Telekom-hilft-Community: Schrems-II-Urteil nicht umgesetzt
vor 3 Jahren
Vorbemerkung
In dem Diskussionsfaden zum Thema »Fehlermeldung: ›Die Verbindung mit dem Server homepage.t-online.de schlug fehl.‹« benutzte ich zur Erläuterung des Domain Name Services das naheliegende Beispiel telekomhilft.telekom.de, weil es hier jeder vor Augen hat, wenn er in die Adresszeile seines Browsers sieht. Bei der Recherche wurde ich sehr überrascht. Ich beschloss, den folgenden Beitrag zu schreiben und die unten stehenden Fragen an die Verantwortlichen dieser Community-Plattform zu stellen:
Datenschutzrechtliche Bemerkungen (eines Nicht-Juristen)
Hinter dem Domain Name telekomhilft.telekom.de steht die IP-Adresse 13.225.223.48 (und wie wir gleich sehen werden noch weitere IP-Adressen). So hat es für mich heute AbuseIPDB ermittelt, das man nicht nur im Fall von Missbrauch (abuse) verwenden kann, sondern auch immer dann, wenn man wissen möchte, welche IP-Adresse sich hinter einem Domain Name verbirgt. AbuseIPDB gibt denn auch richtig aus, dass es zu dieser IP-Adresse keinen Eintrag in der Datenbank hat, also (höchstwahrscheinlich und hier ganz gewiss) kein Missbrauch (etwa Versuch des Hackens) vorliegt.
Was allerdings auffällt, sind Land und Internet Service Provider ( ISP ), zu denen die IP-Adresse gehört: »United States of America« und »Amazon.com Inc.«. Das überrascht! Denn wer vermutet schon, dass hinter einer Top Level Domain »de« des Konzerns Deutsche Telekom eine IP-Adresse in den USA und des Amazon-Konzerns steckt?
Es könnte sein, dass sich AbuseIPDB irrt, dachte ich: Vielleicht sind dort falsche Daten hinterlegt. Doch ein zweites Werkzeug, das ich einsetzte, brachte vier IPv4-Adressen und acht IPv6-Adressen von Amazon.com als Ergebnis. Es wird wohl ein Content Delivery Network ( CDN ) von Amazon Web Services (AWS) benutzt mit Standorten in den USA, Hongkong und Japan. (vergleiche auch diesen Beitrag von @Sherlocka vom 28.09.2019, 22:56 Uhr, den ich erst jetzt gesehen habe) Man beachte, dass Hongkong in der Volksrepublik China (Festland-China) liegt. Dieses Land wird - nach unseren Maßstäben zumindest - nicht demokratisch regiert. Eine gewisse Willkür hinsichtlich Einhaltung datenschutzrechtlicher Regeln, sofern überhaupt in China vorhanden und akzeptiert (ich bin kein Experte diesbezüglich), muss befürchtet werden. Es ist nicht auszuschließen, dass personenbezogene Daten von Telekom-Kundendienstmitarbeitern und Kunden auch in China verarbeitet werden.
Einst gab es Datenschutzabkommen zwischen der EU und den USA: Sie hießen »Safe Harbor« (Sicherer Hafen) und »Privacy Shield« (Datenschutz-Schild). Für beide hatte die EU-Kommission einen Angemessenheitsbeschluss gemäß Artikel 45 DS-GVO gefasst. Damit wurden die USA damals wie ein EU-Land behandelt. Doch der Europäische Gerichtshof (EuGH) hat beide Abkommen und die Angemessenheitsbeschlüsse nacheinander für ungültig erklärt - zuletzt am 16. Juli 2020 mit dem Schrems-II-Urteil den »Privacy Shield«. Damit wurden die USA zum Drittland, was einschneidende rechtliche Folgen hatte. Grund für das EuGH-Urteil war unter anderem: »keine Beschränkungen der Überwachungsmaßnahmen der Geheimdienste und keine Garantien für Nicht-US-Bürger« (Seite 4 des nachfolgend verlinkten Dokuments). Genauere und weitere Informationen findet man beispielsweise in der Orientierungshilfe: Was jetzt in Sachen internationaler Datentransfer? (PDF-Datei, 1 MB) vom Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg.
Die Datenschutz-Grundverordnung (DS-GVO) sieht für die Übermittlung personenbezogener Daten (z. B. IP-Adresse des heimischen Rechners oder Smartphones, E-Mail-Adresse) in Drittländer (außerhalb des Europäischen Wirtschaftsraums) besondere Regeln vor: siehe Artikel 44 bis 49 DS-GVO. Vor allem reicht eine normale Einwilligung betroffener Personen (hier also von uns Kunden und von den Kundendienstmitarbeitern) zur Verarbeitung personenbezogener Daten für einen Datentransfer in ein Drittland nicht aus. Bevor personenbezogene Daten in ein Drittland übermittelt werden dürfen, bedarf es einer freiwilligen ausdrücklichen besonderen Einwilligung nach ausführlicher Information über den Drittlandtransfer und die damit verbundenen Risiken (Artikel 49 Absatz 1 Buchstabe a). Bei Mitarbeitern ist grundsätzlich keine freiwillige Einwilligung möglich, denn es gilt die Wahl: hier arbeiten und damit einwilligen oder woanders oder gar nicht arbeiten (Zwangslage).
Ein berechtigtes Interesse (z. B. der Telekom, einen guten Kundendienst zu leisten) reicht bei Übermittlung personenbezogener Daten in Drittländer niemals aus, wenn die Datenschutz-Aufsichtsbehörde nicht zugestimmt hat (siehe Artikel 49 Absatz 1 DS-GVO).
Da hier auch IP-Adressen in ein Drittland übermittelt werden, gibt es m. W. keinen technisch möglichen Weg, mit Standardvertragsklauseln gemäß Artikel 46 DS-GVO zu arbeiten. Denn sie bedürfen zusätzlicher Maßnahmen wie Ende-zu-Ende-Verschlüsselung. IP-Adressen müssen im Datenverkehr aber immer unverschlüsselt sein, sonst funktioniert er technisch nicht.
In den Leitlinien 2/2018 zu den Ausnahmen nach Artikel 49 der Verordnung 2016/679 (PDF-Datei, 257 KB), angenommen am 25. Mai 2018 vom Europäischen Datenschutzausschuss (EDSA), steht mehr darüber. Dort steht zu Artikel 49 Absatz 1 Buchstabe a DS-GVO auch: »... Wie in der vorstehenden Analyse dargelegt, ist die Hürde für die Anwendbarkeit der Einwilligung als Ausnahmetatbestand für Datenübermittlungen in Drittländer in der DSGVO hoch gesetzt. Diese hohe Hürde in Verbindung mit der Tatsache, dass die von einer betroffenen Person erteilte Einwilligung jederzeit widerrufen werden kann, bedeutet, dass die Einwilligung wohl nicht als geeignete langfristige Lösung für die Übermittlung in Drittländer angesehen werden kann.« (Seiten 9f, Hervorhebung von mir)
Der/Die Datenschutzhinweis/Nutzungsbedingungen der Telekom Deutschland GmbH ("Telekom") für die Telekom-hilft-Community stammen vom 27.08.2019. Sie sind also veraltet, denn sie berücksichtigen das Schrems-II-Urteil nicht. Zudem steht dort unter Punkt 5: »Ihre Daten werden grundsätzlich in Deutschland und im europäischen Ausland verarbeitet.
Findet eine Verarbeitung Ihrer Daten in Ausnahmefällen auch in Ländern außerhalb der Europäischen Union (also in sog. Drittstaaten) statt, geschieht dies, soweit Sie hierin ausdrücklich eingewilligt haben oder es für unsere Leistungserbringung Ihnen gegenüber erforderlich ist oder es gesetzlich vorgesehen ist (Art. 49 DSGVO). Darüber hinaus erfolgt eine Verarbeitung Ihrer Daten in Drittstaaten nur, soweit durch bestimmte Maßnahmen sichergestellt ist, dass hierfür ein angemessenes Datenschutzniveau besteht (z.B. Angemessenheitsbeschluss der EU-Kommission, Abschluss einer EU-Standardvertragsklausel oder sog. geeignete Garantien, Art. 44ff. DSGVO).«
Liegen China, Japan und die USA allesamt in Europa? Das wäre mir neu. Zudem werden hier doch offensichtlich regelmäßig und häufig - um das Wort »immer« zu vermeiden - personenbezogene Daten in Drittländer übermittelt. Das sind keine Ausnahmefälle. Und wo bleibt die ausführliche Aufklärung gemäß der oben verlinkten Leitlinien 2/2018 des EDSA?
Was sagt die Telekom selbst?
Der Konzern Deutsche Telekom hat einen Code of Conduct (Verhaltenskodex; PDF-Datei 3 MB). Hier einige Auszüge daraus:
»Ein schlechter Ruf oder fehlende Reputation eines Unternehmens gefährdet dessen Erfolg. Geschäftserfolg braucht also dieses gewisse Mehr, nämlich rechts- und gesetzeskonformes Verhalten von Vorständen, Geschäftsführern, Führungskräften sowie von allen Mitarbeiterinnen und Mitarbeitern (Beschäftigte).« (Seite 2, Hervorhebung von mir)
»Die Deutsche Telekom hält alle rechtlichen und gesetzlichen Vorschriften zur Leitung und Überwachung von Unternehmen sowie die international anerkannten Standards guter und verantwortungsvoller Unternehmensführung ein.« (Seite 3)
»5.1 Datensicherheit
Die Sicherheit von Daten ist für die Deutsche Telekom von überragender Bedeutung. Die Datensicherheit beeinflusst den Geschäftserfolg und das öffentliche Ansehen. Daher schützt die Deutsche Telekom Unternehmensdaten, Kunden-, Geschäftspartner-, Aktionärs- und Beschäftigtendaten mit allen zur Verfügung stehenden geeigneten und angemessenen technischen und organisatorischen Mitteln vor unberechtigtem Zugang, unbefugter und missbräuchlicher Verwendung, Verlust und vorzeitiger Vernichtung. Dies geschieht unter Wahrung des jeweiligen Rechtsrahmens und der nationalen Gesetze sowie interner Richtlinien und Regelungen.« (Seite 9)
Zwischenfrage von mir: Ist die Nutzung unserer personenbezogenen Daten durch US-Geheimdienste oder chinesische Behörden keine »unbefugte und missbräuchliche Verwendung«?
»5.2 Datenschutz
Die Deutsche Telekom weiß um die hohe Sensibilität der ihr anvertrauten persönlichen Daten ihrer Kunden, Geschäftspartner, Beschäftigten und Aktionäre und schützt diese durch einen sorgfältigen und verantwortungsbewussten Umgang. Die Deutsche Telekom ergreift eine Vielzahl von technischen und organisatorischen Maßnahmen, die darauf zielen, die Vertraulichkeit von persönlichen Daten sicherzustellen. Jeder Einzelne ist im Rahmen seiner Aufgaben verantwortlich, ein hohes Schutzniveau in der Deutschen Telekom zu gewährleisten. Die Beschäftigten der Deutschen Telekom halten sich konsequent an die Datenschutzbestimmungen und respektieren und beachten insbesondere die umfassenden Rechte der Personen, deren Daten sie erheben, verarbeiten und nutzen.« (Seite 9)
Datenschutz ist ein Menschenrecht (Artikel 8 der EU-Grundrechte-Charta; PDF-Datei, 771 KB). Die Deutsche Telekom hat einen Menschenrechtskodex & Soziale Grundsätze (PDF-Datei, 1,1 MB). In ihrem Menschenrechtskodex ist die EU-Grundrechte-Charta zwar nicht erwähnt. Es heißt dort aber:
»Unsere Verpflichtung zur Achtung und Förderung der Menschenrechte und sozialen Grundsätze an jedem Ort, an dem wir tätig sind, einschließlich unserer Geschäftspartner und Lieferketten:
Die Deutsche Telekom nimmt alle international anerkannten Menschenrechte und sozialen Grundsätze ernst und erkennt ihre Verantwortung als weltweit führendes Telekommunikationsunternehmen an. Der Erfolg unseres Unternehmens basiert auf unseren hohen Qualitätsstandards, Integrität und Exzellenz und wir sorgen dafür, dass die Menschenrechte geachtet werden.« (Seite 2)
Fragen
- Die Deutsche Telekom sieht sich selbst als »weltweit führendes Telekommunikationsunternehmen« (siehe oben). Warum und wozu greift sie dann beim Betrieb dieser Community-Website auf einen Dienstleister zurück, den sie vertraglich nicht dazu binden kann, das EU-Datenschutzrecht einzuhalten? (Erläuterung: Mindestens in den USA und China gelten derzeit Rechtsnormen, die der DS-GVO zuwiderlaufen, mit ihr aber zumindest nicht im Einklang stehen.)
- Wenn die Deutsche Telekom die erforderlichen technischen Mittel nicht hat, diese Plattform technisch sicher zu betreiben, obwohl sie sich als »weltweit führendes Telekommunikationsunternehmen« betrachtet, warum verzichtet sie dann nicht auf diese Community-Plattform, wenn sie sie wohl nicht im Einklang mit Recht und Gesetz betreiben kann? (Es gäbe ja gewiss andere technische Möglichkeiten, mit Kunden in einer ähnlichen Weise zu kommunizieren und Kunden untereinander Austausch pflegen zu lassen, die rechtskonform betrieben werden können.)
- Wenn die Deutsche Telekom der Auffassung ist, dass sie diese Community-Plattform in der jetzigen Art und Weise und mit dem Dienstleister aus einem Drittland im Einklang mit Recht und Gesetz der EU und Deutschlands betreiben kann, womit und wie begründet sie das?
- Was will die Deutsche Telekom unternehmen, um ihre eigenen Aussagen im Verhaltenskodex und im Menschenrechtskodex hinsichtlich Einhaltung von Recht und Gesetz und auch der Menschenrechte konsequenter einzuhalten?
Freundliche Grüße
ReiPar
4804
87
Das könnte Ihnen auch weiterhelfen
126
0
19
vor 4 Jahren
in
597
0
2
vor 3 Jahren
in
156
0
2
vor einem Jahr
69
0
3
Beliebte Tags letzte 7 Tage
Das könnte Sie auch interessieren
Kaufberatung anfragen
Füllen Sie schnell und unkompliziert unser Online-Kontaktformular aus, damit wir sie zeitnah persönlich beraten können.
Angebote anzeigen
Aktuelle Telekom Angebote für Mobilfunk (5G/LTE), Festnetz und Internet, TV & mehr.
vor 3 Jahren
@ReiPar
das wurde vor vielen Monaten geklärt.
Die Daten der Telekom hilft Community werden bei AWS Irland nach Europäischen Recht gespeichert.
Amazon hat IP-Adressblöcke, die zwar von manchen Standorten aus besorgt wurden. Aber Amazon verteilt IPs aus diesen Adressblöcken auch an andere Standorte/überlässt sie anderen Standorten.
Die BeschaffungsAdresse bzw. Registrierungsadresse ist nicht automatisch gleichbedeutend mit dem Standort der Server, es gibt nur an, welches Unternehmen das Recht auf diese Adressblöcke hat bzw wo es diese hat registrieren lassen.
Dem Unternehmen steht aber frei, diese IP-Adressen auf andere Standorte umzuverteilen.
So wie z. B. ein Unternehmen mit Sitz in Frankfurt und Berlin und München Firmen Autos in allen drei Orten anmelden könnte oder auch nur in zweien oder einem davon. Das jeweilige Auto kann aber an einem komplett anderen Unternehmensitz dauerhaft eingesetzt werden. Es könnte also dauerhaft in München ein Auto mit Berliner Autokennzeichen herumfahren, weil das Autokennzeichen zwar in Berlin besorgt und registriert wurde, das Auto aber der Niederlassung in München zugewiesen/überlassen wurde. Siehst du so ein Auto auf der Autobahn bei München, schließt du dann aus dem Berliner Kennzeichen, dass es in Berlin zuhause wäre. Dabei ist sein tatsächlicher Standort, weil von Anfang an der Münchener UnternehmenFiliale überlassen, schon lange München.
Die IP sagt nur etwas darüber aus, wem der Adressblock gehört und mit welcher Adresse erworben. Aber nicht, wo der Server tatsächlich steht, dem diese IP verpasst wurde.
Deshalb kann so ein Geolocation Service nur den ursprünglich AdressblockInhaber bzw unter welcher Adresse registriert aufspüren, aber nicht den genauen tatsächlichen Standort, wo der Server steht.
3
von
vor 3 Jahren
das wurde vor vielen Monaten geklärt.
Hallo @Sherlocka ,
vielen Dank für Ihren Beitrag mit den Informationen.
Wer hat genau was geklärt? Wo kann ich das nachlesen?
Die Daten der Telekom hilft Community werden bei AWS Irland nach Europäischen Recht gespeichert.
Jetzt wird's interessant. In den Datenschutzhinweisen für diese Community-Plattform kann ich das nicht finden. Ich finde dort auch nichts von dem US-Auftragsverarbeiter Amazon - lediglich von der Khoros LLC (in Austin, US-Bundesstaat Texas), was aber bekannt(er) ist.
Die Datenschutzhinweise schließen nicht aus, dass personenbezogene Daten in Ausnahmefällen, die nicht näher spezifiziert werden, in Drittländer übermittelt bzw. dort verarbeitet werden. Aber das ist so unklar formuliert, dass sich jeder vieles heraussuchen kann, was er verstehen will. Die DS-GVO verlangt gerade hier aber sehr klare, unmissverständliche Sprache. Und für die USA gibt es seit dem Schrems-II-Urteil vom 16.7.2020 keinen gültigen Angemessenheitsbeschluss der EU-Kommission mehr. Die in den Datenschutzhinweisen in Kapitel 5 stehenden Informationen reichen bei Weitem nicht aus für einen Drittlandtransfer personenbezogener Daten. Zudem fehlt die Mitteilung über die Möglichkeit, dem Transfer seiner personenbezogenen Daten in ein Drittland zu widersprechen. Diese Datenschutzhinweise sind vermutlich ohne Interesse am Thema oder ohne hinreichendes Wissen gemacht worden und zudem veraltet.
Den zitierten Satz könnte man ergänzen, sodass er vollständig und grammatisch und rechtschreiblich korrekt lautet:
»Die Daten der Telekom-hilft-Community werden bei AWS Irland nach europäischem Recht gespeichert und nach US-Recht in die USA übermittelt.« (Hervorhebung: Ergänzung)
Ich halte es - nach den Enthüllungen von Whistleblowern - keineswegs für unwahrscheinlich, dass Amazon den Auftrag hat, personenbezogene Daten aus Irland in die USA zu importieren. Die Telekom könnte zwar versuchen, das mittels vertraglicher Vereinbarungen zu verbieten. Aber das wird letztlich nichts nützen. Der US-Konzern Amazon unterliegt dem US-Recht. Er wird im Zweifel dem US-Recht eher folgen als den vertraglichen Vereinbarungen mit einem EU-Unternehmen. Dazu kommt, dass US-Unternehmen m. W. den Ausländern und ausländischen Unternehmen nicht mitteilen dürfen, dass sie Daten - aus unserer Sicht missbräuchlich - abgreifen.
Dieses für uns nicht erkennbare mögliche Abgreifen personenbezogener Daten und Übermitteln an die US-Geheimdienste ist der Grund dafür, dass Standardvertragsklauseln (gemäß Artikel 46 DS-GVO) zwischen EU- und US-Stellen nicht ausreichen, sondern gefordert wird, mit zusätzlichen Maßnahmen wie Ende-zu-Ende-Verschlüsselung zu arbeiten, wobei der Schlüssel in den USA nicht bekannt sein darf und gewissen Anforderungen genügen muss.
Amazon hat IP-Adressblöcke, die zwar von manchen Standorten aus besorgt wurden. Aber Amazon verteilt IPs aus diesen Adressblöcken auch an andere Standorte/überlässt sie anderen Standorten.
Woher wissen Sie das? Ist das allgemeiner Brauch auch bei anderen Unternehmen? Wo kann man das nachlesen? Oder ist das eine Vermutung? Sind Sie bei Amazon Mitarbeiter in diesem Bereich? (Ich habe keinerlei Erfahrung im Registrieren von IP-Adressen oder -Adressbereichen.)
Freundliche Grüße
ReiPar
von
vor 3 Jahren
Ist das allgemeiner Brauch auch bei anderen Unternehmen?
Ja, kurz und bündig 😉
von
vor 3 Jahren
w/ https://telekomhilft.telekom.de/t5/Fragen-zur-Community/Telekom-hilft-Community-Schrems-II-Urteil-nicht-umgesetzt/m-p/6078805#M44477
@ReiPar
du hattest mich im Startbeitrag angepingt, selbst auf einen Beitrag vor Jahren im Zusammenhang mit mir hingewiesen.
Diese Diskussion wurde an anderer Stelle fortgesetzt. Und sinngemäß bekamen wir dann diese Info. Diesen Austausch herauszusuchen, um ihn dir zu verlinken, bringt nichts. Erstens sind dann das auch nur geschriebene Worte, denen du nicht zu trauen scheinst. Und zweitens könntest du dort derzeit gar nicht lesen, weil dein Usergrad dazu noch nicht ausreicht, dort zuzugreifen.
@ReiPar
Bereits diese Seite bekannt ?
https://www.telekom.de/datenschutzhinweise
Darin auch jene Info gelistet:
https://www.telekom.de/datenschutzhinweise/download/000.pdf
Teilzitat daraus (folgende Formatierungen von mir gesetzt) :
Wo werden meine Daten verarbeitet?
Ihre Daten werden in Deutschland und im europäischen Ausland verarbeitet.
Teilweise findet eine Verarbeitung Ihrer Daten auch in Ländern außerhalb der Europäischen Union (also in sog. Drittstaaten) statt, derzeit etwa:
Speichern/Hosting von Kundendaten (ausgenommen Verkehrsdaten) durch Amazon Web Services EMEA SARL, Microsoft Ireland Operations Ltd und Salesforce.com Germany GmbH in Europa. Lediglich Administratoren- Zugriffe im Rahmen eines technischen Supports sind aus den USA möglich.
Im Übrigen gilt: Findet eine Datenverarbeitung in Drittstaaten statt, geschieht dies, soweit Sie hierin ausdrücklich eingewilligt haben oder es für unsere Leistungserbringung Ihnen gegenüber erforderlich ist oder es gesetzlich vorgesehen ist (Art.49 DSGVO).
Eine Verarbeitung Ihrer Daten in Drittstaaten erfolgt nur, soweit durch bestimmte Maßnahmen sichergestellt ist, dass hierfür ein angemessenes Datenschutzniveau besteht (z. B. Angemessenheitsbeschluss der EU- Kommission oder sog. geeignete Garantien, Art. 44ff. DSGVO, (vgl. hier).
Uneingeloggter Nutzer
von
vor 3 Jahren
@ReiPar
Danke, dass Du Dir die Mühe gemacht hast.
Auch wenn es wohl grundsätzlich o.k. zu sein scheint (so wie @Sherlocka ausführt) - ein ungutes Gefühl bleibt, gerade wenn es um eine cloud Anwendung geht.
82
von
vor 3 Jahren
muc80337_2 ein ungutes Gefühl bleibt, ein ungutes Gefühl bleibt, muc80337_2 ein ungutes Gefühl bleibt, In wie fern?
ein ungutes Gefühl bleibt,
In wie fern?
Bei uns steht so einiges rum in der Wohnung, wohlüberlegt gekauft.
Und trotzdem - ein ungutes Gefühl bleibt. Wenn (vorausgeschickt ein "Entschuldigung" an alle anwesenden oder mitlesenden Frauen) meine Frau dann beispielsweise ein Glas Fruchtsaft daneben stellt.
Das als themenfremdes Beispiel.
AWS - eine kleine versehentliche Fehlkonfiguration, ein kleiner böswilliger Mitarbeiter, ... ein ungutes Gefühl bleibt.
@Stefan Du machst hier im Thread zu sehr auf schwarz und weiß.
Womit ich mich gelegentlich mal beschäftigen wollte ist ob - alleine schon aus Angst vor Kindesmissbrauch (den ich verurteile und den ich überhaupt nicht verstehen kann und wo ich überhaupt nicht verstehen kann, dass das häufiger passiert) - wie bei dem amerikanischen Onkel Microsoft und der Tante google laufend die Inhalte analysiert werden. Wo es dann zu Fehlinterpretationen kommen kann. So ganz out of the blue.
Ich selbst habe mal zwei oder drei Photos meines Sohnes (als Kleinkind) gemacht weil bereits direkt nach der Geburt vom Arzt klargemacht wurde, dass er da in der Zukunft einen chirurgischen Eingriff als notwendig erachtet. Das haben wir dann auch ausgedruckt und zur Konsultation mitgenommen, und es war sehr nützlich. Und der Eingriff wurde dann auch erfolgreich durchgeführt.
Aber ein ungutes Gefühl bleibt ob nicht eines Tages plötzlich alles gesperrt wird, alle Zugänge, ...
von
vor 3 Jahren
Soweit ich weiß liegen die privaten Kundendaten im Profil aber auch auf Servern der Telekom und eben NICHT in der AWS.
Soweit Sie wissen ... Aha. Woher meinen Sie das zu wissen? Haben Sie Belege?
Was besagt Ihr angebliches Wissen hinsichtlich Datenschutz für die Kundendaten? Wenig bis gar nichts! Wenn die Architektur so ist, dass die bei AWS gehostete Community-Website die Kundendaten von einem Server der Telekom holt, um sie dann zum Browser zu senden, kann AWS sie gleichzeitig irgendwohin übermitteln - beispielsweise an die US-Geheimdienste. Amazon ist ein US-Unternehmen und unterliegt US-Recht. US-Recht geht aus Amazons Sicht vor vertragliche Beziehungen mit einem Nicht-US-Unternehmen. Deshalb sind Verträge der Telekom - oder jedes anderen Unternehmens aus dem EWR - mit einem Unternehmen mit Hauptsitz in den USA hinsichtlich Datenschutz nicht das Papier wert, auf dem sie stehen (siehe auch Zitat im nächsten Absatz).
Die Berliner Datenschutzbeauftragte hat eine Stellungnahme mit dem Titel »Datenexporte« veröffentlicht. Sie befasst sich besonders mit der Übermittlung von Daten in die USA nach dem Schrems-II-Urteil des EuGH:
»Zu beachten ist, dass der Begriff der Übermittlung sehr weit ist. Hierzu gehört beispielsweise, wenn die Daten zwar in der EU gespeichert sind, aber aus einem Drittland ein Zugriff auf die Daten möglich ist ... Solche Fälle werden in der Praxis häufig übersehen, sodass es zu rechtswidrigen Datenexporten kommt.«
(Wen interessiert, wo das nachzulesen ist, darf gerne googlen oder bingen oder yandexen oder baidun, je nach Vorliebe der Suchmaschine. Ich bin - wie die meisten anderen hier - jetzt zu faul, einen Link zu setzen, den ich ganz fix zur Hand hätte.)
Da schreiben hier Mitschreibende - aber offensichtlich nicht sorgfältig Mitlesende - etwas von Bauchgefühl, das in meinen Argumenten genauso zu finden sei wie ich sie in ihren sehe. Das ist dann auch eine Richterschelte ganz besonderer Art: Der EuGH, so behaupten sie damit, hätte das Schrems-II-Urteil aus dem Bauch heraus gefällt. Und die Leiter der deutschen und europäischen Datenschutz-Aufsichtsbehörden würden auch mehr auf ihr Bauchgefühl hören als auf Recht und Gesetz und Fakten. Das schreiben sie zwar nicht expressis verbis, aber wie anders lässt sich das interpretieren, was sie schreiben? Bauchgefühl bei mir, wo ich mich doch auf den EuGH und die Datenschutz-Aufsichtsbehörden beziehe, indem ich sie zitiere oder entsprechende Belege beigebracht habe? Bei so viel innerer Widersprüchlichkeit der Argumentation kann ich nur den Kopf schütteln. Die innere Widersprüchlichkeit erkennt freilich nur der, der einige Belege wenigstens überflogen hat, die ich im ersten Beitrag dieses Diskussionsfadens verlinkt habe.
»Schrems-II-Urteil« kann jeder in die Suchmaschine seines Vertrauens eingeben und sich das Urteil dann heraussuchen und lesen (bitte auch die Erwägungsgründe). Ich hätte ja ganz schnell einen Link zur Hand, aber ich bin jetzt mal genauso faul wie die, die bisher überhaupt keinen einzigen Beleg zur Unterstützung ihrer Behauptungen gebracht haben und damit klar machen: An einem ernsthaften Austausch zum Thema sind sie nicht wirklich interessiert. Wer von mir Belege lesen will, kann dies in großer Menge im ersten Beitrag dieses Diskussionsfadens tun.
Wir leben in einem Rechtsstaat. Wer Recht und Gesetz in Bezug auf den Datenschutz für entbehrlich hält und das entsprechende Menschenrecht gleich mit, muss sich fragen lassen, ob er noch auf dem Boden des Grundgesetzes und unserer freiheitlich-demokratischen Grundordnung steht.
Und wer meint, das Datenschutzrecht würde ja doch von den allermeisten nicht eingehalten und dann könne man auf den Datenschutz gleich ganz pfeifen oder müsse sich des Internets ganz enthalten, argumentiert einfach nur schwarz-weiß. Leute, die Welt ist farbig. Nehmt das wahr und freut euch darüber!
von
vor 3 Jahren
Soweit Sie wissen ... Aha. Woher meinen Sie das zu wissen? Haben Sie Belege?
Nein, aber ich habe mich mit dem Entwickler über das Thema unterhalten - du auch?. Und das war eben seine Aussage damals - daher auch meine Aussage - soweit ich es weiß.
Es ist mir zu mühselig mich nun durch den Programmcode der Webseite zu wühlen um das zu prüfen, dass können sie aber ja gerne machen. Gibt's Belege dagegen?
Was besagt Ihr angebliches Wissen hinsichtlich Datenschutz für die Kundendaten? Wenig bis gar nichts! Wenn die Architektur so ist, dass die bei AWS gehostete Community-Website die Kundendaten von einem Server der Telekom holt, um sie dann zum Browser zu senden, kann AWS sie gleichzeitig irgendwohin übermitteln - beispielsweise an die US-Geheimdienste.
Da sagt mir meine 38-jährige Berufserfahrung etwas anders. Wenn es so ist wie ich es beschreiben habe, dann
holt der Browser die Kundendaten die er im Profil anzeigt eben von einer anderen URL als den Rest. Das ist Programmierer Kindergarten. Da geht bei richtiger Implementierung nie auch nur ein Byte davon zur AWS. Sicherlich weiß ich über Datenschutz deutlich mehr als du über Programmierung. Hab ich doch durch meinen Beruf als Softwareentwickler JEDEN Tag mit Datenschutz und Programmierung zu tun.
Der EuGH, so behaupten sie damit, hätte das Schrems-II-Urteil aus dem Bauch heraus gefällt. Und die Leiter der deutschen und europäischen Datenschutz-Aufsichtsbehörden würden auch mehr auf ihr Bauchgefühl hören als auf Recht und Gesetz und Fakten.
Nein, dass habe ich nicht geschrieben - mit keinem Wort - dass ist eine klare Lüge deinerseits. Da kann nur ich den Kopf schütteln.
Geschrieben habe ich dass DU aus dem Bauchgefühl Dinge unterstellst - ganz genau so wie die Falschbehauptung dass die AWS
Daten mitlesen (siehe zuvor) kann die die Webseite von einem Telekom Server besorgt. So was wäre nur möglich wenn die AWS sich die Daten besorgt aber nicht der Browser und dass wäre dann ein schwerer Programmierfehler. Das Bauchgefühl besteht darin, dass du Dinge in Mechanismen interpretierst von denn du keine Ahnung hast - genau wie du unterstellst, dass die AWS trotz gegenteiliger Datenschutzrichtlinie Daten in die USA abführt. Halte ich das für ausgeschlossen - nein. Weiß ich es - nein.
Und du auch nicht.
Wir leben in einem Rechtsstaat.
Das tun wir.
Wer Recht und Gesetz in Bezug auf den Datenschutz für entbehrlich hält und das entsprechende Menschenrecht gleich mit, muss sich fragen lassen, ob er noch auf dem Boden des Grundgesetzes und unserer freiheitlich-demokratischen Grundordnung steht.
Geht es etwas kleiner, weil langsam nehme ich an, du bist etwas ...
Ich stehe voll hinter unserer freiheitlich-demokratischen Grundordnung.
Das heißt aber nicht, dass jedes Gesetz welches erlassen wird mein Verständnis findet.
Es ist Bestandteil, dass ich dem Ausdruck verleihen darf und genau das tue ich.
Wenn das nicht von dir akzeptiert werden kann, wie sieht es denn dann mit deiner Haltung zur freiheitlich-demokratischen Grundordnung aus?
Und wer meint, das Datenschutzrecht würde ja doch von den allermeisten nicht eingehalten und dann könne man auf den Datenschutz gleich ganz pfeifen oder müsse sich des Internets ganz enthalten, argumentiert einfach nur schwarz-weiß. Leute, die Welt ist farbig. Nehmt das wahr und freut euch darüber!
Auch dass habe ich nicht geschrieben. Geschrieben habe ich, dass es an jeder Stelle Verstöße gegen den Datenschutz geben kann.
Genau wie an alle Server die IP übermittelt wird. Bei letzterem stelle ich mir die Frage wie sinnvoll es ist die IP als persönliches Datum zu werten. Mir geht das zu weit - weil, wenn es so ist, dann ist die Teilnahme am Internet in der Regel eben generell nicht möglich.
Tolle Neuigkeit, die Welt ist farbig - ich weiß es, und deswegen ist für mich die DSGVO zum Teil ein schwachsinniges Gesetz.
Wer kommt schon auf die Idee dass man auf jeder Webseite einen Kilometer lange Datenschutzerklärung abnicken muss.
Wer liest die und schlimmer noch, wer versteht die Konsequenz aus der Zustimmung?
Das der Einsatz der AWS nicht automatisch gegen DSGVO verstößt wurde doch auch schon vom Recht und Gesetz
beleuchtet.
Amazon Web Service - Rechtslage und Datenschutz | AMBIENT
Und nun schauen wir uns nachdem wir den Artikel gelesen haben, den Titel dieses Threads an und fragen uns,
gegen was dieses Forum nun eigentlich konkret verstößt. Genau: gegen dein Bauchgefühl.
»Schrems-II-Urteil« kann jeder in die Suchmaschine seines Vertrauens eingeben
Welche soll dass bitte sein?
Frage:
Warum verwendet die EU eigentlich Microsoft Office?
Links:
Bundespolizei speichert Bodycam-Aufnahmen in Amazons AWS-Cloud | heise online
Und sowas resultiert daraus:
Strato-Chef: „Amazon ist uns um Lichtjahre enteilt“ (it-business.de)
Uneingeloggter Nutzer
von
Uneingeloggter Nutzer
von