<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=908082315970423&amp;ev=PageView&amp;noscript=1">

UPGREAT Blog

Wie transparent sind Microsoft und andere Cloudprovider in Sachen Datensicherheit?

Googelt (entschuldigung, ich meine «bingt») man nach Microsoft und Transparenz, so gelangt man in wenigen Klicks auf die Corporate Social Responsibility Site, welche eine Vielzahl an Dokumenten und Artikeln über Privatsphäre und Datasecurity beinhaltet. Darunter auch folgendes Zitat, mit welchem Microsoft verspricht, Privatsphäre zu respektieren, zu schützen und als fundamentales Menschenrecht zu betrachten.

“We recognize privacy as a fundamental human right. We support that right through our corporate operations and actions.”

Das Versprechen beruht auf sechs zentralen Pfeilern:

  • Control: Microsoft überlässt die Kontrolle über Privatsphäre und Daten mithilfe von einfach bedienbaren Tools den Usern
  • Transparency: Microsoft ist bezüglich Datensammlung transparent, damit User basierend auf vollständiger Informationslage entscheiden können
  • Security: Microsoft schützt die Daten der User mithilfe von Verschlüsselung und starker Cybersecurity
  • Strong legal protections: Microsoft respektiert die geospezifischen rechtlichen Privatsphäre Vorschriften und kämpft für den Rechtsschutz der Privatsphäre als ein fundamentales Menschenrecht
  • No content-based targeting: Microsoft benutzt keine Kundendaten aus Email, Chat, Dokumenten oder anderen persönliche Inhalten für einen gezielten und nutzerspezifischen Werbeeinsatz
  • Benefits: Wenn Userdaten gesammelt werden, dann um die Plattformen und Dienste zu verbessern

Wie sieht die Sachlage aus, wenn Regierungsinstitutionen Informationen über bestimmte User benötigen und anfordern, um Nachforschungen anzustellen?

Microsoft bietet keiner Regierung direkte und uneingeschränkte Zugriffe auf Daten von Usern. Es wurde öffentlich bekannt gegeben, dass eine Regierung, die Daten will, mit einem entsprechenden Gerichtsbeschluss oder einer Vorladung, die auf bestimmte Konten und Identifikationen ausgerichtet sind, vorgehen muss. Anfragen, die diesen Anforderungen nicht entsprechen, werden strikte abgelehnt.

Microsoft ist extrem transparent was Regierungsanfragen betrifft. Mit den Digital Trust Reports sind diese «Requests» für alle Interessierten verfügbar und nach Länder/Regionen einzusehen.  

MS_Request by Country

 

Nebenstehende Grafik zeigt auf, dass Microsoft auch wirklich dafür einsteht, was das Unternehmen verspricht. Von rund 35'572 Anfragen wurden gerademal 2.65% (disclosed content) offengelegt. Bei den restlichen 97.35% wurden entweder keine Daten gefunden, nur Transakationsdaten offengelegt oder die Anfrage vollständig abgelehnt.

 

 

 

 

 

Nimmt man die Schweiz als spezifisches Beispiel, sMS_Request Switzerlando ist gut sichtbar, dass die Offenlegung bei 0% liegt! Das heisst bei keiner der 98 Anfragen wurden Userdaten freigegeben.

 

 

 

 

 

 

 

Wie gehen andere Cloudanbieter mit der Problematik um?

AmazonAmazon Web Services besitzt im Cloudbusiness den höchsten Marktanteil – in Sachen Transparenz hinkt Amazon aber hinterher. Abgesehen von einem dreiseitigen Report publiziert Amazon fast keine weiteren Informationen über die Offenlegungen von Userdaten. Der unten angefügte Ausschnitt ist aus dem Report. Von 813 «Vorladungen» wurden 542 vollständig offengelegt. Ein frappanter Unterschied zur Privatsphärenhandhabung bei Microsoft. 


GoogleGoogle
 besitzt eine sehr detaillierte Auflistung von Dokumenten und Websites, inwiefern sie in bestimmten Situationen mit Userdaten umgehen. Für eine Offenlegung der Daten muss ein Gesuch im Allgemeinen schriftlich erfolgen und von einem bevollmächtigten Beamten einer Behörde unterzeichnet werden und basierend auf einem geltenden Gesetz ausgestellt sein. Die unten angefügte Grafik zeigt die detaillierten Daten über die Ersuche und deren Vorlegungen in der Schweiz. Bei rund 38% der Anfragen wurden Daten vorgelegt.

 

 

 

 

 

 

 

Exkurs: Schweiz erhält eigenen Privacy Shield mit den USA

Nach der EU erhält nun auch die Schweiz einen so genannten Privacy Shield von den USA, wie der schweizerische Bundesrat schreibt. Viele Schweizer Unternehmen sind darauf angewiesen, Personendaten in die USA übermitteln zu dürfen. So erhalten nun Unternehmen in der Schweiz, die etablierte Cloud Angebote in den USA nutzen, vorläufig wieder Rechtssicherheit. Lesen Sie mehr zum Privacy Shield in der Publikation von Martin Steiger, Steiger Legal.

Ask the expert

Sollten Sie rechtsspezifische Fragen im digitalen Raum haben, können Sie sich an eine der folgenden Kanzleien wenden:

 

Topics: Microsoft, Cloud, Sicherheit