Varonis debuts trailblazing features for securing Salesforce. Learn More

Wir stellen vor: Die Least Privilege Automation für Microsoft 365, Google Drive und Box

Mehr erfahren
Blog Datensicherheit

Grenzüberschreitende Datensicherheit: eine Bedrohung für das Internet?

Sicher haben Sie schon von der geplanten Datenschutz-Grundverordnung (DS-GVO) der EU gehört, die die Datenschutzrichtlinie von 1995 ablösen soll. Derzeit erlässt jeder EU-Mitgliedsstaat eigene Gesetze, um die Datenschutzrichtlinie zu erfüllen....
Michael Buckbee
3 minute gelesen
Letzte aktualisierung 29. Oktober 2021

Inhalt

    Sicher haben Sie schon von der geplanten Datenschutz-Grundverordnung (DS-GVO) der EU gehört, die die Datenschutzrichtlinie von 1995 ablösen soll. Derzeit erlässt jeder EU-Mitgliedsstaat eigene Gesetze, um die Datenschutzrichtlinie zu erfüllen. Doch mit der neuen DS-GVO legt die Europäische Kommission Regeln fest, die für sämtliche EU-Länder gelten.

    Vielleicht haben Sie auch von weitreichenden Gerichtsurteilen zu Technologie- und Datenschutzthemen, insbesondere in der EU, gehört. Zum Beispiel das 2014 bestätigte Recht auf Vergessenwerden oder die aktuelle Entscheidung des Europäischen Gerichtshofs zur Abschaffung des Safe-Harbor-Abkommens aus dem Jahr 2000, das es den 4.000 teilnehmenden US-Unternehmen erlaubte, personenbezogene Daten legal in die USA zu übermitteln.

    Daten ohne Grenzen

    Was in den Medien jedoch weitaus weniger thematisiert wird, ist der Versuch von Regierungen, Unternehmen außerhalb ihrer Gerichtsbarkeit zu regulieren und ihnen gegebenenfalls hohe Geldbußen aufzuerlegen. Sehen wir uns ein paar aktuelle Fälle und die dadurch entstehenden Probleme an:

    Französische Datenschutzbehörde CNIL vs. Google, 1. Runde: 2012 kündigte Google an, die Datenschutzbestimmungen für seine verschiedenen Produkte zu einer Richtlinie zusammenzufassen. Dies hatte zur Folge, dass Google die in einem der Dienste gesammelten personenbezogenen Daten auch dann nutzen kann, wenn jemand einen anderen Google-Dienst verwendet.

    Die französische Datenschutzaufsicht CNIL untersuchte den Fall und kam zu dem Schluss, dass die neue Richtlinie gegen das französische Datenschutzgesetz verstößt. Anfang 2014 verhängte die CNIL eine Geldstrafe von 150.000 EUR gegen Google – die höchste Strafe ihrer Geschichte. (Die spanische Datenschutzbehörde AEPD sah das ähnlich und verdonnerte Google zu einer Strafe von 900.000 EUR.)

    Derzeit ziehen mehrere EU-Länder in Erwägung, Google dazu zu verpflichten, eine Opt-out-Möglichkeit für seine konsolidierte Datenschutzrichtlinie anzubieten.

    Französische Datenschutzbehörde CNIL vs. Google, 2. Runde: Mitte 2014 urteilte ein spanisches Gericht, dass jede Person das Recht hat, von einer Suchmaschine die Löschung von Links zu Daten zu verlangen, die sie als irrelevant oder veraltet erachtet. Der Angeklagte war zwar erneut Google, doch das Urteil betrifft alle Suchmaschinen. Kurz danach führte Google ein System ein, mit dem die Nutzer das Löschen personenbezogener Informationen beantragen können (siehe dieses Online-Formular). Wird dies von Google bewilligt, werden die Links zu den jeweiligen Informationen im Land des Antragstellers gelöscht.

    Im Juni 2015 forderte die französische CNIL Google förmlich dazu auf, die Suchergebnisse aus den Google-Domains aller Länder weltweit zu entfernen, wenn ein EU-Bürger sein Recht auf Vergessenwerden reklamiert. Denn bisher löscht Google die entsprechenden Suchergebnisse lediglich innerhalb der EU. Die Datenschutzbehörde drohte Google mit Sanktionen, sollte das Unternehmen der Aufforderung nicht nachkommen.

    USA vs. Microsoft: 2013 forderten die US-Justizbehörden Microsoft zur Herausgabe von E-Mail-Daten eines Nutzers auf. Dabei handelte es sich um einen Nutzer aus Irland. Microsoft übergab zwar die nicht inhaltsbezogenen Informationen, die in den USA gespeichert waren, weigerte sich jedoch, die Inhalte des Nutzerkontos zu übergeben – mit der Begründung, dass US-Recht hier nicht gelte. Microsoft hat zwar kürzlich ein Berufungsverfahren verloren, will sich der Aufforderung der Justizbehörden jedoch weiterhin widersetzen.

    Das Unternehmen wird dabei von 28 Technologie- und Medienunternehmen, 23 Wirtschaftsverbänden und Interessengruppen und 35 Informatikprofessoren unterstützt, die ihre Rechtsansicht dem zuständigen New Yorker Gericht in einem eigenen Schriftsatz mitgeteilt haben. Im entgegengesetzten Fall könnte eine deutsche Behörde von einer deutschen Bank den Zugriff auf Informationen oder den Inhalt eines Tresorfachs in einer Zweigstelle in New York verlangen – und zwar ohne dass die betroffene Person davon in Kenntnis gesetzt würde und ohne Berücksichtigung des amerikanischen Rechts!

    Die Domain-Registry xyz.com hat der ICANN einen Vorschlag überreicht, nach dem neue Domänennamen, die Begriffe aus einer schwarzen Liste der chinesischen Regierung enthalten, automatisch blockiert würden. Laut Bericht einer branchenspezifischen Nachrichtenseite besteht diese Zensurliste aus etwa 12.000 Wörtern und Ausdrücken, darunter die chinesischen Begriffe für „Demokratie“, „Menschenrechte“ usw., die in keiner der Top-Level-Domains des Unternehmens mehr registriert werden dürften. Dies würde nicht nur für chinesische Registrants gelten, sondern für alle weltweit!

    Die neue Weltordnung

    Würden Unternehmen alle regulatorischen Anforderungen erfüllen, würde sich das Internet rasch auf den kleinsten gemeinsamen Nenner reduzieren. Anders gesagt: Die Regulierungsbehörde oder Regierung mit den strengsten Regeln könnte die Inhalte für alle anderen weltweit bestimmen.

    Ein weiteres Problem sind die Auswirkungen auf die Wirtschafts- und Geschäftswelt: Würde ein Unternehmen eine Cloud oder einen anderen Computing-Dienst nutzen, wenn es wüsste, dass die Regierung eines anderen Landes auf all seine Daten zugreifen kann – und nicht selten ohne dass es darüber informiert würde?

    Daraus ergibt sich die folgende alarmierende Situation:

    • Die französische Datenschutzbehörde fordert, dass bestimmte Suchergebnisse zu einer Person weltweit nicht mehr angezeigt werden.
    • Die US-Regierung verlangt Zugriff auf Daten eines Nutzerkontos, die außerhalb der USA auf dem Server einer Niederlassung gespeichert sind, wobei die einzige Verbindung zwischen dem Nutzer und den USA darin besteht, dass das Konto eine Microsoft-Adresse hat.
    • Eine Domain-Registry kommt dem Wunsch einer einzigen Regierung nach, fast 12.000 Begriffe zu verbieten, sodass kein Nutzer in keinem Land der Erde eine Domain registrieren kann, die einen dieser Begriffe enthält.

    Es gibt zwar bilaterale Rechtshilfeverträge (Mutual Legal Assistance Treaties, MLATs), die das Sammeln und Austauschen von Informationen im Rahmen der gesetzlichen Vorschriften ermöglichen. Doch im Fall von Microsoft erachtet die US-Regierung die MLATs als zu träge und umständlich. In anderen Fällen versucht eine einzige Regierung, ihre Richtlinien auch außerhalb ihres eigenen Landes durchzusetzen.

    Die Datenschutz-Grundverordnung der EU, die bald verabschiedet werden soll, kann auch außerhalb der Grenzen der EU angewendet werden. Selbst wenn ein Unternehmen ohne eine Niederlassung in der EU die Daten von EU-Bürgern über das Internet sammelt, unterliegt es den europäischen Datenschutzrichtlinien.

    Bei Verstößen gegen die Bestimmungen zur Sammlung und Verwendung personenbezogener Daten innerhalb der EU sieht die neue Grundverordnung zudem Strafen von bis zu fünf Prozent des Jahresumsatzes eines Unternehmens vor.

    Wie all das umgesetzt werden kann, steht allerdings in den Sternen.

    Fazit: Die bisherige Internetkultur ist an mehreren Fronten unter Beschuss. Länder versuchen, ihre eigenen Datenschutzgesetze und -richtlinien auf international tätige Konzerne anzuwenden. Dies widerspricht dem dezentralen Charakter des Internets. Und hat sowohl auf den Datenschutz als auch auf Produktinnovationen Auswirkungen.

    Die zentrale und bislang unbeantwortete Frage ist, ob das Internet quasi ein eigenes Territorium ist und, falls nicht, wessen Regeln für eine ortsungebundene digitale Welt gelten sollen.

    The post Grenzüberschreitende Datensicherheit: eine Bedrohung für das Internet? appeared first on Varonis Deutsch.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Michael Buckbee
    Michael Buckbee

    Michael hat als Systemadministrator und Softwareentwickler für Startups im Silicon Valley, die US Navy und alles dazwischen gearbeitet.

    Testen Sie Varonis gratis.
    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports
    Keep reading
    hinter-dem-varonis-rebranding
    Hinter dem Varonis-Rebranding
    hinter-dem-varonis-rebranding
    Courtney Bernard
    20. Februar 2024
    Entdecken Sie die Strategie, die hinter dem Rebranding von Varonis steht – mit einem Übergang zu einem Heldenarchetyp und der Einführung von Protector 22814.
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Cybersecurity-Trends 2024: Was Sie wissen müssen
    cybersecurity-trends-2024:-was-sie-wissen-müssen
    Lexi Croisdale
    16. Januar 2024
    Erfahren Sie mehr über Datensicherheitsmanagement, KI-Sicherheitsrisiken, Änderungen bei der Compliance und mehr, um Ihre Cybersecurity-Strategie für 2024 vorzubereiten.
    das-war-2023 – so-wird-2024
    Das war 2023 – so wird 2024
    das-war-2023 – so-wird-2024
    Sebastian Mehle
    13. Dezember 2023
    Im Kielwasser der massiven Verbreitung von WannaCry im letzten Monat sorgt gerade eine neue Variante von Ransomware für massive Störungen, dieses Mal unter der Bezeichnung „NotPetya“. Fast den gesamten Morgen...
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Podcast-Empfehlung: Alles, was Sie zu Data Security Posture Management
    podcast-empfehlung:-alles,-was-sie-zu-data-security-posture-management
    Sebastian Mehle
    8. Dezember 2023
    Im Gespräch mit Oliver Schonschek, News-Analyst bei Insider Research, hatte ich die Möglichkeit, das Konzept Data Security Posture Management zu erklären und zu zeigen, wie es sich in der Praxis umsetzen lässt. Dabei stand zunächst die Frage im Raum, ob und inwieweit wir unsere bisherigen Security-Konzepte neu denken müssen. Werden durch DSPM bewährte Praktiken wie Endpoint-Sicherheit, Firewalls und ähnliches gar obsolet?