Seite 2 von 4 ErsteErste 1234 LetzteLetzte
Ergebnis 11 bis 20 von 36

Thema: Verhindert der PATRIOT Act die datenschutzkonforme Beauftragung von US-Dienstleistern

  1. #11
    Registriert seit
    10.02.2011
    Beiträge
    1.921

    Standard

    Ich bin sehr erleichtert über die Fehlinterpretation zu Office 365. Die Meldung ist von MS selbst und ohne Quellenangabe.

    Es scheitert nicht erst bei der Weitergabekontrolle und der Benachrichtigung der Betroffenen, sondern bereits bei der Zugriffskontrolle, wenn das bisher übliche Pull-Verfahren eingesetzt wird. Das heißt, daß der Kontrollpflicht in wesentlichen Teilen nicht nachgekommen werden kann.
    Zusammengefaßt stimme ich Ihnen zu, Jochen. Deswegen auch die Frage nach der Möglichkeit, einen anderen Anbieter nutzen zu können. Es bleibt die bereits erwähnte Abwägung, die firmenintern geklärt werden sollte. Ergibt sich keine Möglichkeit, den Anbieter zu wechseln, sollte/könnte mit der ASB zusammen ein Weg gefunden werden.

  2. #12
    Registriert seit
    26.01.2011
    Beiträge
    142

    Standard

    Hallo anzolino


    ich bin gespannt was ASB hierfür vorschlagen könnte, wahrscheinlich das ähnliche wie in dem von Ihnen gefundenen Link mit ULD-Vorschlag.

    Mein naives Verständnis war, dass die Fußnote 8 in den Standartvertragsklauseln dieses Problem zumindest teilweise zu lösen versucht. Ich finde sie zwar auch wie Jochen B. nicht unbedingt problemmlösend, andererseits sind die Standardvertragsklauseln (geschweige von Safe Harbor Principles) etwas nutzlos.

    Das bedeutet für die Vorgehensweise: Immer einen eigenen Vertrag aufsetzten, den Vorschlag von ULD einbauen, von ASB genehmigen lassen? Und das gilt für jedes US- und damit verbundenes Unternehmen, nicht nur für Cloud-Lösungen.

    Als Datenschützer würde ich es begrüßen, praktisch gesehen bin ich etwas skeptisch. Wenn ich ein US-Auftragnehmer wäre, würde ich mich auch vehement gegen so eine Strafe-Klausel stemmen, da es keine in meiner Hand liegende Möglichkeit gibt der Strafe zu entgehen.

    Gruß

  3. #13
    Registriert seit
    10.02.2011
    Beiträge
    1.921

    Standard

    Hallo anaDSB.

    Eine praktische Skepsis ist durchaus angebracht, deswegen wollte ich zu einem anderen Anbieter "flüchten".
    Die Frage "Wie sieht es die ASB und wie kann es praktisch durchführbar und nachhaltig umgesetzt werden?" ist sehr spannend. Die Idee hinter der Zusammenarbeit beinhaltete im Groben zwei Überlegungen:

    Die Findung einer standardisierten Regelung und damit einhergehend auch die angepaßten Standardvertragsklauseln für diese Situationen, die eine rechtliche Absicherung ermöglichen. Die Kontrollinstanzen sollten diese mittragen, also liegt ihre Beteiligung von Beginn an nahe. Und das würde schließlich dem Auftraggeber die Vertragsgestaltung etwas erleichtern, z.B. nicht für alles einen eigenen Vertrag aufsetzen zu müssen. Die Fallgruppen des Düsseldorfer Kreises enthalten leider keine derartige Konstellation, von der jedoch eine Häufung anzunehmen ist. Oder habe ich es übersehen?

    Der zweite Punkt beinhaltete die praktische Durchführbarkeit. Wie sollen sich die Auftraggeber verhalten, wenn sich das US-Unternehmen weigert, den Vertrag mit diesen Klauseln zu unterzeichnen oder wenn der Auftragnehmer trotz Vertrag(sstrafe) die Daten herausgibt? Sind sie in solchen Fällen gezwungen, je nach Aufwand natürlich, den Auftragnehmer zu wechseln? Wie hoch wäre der max. Aufwand? Eine Erarbeitung der Alternativen ist also notwendig. Das kann mancher DSB sicher auch allein, aber ich denke, in solchen Fällen ist die Zusammenarbeit mit der ASB auch nicht verkehrt, denn sie können evtl. auch direkt beim Auftragnehmer wirken?

    Zusammengefaßt entspricht das in etwa Ihren Überlegungen.

    Wenn ich das richtig verstanden habe, enthält Klausel 5 eines der Probleme von Jochen B "...den Datenexporteur unverzüglich davon in Kenntnis zu setzen..." Ich weiß nicht, inwieweit Fußnote 8 auch als "Sonstiges" ausgelegt wird. Das könnte man nach den Darstellungen vom ULD fast annehmen und aus der Sicht ist es weniger als ein teilweiser Versuch. Sehe ich ähnlich naiv.

    Der BlnBDI schreibt "Die rechtliche Bewertung von Fällen, die grenzüberschreitende Datenflüsse beinhalten, zählt zu den schwierigsten Aufgaben überhaupt." Meine rein logische und dadurch vereinfachte Betrachtungsweise scheint demnach ungeeignet.

    Vielleicht berichtet uns Jochen ja vom weiteren Fortgang? Die Entscheidungen, wessen auch immer, sind sicher interessant - zu wissen und zu diskutieren.

    Viele Grüße
    Geändert von anzolino (27.03.2012 um 23:18 Uhr) Grund: typo

  4. #14
    Registriert seit
    03.08.2011
    Beiträge
    609

    Standard

    Der zitierte BlnBDI gibt auch folgene "Erkenntnisse" von sich:
    Zunehmend werden deutsche Unternehmen gezwungen, personenbezogene Kunden- oder Mitarbeiterdaten herauszugeben, sei es an US-Behörden, die die Daten für eigene (u.U. strafrechtliche) Ermittlungen beanspruchen, sei es an US-Unternehmen im Vorfeld von Rechtsstreitigkeiten (“Discovery”). Auszug aus dem Jahresbericht 2007

    Zu diesem Zeitpunkt lagen z.B. meine eigenen Personaldaten und meine vom Werksarzt erhobenen Gesundheitsdaten zusammen mit denen von zig-tausend anderen deutschen Dienstnehmehrn bereits 40 (vierzig) Jahre bei der US-Mutter, und heute werden es wohl einige Hunderttausend sein. Schaden ist dadurch Niemanden erwachsen. Wie man ja auch noch nichts davon hören konnte/musste, dass Schaden entstanden ist, weil die gesamten Daten eines deutschen Länder-Innenministerium von einer US-Firma verarbeitet werden - von den hierzulande nach wie vor aktiven US-Geheimdiensten mal ganz zu schweigen.

    Berufs-"Datenschützern", insbesondere den völlig überflüssigen, "Hände gebundenen" Landesbeauftragten, fällt offenbar vor lauter Langeweile und Unausgelastetsein nichts ein als herum zu stochen und aus Mücken dicke Elefanten zu machen. Völlig vorbei gegangen ist ihnen dabei der massive DV-Datenexport z.B. nach Jekaterinenburg oder gar jener seit Jahrzehnten nach Chennai, wohl mangels eigener EDV / IT- Bezüge, fernab des beruflichen Alltags.

    Stattdessen werden gröbste Datenschutz-Verstöße in den eigenen behördlichen Reihen toleriert, wenn nicht gar gefördert. Und wer sich heute aufrichtig engagiert seinem Gewissen/Diensteid und förmlichen Auftrag folgend auf die Hinterbeine stellt, ist morgen weg vom Fenster. Das ist auch schon einem Justizminister so ergangen, und besonders hartnäckige, rechtskonform arbeitende Finanzbeamte wurden mit gekaufter Ferndiagnose als "notorische Querulanten" in den vorzeitigen Ruhestand versetzt - gerade in einem Bundesland, das den "Datenschutz" erfunden zu haben behauptet neben anderen Geschichtslügen. Der DSB guckte zu und freute sich wohl, dass es ihn nicht getroffen hat...

  5. #15
    Registriert seit
    10.02.2011
    Beiträge
    1.921

    Standard

    Zitat Zitat von mainframer Beitrag anzeigen
    Mit Gruß und zum Abschluss, frei nach J.W.G.:
    Eigentlich hatte ich das ähnlich wie Jochen verstanden und war gleich ihm dankbar.

  6. #16
    Registriert seit
    10.02.2011
    Beiträge
    1.921

    Standard

    Der Jahresbericht BlnBDI 2011 beschäftigt sich mit Cloud Computing und dem Thema Standardvertrag mit Vorbehalt des Transfers der Daten in die USA, wenn staatliche Stellen der USA es fordern und der eigenen Forderung nach einer anderen Lösung als der Beauftragung eines amerikanischen Unternehmens, der noch nicht nachgekommen wurde.
    Die Nutzung von Cloud-Diensten, bei denen personenbezogene Daten entweder in Länder ohne angemessenes Datenschutzniveau exportiert oder dem unkontrollierten Zugriff ausländischer Behörden ausgesetzt werden, ist unzulässig.
    Klingt eineindeutig.

  7. #17
    Registriert seit
    26.01.2011
    Beiträge
    142

    Standard

    Zitat Zitat von anzolino Beitrag anzeigen
    Eine praktische Skepsis ist durchaus angebracht, deswegen wollte ich zu einem anderen Anbieter "flüchten".
    ...
    Die Findung einer standardisierten Regelung und damit einhergehend auch die angepaßten Standardvertragsklauseln für diese Situationen, die eine rechtliche Absicherung ermöglichen. Die Kontrollinstanzen sollten diese mittragen, also liegt ihre Beteiligung von Beginn an nahe. Und das würde schließlich dem Auftraggeber die Vertragsgestaltung etwas erleichtern, z.B. nicht für alles einen eigenen Vertrag aufsetzen zu müssen. Die Fallgruppen des Düsseldorfer Kreises enthalten leider keine derartige Konstellation, von der jedoch eine Häufung anzunehmen ist. Oder habe ich es übersehen?
    ...
    Vielleicht berichtet uns Jochen ja vom weiteren Fortgang? Die Entscheidungen, wessen auch immer, sind sicher interessant - zu wissen und zu diskutieren.
    Ich stimme Ihnen zu, aber zu einem anderen Anbieter zu flüchten hat der bDSB nicht immer die Macht. Das bedeutet auch, dass wir "gezwungen" werden in die Zeiten vor Erschaffen der Standardklauseln und Safe Harbor zurückzukehren, da der Datentransfer nach US datenschutzmäßig (wieder) flächendeckend bedenklich ist, zumindest ohne Einschaltung der ASB.

    Ich habe auch nichts gehört, dass es sich etwas tut um ein neues genehmigungsfreies Verfahren (neue Klauseln?) einzuführen.

    Bin auch gespannt, was Jochen erreicht.

    Die großen Cloud-Anbieter (und alle internationalle Konzerne) tun mir sogar ein bisschen leid, weil egal wie gut sie datenschutzmäßig ausgerüstet sind - gegen USA PATRIOT können sie nichts tun, auch mit vorgeschlagenen Klauseln. Im Falle einer eDiscovery werden die Daten der Betroffenen vertragswidrig offen gelegt, die Anbieter werden eine Vertragsstrafe zahlen - wer gewinnt?


    Grüße

  8. #18
    Registriert seit
    25.07.2011
    Beiträge
    38

    Standard

    Die Stoffsammlung wächst.

    Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat das Projekt mit Microsoft in einer eigenen Stellungnahme (9.2.2012) geschildert. In Zusammenarbeit mit Microsoft wurde die Rollenverteilung der an der Nutzung von „Office 365“-Produkten Beteiligten geklärt, und es wurden daraus datenschutzrechtliche Anforderungen an die Vertragsgestaltung abgeleitet.
    Das BayLDA geht in seiner Stellungnahme von folgendem mehrstufigen Szenario aus:
    1. Inländischer Auftrageber (AG) beauftragt Microsoft Ireland Operations Ltd. (MIO) mit der Bereitstellung von „Office 365“.
    2. MIO nimmt nicht näher spezifizierte Support Dienstleistungen der Microsoft Corporation, USA (MSC) in Anspruch (Drittland), im Rahmen derer Daten von EU nach USA übermittelt werden.
    3. MSC nimmt zur Leistungserbringung weitere Unterauftragsnehmer (unspezifiziert, evtl. Drittland) in Anspruch.

    In (1) sieht das BayLDA die Standardsituation mit Vertrag nach §11.2, §9 und Anlage zu 9.
    Für (2) sieht das BayLDA eine Auftragsdatenverarbeitung mit Vertragsverhältnis zwischen AG (EU) und MSC (Drittland). Folglich wird ein 11er Vertrag mit besonderer Berücksichtigung von 4b und 4c erwartet (Model-clauses 2010/87/EU).
    Bei (3), aber, soll es sich dann um eine Unterauftragsvergabe zwischen MSC und den nachgelagerten Auftragnehmern handeln. MSC könne hier in eigenem Namen beauftragen, müsse aber jeweils das ihr selbst auferlegte Datenschutzniveau zusichern.

    Die Auslegungen zu den Punkten (1) und (3) verstehe ich.
    Daß Punkt (2) als ADV zwischen dem AG und MSC gesehen wird überrascht mich, zumal der AG auf die (sorgfältig zu erfolgende) Auswahl keinerlei Einfluß hat. Ich verstehe dies eher als Kunstgriff, welcher MSC näher an den AG bringen soll, wodurch wiederum die vom AG durchzuführenden Kontrollen (theoretisch) einfacher sein könnten.

    Ich sehe dabei folgende Probleme: welche Weisungen soll ich denn an MSC erteilen? Habe ich denn wahrhaftigen Einfluß auf die Verarbeitung? Könnte es sich nicht vielleicht doch um Funktionsübertragung handeln? Vgl. Simitis: §11 RNrn 20, 22 und 23.

    Hinsichtlich Rollenverteilung und Vertragsgestaltung schreibt das BayLDA in der Stellungnahme zusammenfassend (Zitat):
    „Unter der Voraussetzung, dass dies so umgesetzt wird, hat das BayLDA gegenüber Microsoft erklärt, dass die Regelung der vertraglichen Beziehungen unter den Beteiligten, die an der Anwendung der „Office 365“-Produkte mitwirken, den Anforderungen des deutschen Datenschutzrechts an die Vertragsgestaltung entsprechen.
    ... und weiter zur Datenschutzkonformität
    Wir müssen allerdings darauf hinweisen, dass das BayLDA keine „Komplettprüfung“ von „Office-365“ vorgenommen hat, insbesondere keine kompletten Echt-Vertragstexte, die verwendet werden sollen, überprüft hat. Vielmehr ist auch bei „Office-365“ – wie bei jeder Auftragsdatenverarbeitung – der jeweilige Auftraggeber in der Pflicht, die datenschutzrechtlichen Anforderungen selbst zu überprüfen, um zu beurteilen, ob die tatsächlich zum Einsatz kommenden Vertragstexte den datenschutzrechtlichen Anforderungen genügen und insbesondere ob er auf dieser Basis seiner datenschutzrechtlichen Verantwortung gemäß § 11 Abs. 1 Satz 1 BDSG gerecht werden kann.“
    Es wird also noch einmal darauf hingewiesen, daß es sich bei den Vorschlägen um notwendige Voraussetzungen handelt, die für sich genommen, nicht hinreichend sein können, um die Datenschutzkonformität einer solchen Beauftragung zu gewährleisten.

    Meine Interpretation in der Zusammenfassung:
    das BayLDA hat erstens eine Konstellation beschrieben, in der ein Europäer einen anderen Europäer mit einer mehrstufigen, globalen ADV beauftragt. Zweitens wurden die jeweils dazu passenden Vertragstypen genannt. Drittens wurde der Hinweis erteilt, auf Einhaltung des Bundesdatenschutzgesetzes zu achten.

  9. #19
    Registriert seit
    22.02.2011
    Ort
    München
    Beiträge
    1.816

    Standard

    Zunächst einmal Danke für die Infos!

    Gibt's den Text auch als Ganzes im Original? Beim BayLDA hab ich nix gefunden.

    Pkt 2 ist mir auch nicht klar: wie soll ich (als Firma) mit MS USA einen
    Vertrag schliessen (und hoffen, dass er eingehalten wird), wenn das
    Geschäftsmodell von MS eben ausdrücklich vorsieht, dass ich das nun
    mal mit MS Irland mache? Hm ... Das ist wie über den Rand der Leeren
    Menge zu reden.

  10. #20
    Registriert seit
    10.02.2011
    Beiträge
    1.921

    Standard

    BayLDA ist für Euch zuständig, Jochen?

    Das ergäbe diese "Fallgruppe":

    Code:
                                                     *
                   §11.2, §9                         *
           _____________>>___________     ________>_???_>__________
           | ___________>>_________ |    |  ______>_???_>_______  |
           | |                    | |    | |         *          | |
           | |                    | |    | |         *          | |
           | |         Daten      | |    | |       Daten?       | |
           | |                    | |    | |         *          | |
      ~~~~~~~~~~~~~~            ~~~~~~~~~~~~~~       *         ~~~~~~~~~~~~~~~
      |            |            |            |       *         |             |
      |    AG      |            |   MIO      |____<_???_<______|     MSC     |
      | Controller |            | Sekundär-  |____<_???_<______|  Importeur  |
      |            |            | exporteur  |       *         |  Controller |
      |____________|            |____________|       *         |_____________|
           | |                                       *          | |       | |
           | |                                       *          | |       | |
           | |.......................................*..........| |       | |
           |.........................................*............|       | |
                  §11, §9, §4b,c, 2010/87/EG         *                    | | Daten?
                                                     *                    | |
                                               ~~~~~~~~~~~~~~___<_???_>___| |
                                               |            |___<_???_>___  |
                                               | Unterauf-  |             | |
                                               | tragnehmer |.............| |
                                               |    ?       |...............|
                                               |____________|  analog: §§11, 9,
                                                     *         §4b,c, 2010/87/EG
                                                     *
                                                     *
                        EU                           *         Drittstaat
      
      Unterauftragnehmer in EU oder Drittstaat
      >_???_> = unspezifiziert bzw. nicht näher spezifizierter Support und Unterauftragnehmer
      < > Richtung der Übermittlung
    Wenn ich mir die FAQ bei MS durchlese, finde ich das Wort "cloud". Alles andere hätte mich auch verwundert. Selbst wenn die Software nicht in einer "cloud" zur Verfügung gestellt wird, ist sie in einem Server-Pool von MS verteilt, was der Cloud gleichzusetzen wäre. Es sei denn, es wird ein dedizierter Server angemietet.

    Bay-ASB und Bär-ASB haben dann wohl unterschiedliche Ansichten, was die Cloud betrifft. Das ist nicht gut und macht das DSB/IT-Leben nicht unbedingt leichter.

    1) Ist kontrollierbar, wenn jemand in Irland kontrolliert bzw. Einsatz von Zertifikaten (kontrolliert, siehe Thread Cloud Computing, da hatten wir das einmal durchgespielt)
    2) Ist nicht kontrollierbar, also auch nur der Einsatz von Zertifikaten möglich.
    3) Ist ein Schwarzes Loch.

    Meine Interpretation ist:
    In allen drei Punkten besteht trotz der Regelung nachwievor das Problem Patriot Act und US-Behörden.
    "Unter der Voraussetzung, dass dies so umgesetzt wird,..." MS kann es schon allein deswegen ^ nicht umsetzen.
    Der Absatz zur Datenschutzkonformität erklärt zusammengefaßt das ganze Konstrukt als ungültig, da das BDSG nicht eingehalten werden kann (AG -> MIO, AG -> MSC, MSC -> UAN) Warum wird es dann erst empfohlen?
    Der Kontrollpflicht kann nur eingeschränkt nachgekommen werden.
    Geändert von anzolino (31.03.2012 um 12:38 Uhr) Grund: Skizze angepaßt: UAN in EU oder Drittstaat

Seite 2 von 4 ErsteErste 1234 LetzteLetzte

Ähnliche Themen

  1. Beauftragung von Handwerksbetrieben -> ADV?
    Von matzepan im Forum ADV Auftragsdatenverarbeitung
    Antworten: 11
    Letzter Beitrag: 03.01.2012, 09:05
  2. Datenschutzkonforme Papierentsorgung
    Von ecki.rau im Forum Gesundheit
    Antworten: 2
    Letzter Beitrag: 19.03.2010, 11:33

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •