil die Verantwortung trägt der Betrieb, nicht der externe Berater oder Microsoft. Damit ist für mich zumindest das Thema Azure und Co. fürs erste gestorben. Mal sehen wie sich das noch entwickelt.
In diesem steht u.a. sowas:
[...]
Es kollidieren Verfassungsnormen und es vieles im Unklaren.
Auf technischer und organisatorischer Ebene sind dies beispielsweise das berechtigte Interesse einer erhöhten IT-Sicherheit, eine flexible Skalierung der Rechnerkapazitäten, modernes kollaboratives Arbeiten, fehlende
Fachkräfte zum Betrieb von On-Premise-Strukturen bei gleichzeitigen wachsenden Anforderungen der IT-Infrastruktur und viele Argumente mehr.
[...]
Es kollidieren Verfassungsnormen und es vieles im Unklaren.
Auf technischer und organisatorischer Ebene sind dies beispielsweise das berechtigte Interesse einer erhöhten IT-Sicherheit, eine flexible Skalierung der Rechnerkapazitäten, modernes kollaboratives Arbeiten, fehlende
Fachkräfte zum Betrieb von On-Premise-Strukturen bei gleichzeitigen wachsenden Anforderungen der IT-Infrastruktur und viele Argumente mehr.
[...]
Das heißt doch so viel wie: Wenn wir die Vorteile durch Microsoft365 gut begründen können, dann kann man teilweise auf den Datenschutz verzichten bzw. auf Unklarheiten im Datenschutz?!
Ich finde das schwierig, weil die Verantwortung trägt der Betrieb, nicht der externe Berater oder Microsoft. Damit ist für mich zumindest das Thema Azure und Co. fürs erste gestorben. Mal sehen wie sich das noch entwickelt.
Das heißt doch so viel wie: Wenn wir die Vorteile durch Microsoft365 gut begründen können, dann kann man teilweise auf den Datenschutz verzichten bzw. auf Unklarheiten im Datenschutz?!
Nee, das steht da nicht, das möchtest Du höchstens reinlesen
Das ist erstmal nur Marketing-Gewäsch, warum ne Cloud-Lösung sinnvoll sein kann. Das ist doch völlig unbeleckt von jeder DSGVO-Einmischung und kann in jede Sprache (und Land) dieser Welt übersetzt werden.
Die Dogmatik der DSGVO ist ja - je nach Sichtweise - die Problematik des Gesetzes. Wenn Du die aushebeln würdest mit dem Argument: war günstiger und sinnvoller ... dann kannste DSGVO gleich vergessen.
Zitat von @Visucius:
Nee, das steht da nicht, das möchtest Du höchstens reinlesen
Das ist erstmal nur Marketing-Gewäsch, warum ne Cloud-Lösung sinnvoll sein kann. Das ist doch völlig unbeleckt von jeder DSGVO-Einmischung und kann in jede Sprache (und Land) dieser Welt übersetzt werden.
Die Dogmatik der DSGVO ist ja - je nach Sichtweise - die Problematik des Gesetzes. Wenn Du die aushebeln würdest mit dem Argument: war günstiger und sinnvoller ... dann kannste DSGVO gleich vergessen.
Das heißt doch so viel wie: Wenn wir die Vorteile durch Microsoft365 gut begründen können, dann kann man teilweise auf den Datenschutz verzichten bzw. auf Unklarheiten im Datenschutz?!
Nee, das steht da nicht, das möchtest Du höchstens reinlesen
Das ist erstmal nur Marketing-Gewäsch, warum ne Cloud-Lösung sinnvoll sein kann. Das ist doch völlig unbeleckt von jeder DSGVO-Einmischung und kann in jede Sprache (und Land) dieser Welt übersetzt werden.
Die Dogmatik der DSGVO ist ja - je nach Sichtweise - die Problematik des Gesetzes. Wenn Du die aushebeln würdest mit dem Argument: war günstiger und sinnvoller ... dann kannste DSGVO gleich vergessen.
Also ein externer Dienstleister der versucht zu begründen weshalb man es durchaus machen kann, obwohl er davor ausfürlich erklärt hat warum man es eigentlich nicht machen kann xD Tolles Ding.
Das Problem ist ja nicht der Wunsch zur DSGVO. Man findet bestimmt wenig Leute, die deren Ansinnen verteufeln. Das Problem ist - wie immer in der EU - die Umsetzung.
Ist zwar ein EU-Gesetz, wird aber unterschiedlich "scharf" in den einzelnen Ländern ausgelegt und verfolgt und speziell in D gibts dann nicht mal nen zentralen Ansprechpartner sondern irgendwelche Wichtigtuer ohne Richtlinien-Kompetenz und Entscheidungsbefugnis dürfen sich da für ihr jeweiliges "Gau" aufplustern ohne effizient Lösungen präsentieren zu müssen!
Da soll dann Microsoft/Redmond mit so jemandem wie Grethel/Saarland oder Sommer/Bremen in ihrem Beamten-Elfenbeinturm - ne Lösung auskasperln. Und komisch, da kommt selbst nach 5 Jahren irgendwie nix zusammen
Statt das da einfach ein Ansprechpartner auf EU-Ebene Tacheles redet und dann aber auch für die Konsequenzen gerade steht. Ist ja jetzt nicht so, als hätten wir ganz dolle Alternativen, die wir einfach nur anwerfen müssten. Und die Welt um die EU herum ... die dreht sich einfach weiter.
Am Ende wälzt man es auf den Bäckermeister ab, der verklagt wird, weil er seine Bestellungen über nen MS365-Exchange verschickt hat und sich die Brötchen in ihren Persönlichkeitsrechten genötigt sehen könnten
Aber gut, warum sollte dieser Zirkus anders verlaufen als beim Klima-Gedönse. Wo auch jeder über "uns" lacht und einfach seinen Stiefel weitermacht während wir ihm Mrd. in den Rachen werfen, damit er unsere "Segnungen" gutheißt.
Ist zwar ein EU-Gesetz, wird aber unterschiedlich "scharf" in den einzelnen Ländern ausgelegt und verfolgt und speziell in D gibts dann nicht mal nen zentralen Ansprechpartner sondern irgendwelche Wichtigtuer ohne Richtlinien-Kompetenz und Entscheidungsbefugnis dürfen sich da für ihr jeweiliges "Gau" aufplustern ohne effizient Lösungen präsentieren zu müssen!
Da soll dann Microsoft/Redmond mit so jemandem wie Grethel/Saarland oder Sommer/Bremen in ihrem Beamten-Elfenbeinturm - ne Lösung auskasperln. Und komisch, da kommt selbst nach 5 Jahren irgendwie nix zusammen
Statt das da einfach ein Ansprechpartner auf EU-Ebene Tacheles redet und dann aber auch für die Konsequenzen gerade steht. Ist ja jetzt nicht so, als hätten wir ganz dolle Alternativen, die wir einfach nur anwerfen müssten. Und die Welt um die EU herum ... die dreht sich einfach weiter.
Am Ende wälzt man es auf den Bäckermeister ab, der verklagt wird, weil er seine Bestellungen über nen MS365-Exchange verschickt hat und sich die Brötchen in ihren Persönlichkeitsrechten genötigt sehen könnten
Aber gut, warum sollte dieser Zirkus anders verlaufen als beim Klima-Gedönse. Wo auch jeder über "uns" lacht und einfach seinen Stiefel weitermacht während wir ihm Mrd. in den Rachen werfen, damit er unsere "Segnungen" gutheißt.
Natürlich kann man die DSGVO nicht einfach übergehen weil es kein Personal gab...
Diese "Berater" und diverse Dienstleister haben ihr Geschäft schon voll auf die MS Cloud ausgerichtet. Da wird dann, teils ziemlich heftig und eindringlich, Stimmung gemacht. Am Ende ist der Berater aber der Erste, der sich aus der Verantwortung heraus hält. Das ist nicht nur im Bezug auf IT und DSGVO so, da muss man sich nur PWC und Wirecard anschauen (und bitte auch gleich die WPK und wer da das Sagen hat und fest legt was geprüft wird).
Am Ende ist immer der Unternehmer verantwortlich - und das ist eigentlich auch nicht falsch. Es ist nur so ein furchtbar langer Prozess bis es mal klare Vorgaben und Richtlinien gibt.
Diese "Berater" und diverse Dienstleister haben ihr Geschäft schon voll auf die MS Cloud ausgerichtet. Da wird dann, teils ziemlich heftig und eindringlich, Stimmung gemacht. Am Ende ist der Berater aber der Erste, der sich aus der Verantwortung heraus hält. Das ist nicht nur im Bezug auf IT und DSGVO so, da muss man sich nur PWC und Wirecard anschauen (und bitte auch gleich die WPK und wer da das Sagen hat und fest legt was geprüft wird).
Am Ende ist immer der Unternehmer verantwortlich - und das ist eigentlich auch nicht falsch. Es ist nur so ein furchtbar langer Prozess bis es mal klare Vorgaben und Richtlinien gibt.
Hier hat mal einer das Dilemma schön zusammengefasst:
https://www.heise.de/meinung/Microsoft-365-Microsoft-bewegt-sich-die-Dat ...
https://www.heise.de/meinung/Microsoft-365-Microsoft-bewegt-sich-die-Dat ...
Zitat von @Visucius:
Hier hat mal einer das Dilemma schön zusammengefasst:
https://www.heise.de/meinung/Microsoft-365-Microsoft-bewegt-sich-die-Dat ...
Und im Forum gibts zu Recht einen schönen Shitstorm.Hier hat mal einer das Dilemma schön zusammengefasst:
https://www.heise.de/meinung/Microsoft-365-Microsoft-bewegt-sich-die-Dat ...
Sobald es an Ursachen geht wird der Artikel schön vage. Warum sollte ein europäischer Anbieter die selben Probleme haben wie ein US Anbieter? - Hat er nicht, weil er nicht den US Gesetzen unterliegt und europäisches Recht mit der DSGVO vereinbar ist. So Sachen wie "Grundrechte der Firmen" sind da noch kreative Rumschwurbelei.
Zitat von @ukulele-7:
Sobald es an Ursachen geht wird der Artikel schön vage. Warum sollte ein europäischer Anbieter die selben Probleme haben wie ein US Anbieter? - Hat er nicht, weil er nicht den US Gesetzen unterliegt und europäisches Recht mit der DSGVO vereinbar ist. So Sachen wie "Grundrechte der Firmen" sind da noch kreative Rumschwurbelei.
Zitat von @Visucius:
Hier hat mal einer das Dilemma schön zusammengefasst:
https://www.heise.de/meinung/Microsoft-365-Microsoft-bewegt-sich-die-Dat ...
Und im Forum gibts zu Recht einen schönen Shitstorm.Hier hat mal einer das Dilemma schön zusammengefasst:
https://www.heise.de/meinung/Microsoft-365-Microsoft-bewegt-sich-die-Dat ...
Sobald es an Ursachen geht wird der Artikel schön vage. Warum sollte ein europäischer Anbieter die selben Probleme haben wie ein US Anbieter? - Hat er nicht, weil er nicht den US Gesetzen unterliegt und europäisches Recht mit der DSGVO vereinbar ist. So Sachen wie "Grundrechte der Firmen" sind da noch kreative Rumschwurbelei.
Kannst du das rechtlich auch begründen?
Mindestens 99,9% der Rechtshilfeersuchen gehen in beide Richtungen durch und es gibt auch noch inoffizielle "Amtshilfe".
Ich würde Mal versuchen in der Realität den Juristen zu spielen.
Zitat von @2423392070:
Kannst du das rechtlich auch begründen?
https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:62018CJ031 ...Zitat von @ukulele-7:
Sobald es an Ursachen geht wird der Artikel schön vage. Warum sollte ein europäischer Anbieter die selben Probleme haben wie ein US Anbieter? - Hat er nicht, weil er nicht den US Gesetzen unterliegt und europäisches Recht mit der DSGVO vereinbar ist. So Sachen wie "Grundrechte der Firmen" sind da noch kreative Rumschwurbelei.
Zitat von @Visucius:
Hier hat mal einer das Dilemma schön zusammengefasst:
https://www.heise.de/meinung/Microsoft-365-Microsoft-bewegt-sich-die-Dat ...
Und im Forum gibts zu Recht einen schönen Shitstorm.Hier hat mal einer das Dilemma schön zusammengefasst:
https://www.heise.de/meinung/Microsoft-365-Microsoft-bewegt-sich-die-Dat ...
Sobald es an Ursachen geht wird der Artikel schön vage. Warum sollte ein europäischer Anbieter die selben Probleme haben wie ein US Anbieter? - Hat er nicht, weil er nicht den US Gesetzen unterliegt und europäisches Recht mit der DSGVO vereinbar ist. So Sachen wie "Grundrechte der Firmen" sind da noch kreative Rumschwurbelei.
Kannst du das rechtlich auch begründen?
Seite 25 ff.,
Mindestens 99,9% der Rechtshilfeersuchen gehen in beide Richtungen durch und es gibt auch noch inoffizielle "Amtshilfe".
Nicht relevant, du hast mal wieder das Thema verfehlt.Ich würde Mal versuchen in der Realität den Juristen zu spielen.
Unnütze Provokation, wie üblich.
Ich weiß gar nicht was du mir dem Schremm willst. Ein Blick zu den Statistiken der Rechtshilfeersuchen wäre der richtige Link. Die US Behörden und Gerichte bekommen, falls alle Anträge hier gewillt und dann gilt deutsches Prozessrecht.
Also erkläre uns Mal, was der Verweis auf Schremm belegen soll, außer Telegram-Hobbyjuristen Niveau und Verständnis?
Stand der Dinge, samt Politik ist hier in Kurzform aktuell zusammengefasst: https://www.lto.de/recht/justiz/j/reform-internationale-beweisaufnahme-g ...
Also erkläre uns Mal, was der Verweis auf Schremm belegen soll, außer Telegram-Hobbyjuristen Niveau und Verständnis?
Stand der Dinge, samt Politik ist hier in Kurzform aktuell zusammengefasst: https://www.lto.de/recht/justiz/j/reform-internationale-beweisaufnahme-g ...
Zitat von @kgborn:
Zum heise-Beitrag hatte ich ein paar "Hintergründe" aufgezeigt - das Mädel und der Herr sind Rechtsanwälte bei reuschlaw - DSGVO Consultants ....
MS 365 DSGVO-Konformität: Merkwürdiger "Meinungsartikel" bei heise
Da ist in den Kommentaren auch was zu einem FAZ-Beitrag verlinkt - auch von drei Juristen (ein Ex-Chef der bayrischen Datenschutzaufsicht, eine Richterin als Datenschutzbeauftragte und ein Prof. auf dem Gebiet). Die offenbaren die offensichtliche Hilflosigkeit der Juristen auf diesem Feld - imho.
Zitat von @ukulele-7:
Sobald es an Ursachen geht wird der Artikel schön vage. Warum sollte ein europäischer Anbieter die selben Probleme haben wie ein US Anbieter? - Hat er nicht, weil er nicht den US Gesetzen unterliegt und europäisches Recht mit der DSGVO vereinbar ist. So Sachen wie "Grundrechte der Firmen" sind da noch kreative Rumschwurbelei.
Zitat von @Visucius:
Hier hat mal einer das Dilemma schön zusammengefasst:
https://www.heise.de/meinung/Microsoft-365-Microsoft-bewegt-sich-die-Dat ...
Und im Forum gibts zu Recht einen schönen Shitstorm.Hier hat mal einer das Dilemma schön zusammengefasst:
https://www.heise.de/meinung/Microsoft-365-Microsoft-bewegt-sich-die-Dat ...
Sobald es an Ursachen geht wird der Artikel schön vage. Warum sollte ein europäischer Anbieter die selben Probleme haben wie ein US Anbieter? - Hat er nicht, weil er nicht den US Gesetzen unterliegt und europäisches Recht mit der DSGVO vereinbar ist. So Sachen wie "Grundrechte der Firmen" sind da noch kreative Rumschwurbelei.
Zum heise-Beitrag hatte ich ein paar "Hintergründe" aufgezeigt - das Mädel und der Herr sind Rechtsanwälte bei reuschlaw - DSGVO Consultants ....
MS 365 DSGVO-Konformität: Merkwürdiger "Meinungsartikel" bei heise
Da ist in den Kommentaren auch was zu einem FAZ-Beitrag verlinkt - auch von drei Juristen (ein Ex-Chef der bayrischen Datenschutzaufsicht, eine Richterin als Datenschutzbeauftragte und ein Prof. auf dem Gebiet). Die offenbaren die offensichtliche Hilflosigkeit der Juristen auf diesem Feld - imho.
Aber Schremm und Link zu Facebook-Urteil... 🤡
Zitat von @kgborn:
Die Sache ist ziemlich einfach. Die EU hat gerade den Beschluss zur Angemessenheitsentscheidung gefällt und lässt den von den 27 Datenschutzbehörden der EU-Mitglieder begutachten, um den dann zu verabschieden.
Schrems prüft das Ganze und wird mit hoher Wahrscheinlichkeit Klage von dem EuGH erheben, weil sich mit der Executive Order zum Transatlantic Data Transfer Framework im Vergleich zum Schrems II Urteil nichts geändert hat. Die Daten werden weiterhin in Überwachungssysteme der USA eingespeist - und der EuGH wird auch klären müssen, ob eine "Behörde" in den USA, die nur vorformulierte Bescheide auf DSGVO-Anfragen versenden kann, die juristischen Ansprüche europäischer Nutzer gemäß DSGVO genügend berücksichtigen kann. Es gibt da durchaus berechtigte Zweifel - u.a. von Max Schrems, der auf dem Gebiet promoviert hat ... zugegeben, aktuell alles Spekulation, bis der Angemessenheitsbeschluss vom EuGH überprüft wurde. Hält der, ist für die Firmen alles in Ordnung - anderfalls fällt den Leuten das Problem wieder auf dei Füße.
EU-Kommission fällt vorläufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework
Dein Link bezieht sich auf Rechtshilfeersuchen - hilft imho aber im aktuellen Fall wenig weiter. Nun ja, das Schöne an der Geschichte: Ich muss nicht mehr auf Jura machen - das entscheiden sehr fitte Juristen am EuGH . Und dann lautet die Gretchenfrage: Machen manche Firmen ein langes Gesicht oder nicht ... es bleibt spannend, so, oder so
Zitat von @2423392070:
Ich weiß gar nicht was du mir dem Schremm willst. Ein Blick zu den Statistiken der Rechtshilfeersuchen wäre der richtige Link. Die US Behörden und Gerichte bekommen, falls alle Anträge hier gewillt und dann gilt deutsches Prozessrecht.
Also erkläre uns Mal, was der Verweis auf Schremm belegen soll, außer Telegram-Hobbyjuristen Niveau und Verständnis?
Stand der Dinge, samt Politik ist hier in Kurzform aktuell zusammengefasst: https://www.lto.de/recht/justiz/j/reform-internationale-beweisaufnahme-g ...
Ich weiß gar nicht was du mir dem Schremm willst. Ein Blick zu den Statistiken der Rechtshilfeersuchen wäre der richtige Link. Die US Behörden und Gerichte bekommen, falls alle Anträge hier gewillt und dann gilt deutsches Prozessrecht.
Also erkläre uns Mal, was der Verweis auf Schremm belegen soll, außer Telegram-Hobbyjuristen Niveau und Verständnis?
Stand der Dinge, samt Politik ist hier in Kurzform aktuell zusammengefasst: https://www.lto.de/recht/justiz/j/reform-internationale-beweisaufnahme-g ...
Die Sache ist ziemlich einfach. Die EU hat gerade den Beschluss zur Angemessenheitsentscheidung gefällt und lässt den von den 27 Datenschutzbehörden der EU-Mitglieder begutachten, um den dann zu verabschieden.
Schrems prüft das Ganze und wird mit hoher Wahrscheinlichkeit Klage von dem EuGH erheben, weil sich mit der Executive Order zum Transatlantic Data Transfer Framework im Vergleich zum Schrems II Urteil nichts geändert hat. Die Daten werden weiterhin in Überwachungssysteme der USA eingespeist - und der EuGH wird auch klären müssen, ob eine "Behörde" in den USA, die nur vorformulierte Bescheide auf DSGVO-Anfragen versenden kann, die juristischen Ansprüche europäischer Nutzer gemäß DSGVO genügend berücksichtigen kann. Es gibt da durchaus berechtigte Zweifel - u.a. von Max Schrems, der auf dem Gebiet promoviert hat ... zugegeben, aktuell alles Spekulation, bis der Angemessenheitsbeschluss vom EuGH überprüft wurde. Hält der, ist für die Firmen alles in Ordnung - anderfalls fällt den Leuten das Problem wieder auf dei Füße.
EU-Kommission fällt vorläufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework
Dein Link bezieht sich auf Rechtshilfeersuchen - hilft imho aber im aktuellen Fall wenig weiter. Nun ja, das Schöne an der Geschichte: Ich muss nicht mehr auf Jura machen - das entscheiden sehr fitte Juristen am EuGH . Und dann lautet die Gretchenfrage: Machen manche Firmen ein langes Gesicht oder nicht ... es bleibt spannend, so, oder so
Der Verweis auf z. B. Rechtshilfeersuchen bezieht auf den Mythos Sicherheit usw...
Im Schremm Urteil geht es um Facebook. Nicht viel mehr.
Die Behauptung eine Cloud ist unsicher, weil die in der staatlichen Hoheit steht ist Quatsch, weil normales Prozessrecht die Tür zu jedem RZ öffnet. Steuerrecht das selbe...
Wenn der Ami aus dem privaten RZ eine Ukulele oder was auch immer haben will, dann stellt er einen Antrag und der geht fast immer durch, wenn es was zu hohlen gibt. Da spielt Datenschutz überhaupt keine Rolle und der EuGH ist auch egal.
Alles wird auf Basis von Prozessrecht geholt, selbst Patientenakten. Selbst die Akten von Scholz Urologen sind nicht sicher und dabei geht es dann nicht um Datenschutz.
Parallel dazu gibt es noch Mal die Arbeit der Geheimdienste. Die haben ganz andere Rahmen.
Übrigens gibt es Gründe warum die Anzahl der Rechtshilfeersuchen so stark gestiegen sind. Ein Grund ist das unqualifizierte Gesafte mit Datenschutz.
Wenn ein gesetzlicher Grund vorliegt, dann ist Datenschutz kein Thema. Facebooks Streit geht nicht um Gesetze die Facebook für dich anwendet.
Wir müssen Abhörschnittstellen für zwei unserer Dienste vorhalten. Vor 20 Jahren kamen vielleicht noch Beamte vom LKA/BKA. Jetzt geht das Remote und der Beschluss dazu wird manchmal telefonisch für den nächsten oder übernächsten Tag vom Gericht angekündigt, da wird schon zugegriffen.
Es ist immer wieder ein Schauspiel, was "Administratoren" hier abgeben zu dem Thema.
Alle Dax Unternehmen sind in der US Cloud, Behörden, die Bundesregierung... Aber hier gibt es die ganz andere Brille, die den Querblick ermöglicht.
Natürlich haben die alle keine Ahnung, und mangels absurder VLAN-Konstruktionen hier keinen Zugriff.
Genau so ist es. Die Politik schafft es nur nicht ins Gesetz.
Zitat von @kgborn:
Zum heise-Beitrag hatte ich ein paar "Hintergründe" aufgezeigt - das Mädel und der Herr sind Rechtsanwälte bei reuschlaw - DSGVO Consultants ....
MS 365 DSGVO-Konformität: Merkwürdiger "Meinungsartikel" bei heise
Zum heise-Beitrag hatte ich ein paar "Hintergründe" aufgezeigt - das Mädel und der Herr sind Rechtsanwälte bei reuschlaw - DSGVO Consultants ....
MS 365 DSGVO-Konformität: Merkwürdiger "Meinungsartikel" bei heise
Mit dem Artikel hat sich reuschlaw keinen Gefallen getan, auch wenn es nur Heise ist. Es geht nicht um einen Hersteller, sondern einen Auftragsverarbeiter. Die Grundrechtsproblematik von Produktwarnungen liegt in der Projektion rechtlicher Anforderungen auf unsichere, mit Prognoseentscheidungen belastete Sachverhalte. Hier ist es, wenn man so möchte, keine "Warnung" vor dem Produkt, sondern vor dem Formularvertrag, der natürlich direkt einer rechtlichen Bewertung unter anderem durch Aufsichtsbehörden zugänglich ist. Wenn man an die Nichtkonformität eines Angebots glaubt, ist der Zugriff auf die Anwender auch kein "Umweg", sondern der rechtlich vorgegebene.
Andererseits, was sollen sie machen? Die Freude, einander zu diesen Fragen nach dem Schema "Eins-zwei-drei-Verhältnismäßigkeit" zu beharken, ist mir früh abhanden gekommen. Eine Eigenschaft, die ich grundsätzlich selbst bei spezialisierten Datenschutzrechtlern vermute und für die ich regelmäßig Indizien finde, wie etwa eine solche Themaverfehlung.
Effektiver Datenschutz kann meines Erachtens nicht primär rechtlich erzielt werden, und auch politisch wäre ein koordiniertes Vorgehen Richtung europäischer "Datensouveränität" erforderlich, bevor man datenschutzrechtlich Wunschdenken formuliert. Dazu ist schon viel gesagt worden, aber nichts annähernd Aussichtsreiches sichtbar, da zahlreiche gesellschaftspolitische Schwerpunktsetzungen dagegen arbeiten. Diese Situation macht juristische Präzision im Datenschutzrecht etwa so hilfreich wie das aufmerksame Studium eines Cookie-Banners.
Grüße
Richard
Hallo,
Grüße
lcer
Zitat von @c.r.s.:
Diese Situation macht juristische Präzision im Datenschutzrecht etwa so hilfreich wie das aufmerksame Studium eines Cookie-Banners.
Nettes Beispiel. Warum habe ich auf meiner Homepage ein Cookie-Banner? Um Abmahn-Anwaltsschreiben vorzubeugen - nicht um Rechte von Usern oder sich vor Strafverfolgung zu schützen.Diese Situation macht juristische Präzision im Datenschutzrecht etwa so hilfreich wie das aufmerksame Studium eines Cookie-Banners.
Grüße
lcer
Zitat von @2423392070:
Die Behauptung eine Cloud ist unsicher, weil die in der staatlichen Hoheit steht ist Quatsch, weil normales Prozessrecht die Tür zu jedem RZ öffnet. Steuerrecht das selbe...
Für mich macht es einen gewaltigen Unterschied. Wenn ich vor einem US Gericht verklagt werde und ein Auskunftsersuchen von US an DE Behörden meine Daten offen legt dann ist das natürlich schlecht. Allerdings erfahre ich davon (wenn auch im Nachhinein) und kann mich in einem irgendwie gearteten, rechtsstaatlichen Verfahren dagegen juristisch wehren (vielleicht nicht praktisch aber zumindest theoretisch).Die Behauptung eine Cloud ist unsicher, weil die in der staatlichen Hoheit steht ist Quatsch, weil normales Prozessrecht die Tür zu jedem RZ öffnet. Steuerrecht das selbe...
Wenn die USA aufgrund eines geheimen Beschlusses vom FISC ermächtigt werden, von einem Unternehmen (US oder DE) alle Daten aus einem RZ in Europa über z.B. nicht Amerikaner anzufordern, das nicht öffentlich gemacht werden darf und das Unternehmen mit empfindlichen Strafen bei Nichteinhaltung konfrontiert ist, dann weiß ich davon zwar nie etwas, gegen EU und DE Recht wird aber dennoch verstoßen.
US Prozessrecht ist sicherlich nicht fair aber in irgend einer Form pseudo rechtsstaatlich und meist eine Einzelfallentscheidung. Der FISC erlaubt den Geheimdiensten so ziemlich alles. Auch Wirtschaftsspionage wenn sie US Zwecken dient.
Ich sehe die Motivation hinter Schrems I & II nicht bei Facebook. Es ist ja auch nicht nur Facebook an die Entscheidung des EUGH gebunden.