Datenschutz-Akademie » Datenschutz-News » Datenschutz in der USA – Teil 2 der Delegationsreise
Datenschutz in der USA – Teil 2 der Delegationsreise
Delegationsreise mit dem Cyber-Sicherheitsrat Deutschlands
In Europa und dessen angrenzenden Ländern ist die Datenschutzgrundverordnung (DSGVO) nach nunmehr eineinhalb Jahren angekommen. Die deutsche Diskussion um den Datenschutz fokussiert sich zunehmend auf den Datenaustausch mit Drittländern, vornehmlich mit den USA. Dort standen vor kurzen vor allem die Technik-Riesen wie Microsoft, Amazon und Facebook in der Kritik. Um sich selbst ein Bild vom Datenschutz in den USA zu machen, begab sich Prof. Dr. Andre Döring auf eine zweiwöchige Delegationsreise, organisiert vom Cyber-Sicherheitsrat Deutschlands. In der dreiteiligen Serie berichtet Prof. Dr. Döring über seine Eindrücke in drei Stationen.
Datenschutz-Situation in Deutschland
Der hessische Landesdatenschutzbeauftragte rät aufgrund von Datenschutzbedenken von der Nutzung des Office365 Paketes von Microsoft ab. Die Datenschutzkonferenz einigt sich darauf, dass Windows 10 nicht DSGVO-konform nutzbar ist. Amazon sammelt tausende von Datenpunkten von seinen Kunden und Facebook steht nicht zuletzt wegen des Datenlecks zu Cambridge-Analytica in der Kritik.
„Aus meiner Sicht ist es sinnvoll, Entwicklungen in Sachen Datenschutz jenseits des Atlantiks aus deutscher oder besser europäischer Sicht kritisch zu begleiten. Es ist aber auch immer gut, sich persönlich ein Bild von der Lage zu machen. Aus diesem Grund habe ich mich der diesjährigen US-Delegation des Cyber-Sicherheitsrates Deutschland e. V. vom 08.11. bis 14.11.2019 angeschlossen.“ so Prof. Dr. Döring. Die exzellenten Kontakte des Cyber-Sicherheitsrates ermöglichten es der Delegation, tiefe Einblicke in den Datenschutz und die Sicherheitsstruktur amerikanischer Unternehmen wie Microsoft und Amazon und Sicherheitsbehörden wie des Department of Homeland Security zu erlangen, die sonst verschlossen blieben würden.
Die Techgiganten in Redmont und Seattle
Nach einem Inlandsflug von DC nach Seattle standen dort vornehmlich die IT-Giganten Microsoft und Amazon AWS auf dem Programm. Der Inlandsflug selbst dauerte sechs Stunden und fünfundvierzig Minuten. Man bekommt dabei ein gutes Gefühl, wie groß die geographische Ausdehnung der USA tatsächlich ist, wenn man überlegt, wo man bei einem Flug dieser Länge mit Start in Berlin oder Frankfurt landen könnte.
Besuchen Sie unsere kostenfreien Demos
Wir bieten regelmäßig Online-Demos an, in denen wir Ihnen unsere Datenschutz-Software Robin Data vorstellen. Bekommen Sie einen Einblick in den Aufbau und den Funktionsumfang des digitalen Löschkonzeptes der Robin Data Software. Unsere Experten geben Ihnen und anderen Interessenten umfassenden Einblick und beantworten Ihre Fragen.
Microsoft Cybercrime Center und Cyber Operations Center
Der Besuch in der Firmenzentrale von Microsoft in Redmont war sicher ein Highlight der Delegationsreise. Nach einem herzlichen Empfang durch den National IT Compliance Officer für Microsoft Deutschland, Ralf Wigand, wurden wir eine leitende Mitarbeiterin aus dem Bereich Compliance und einem leitenden Mitarbeiter für Business Development in die allgemeinen Aktivitäten von Microsoft zur Einhaltung der Cybersicherheit und anderer geltender Regularien, wie der DSGVO, eingeführt.
Interessent ist in diesem Zusammenhang die Information, dass vor einiger Zeit das Bundesamt für Sicherheit in der Informationstechnik (BSI) Microsoft mit zwei Softwarespezialisten in Redmont besucht hat, um sich die sicherheitstechnischen Maßnahmen von Microsoft für das Windows 10 Betriebssystem im Detail erläutern zu lassen. Alle kritischen Fragen des BSI schienen beantwortet worden zu sein und sollen in einer zeitnah aktualisierten Version der SiSyPHuS-Studie des BSI zu Windows 10 einfließen.
Auch die Festlegung der Datenschutzbeauftragten der Länder zur DSGVO-konformen Nutzung von Windows 10 sollte aus meiner Sicht nach Abschluss der Studie erneut geprüft werden, da dieser Entschluss in Teilen auf die vermutlich bald veraltete SiSyPHuS-Studie aufbaut.
Mein Fazit aus dem Meeting ist, dass Microsoft selbst viel für die möglichst einfache Umsetzung internationaler Regularien wie der DSGVO unternimmt und auch die eigenen Produkte an die DSGVO fortlaufend besser anpasst. Die Aussagen decken sich mit dem Blogbeitrag von Julie Brill, Corporate Vice President for Global Privacy and Regulatory Affairs and Chief Privacy Officer bei Microsoft, in dem sie eine DSGVO für die USA fordert.
Zum Beispiel ermöglicht das Compliance Board in Office 365 die Einstellung von Löschrichtlinien und die fortlaufende automatisierte oder manuelle Klassifizierung von Dokumenten und hilft so, zum Beispiel die Vorgaben von Artikel 17 DSGVO auch für kleinere Betriebe umsetzbar zu machen. Weiterhin ist Microsoft dabei die Menge übertragener Metadaten zur Analyse von Programmfehlern und Sicherheitslücken auf das Mindestmaß zu reduzieren. Eine Entwicklung die offenkundig bei komplexer Software eine gewisse Zeit in Anspruch nimmt.
Das von uns dann besichtigte Cyber Crime Center von Microsoft (Bild MS-CC) beschäftigt sich mit der Analyse aktueller, weltweiter Bedrohungsszenarien und Themen der Malwaredetection und IT-Forensik.
Im Cyber Operations Center wurden wir von dessen Leiter John Dellinger empfangen. Er berichtet darüber, dass Microsoft nicht nur Live Cyberangriffe bearbeitet, sondern dass auch sieben Red Teams aktiv für Awarness in der Cybersicherheit sorgen.
AWS im HQ vom Amazon in Seattle
Das Headquarter von Amazon in Seattle ist ein beeindruckendes Bauwerk. Mittlerweile arbeiten über 50.000 Menschen in den hohen Amazon-Türmen. In der Mitte des Campus hat Amazon eine Biosphäre mit futuristischer Architektur eingerichtet, die Mitarbeiter zum Entspannen einlädt.
Da das Meeting mit Amazon direkt nach dem Treffen mit Microsoft stattfand, konnte man direkt den Unterschied in der Firmenkultur spüren. Während Microsoft eher konservativ und unaufgeregt daherkam, wirkte Amazon deutliche hipper, wie man es wohl von einem relativ jungen Unternehmen erwarten würde.
Empfangen wurden wir von einem leitenden Mitarbeiter der Abteilung für künstliche Intelligenz (KI) und einem weiteren leitenden Mitarbeiter aus dem Bereich Cyber Crime. Die Vorträge waren kurz und präzise, so dass Zeit blieb, um über Themen wie der Angreifbarkeit von KI-Verfahren zu diskutieren.
Datenschutz Delegationsreise in den USA
- Zum ersten Teil der Delegationreise: Die Ostküste: ein Mekka für Cybersicherheit
- Der dritte und letzte Teil der Delegationsreise führt Prof. Dr. Andre Döring ins Silicon Valley.
- COVID-19 und Datenschutz - 25. März 2020
- Datenschutz in der USA – Teil 3 der Delegationsreise - 6. Dezember 2019
- Datenschutz in der USA – Teil 2 der Delegationsreise - 3. Dezember 2019
