Microsoft schafft laut eigener Aussage eine souveräne Cloud für Europa, um die Datenschutzbedenken auf dem alten Kontinent zu adressieren. Ein Microsoft-Manager hat nun aber unter Eid bestätigt: Eine Garantie, dass keine Daten an US-Behörden weiteregegeben werden, ist nicht möglich.
Hmm. Ich bin mir nicht sicher, ob das wirklich illegal ist. Die DSGVO verlangt ein angemessenes Sicherheitsniveau. Alle Firmen auszuschließen, die eine relevante Präsenz in den USA haben, wäre wahrscheinlich deutlich unangemessen.
Wie Wikipedia es so schön zusammenfasst:
Und da kann man gar nicht so viel drumrum reden: Wenn US-Geheimdienste auf die Daten zugreifen können, gerade unter einem wildgewordenen Präsidenten Trump, dann kannst du keine dem Schutzniveau der EU entsprechende Datenverarbeitung gemäß den Grundsätzen der DSGVO nachweisen. Und wenn du das nicht nachweisen kannst, dann darfst du auch keine Daten verarbeiten. Und ja, das wird noch ein richtiger Spaß für alle anderen Firmen, die in den USA Niederlassungen haben, für alle Firmen, die mit US-Firmen Geschäfte machen und Daten übermitteln müssen und so weiter.
Da geht es um Datentransfers in ein Drittland. Eben das passiert nicht, wenn die Data Centers in der EU gebaut werden. Diese Vorschriften sind dann unerheblich.
Was hier passiert ist: Microsoft sagt, dass bei Datenzentren in der EU keine Übertragung in ein Drittland geschieht. Microsoft wird dann in Frankreich vor dem Senat unter Eid gefragt, ob sie garantieren können, dass keine US-Geheimdienste auf die in der EU gespeicherten Daten zugreifen. Microsoft Manager sagt, dass sie das nicht können und damit bricht die Fassade halt zusammen.
Der Datentransfer passiert, wenn die three letter company auf die Daten zugreift. Spätestens. Man könnte argumentieren, dass die verfügbarkeit schon ein problem darstellt.
Kann man argumentieren, aber ich bezweifle, dass das ein DSGVO-Problem ist.
Nein, das ist(!) das Argument und es ist ein DSGVO-Problem. Auch wenn du gerne die Augen davor verschließen willst
Die DSGVO verlangt ein angemessenes Sicherheitsniveau. Ich glaube nicht, dass das heißt, dass man Anbieter mit einer Präsenz in den USA (und wahrscheinlich einigen anderen Staaten) ausschließen muss. Ich glaube auch nicht, dass man keine Auslandspräsenz haben darf. Das erscheint unverhältnismäßig.
Oder übersehe ich was?
Denkst du, dass microsoft die softwareinfrastruktur auf eu servern fundamental anders/sicherer aufbaut als in us servern? Windows selbst ist da schon ein problem wenn man bedenkt, dass linus Torvalds selbst schon angedeutet hat, dass die nsa eine backdoor haben wollte, bei open source ist das halt was anderes als bei closed source. Wenn microsoft also wirklich garantieren würde, dass es sowas wie backdoors oder datenaustausch zu us servern nicht gibt, hätten die das auch unter eid, haben sie aber nicht. Warum sollte man also nicht davon ausgehen, dass die usa auf unsere daten zugreifen kann? Microsoft will sicher nicht in den usa in die bredoullie kommen weil man den geheimdiensten den Zugriff verweigert.
Ob es die Möglichkeit im Prinzip gibt, ist nicht die Frage. Die Frage ist, ob man von europäischen Durchschnittsfirmen verlangen kann, dass sie ihre Daten so sichern, dass die Geheimdienste von Supermächten nicht dran kommen.
Die USA haben seit vielen Jahren Gesetze, die es ihnen erlauben, auf Daten von US-Firmen zuzugreifen — unabhängig vom Standort der Datenzentren.
D.h. US-Recht ist inkompatibel mit EU-Datenschutzgestzen, da keine US-Firma garantieren kann, das die US-Behörden nicht auf Daten von Europäischen Bürgern in der EU in Europäischen Datenzentren, zugreifen können. Würde eine US-Firma im Zweifel keine Daten ausleiten, würde sie gegen US-Recht verstoßen.