Kleiner Provider-Vergleich in Sachen Datenschutz

Für die VDI-Nachrichten bin ich der Frage nachgegangen, wie gut bekannte Cloud- und Hosting-Anbieter in Sachen Datenschutz sind. Das Kürzel ADV steht für Auftragsdatenverarbeitung, also ob ein Anbieter willens ist, mit dem Kunden einen Vertrag darüber abzuschließen. Noch im August bot nur die Hälfte der hier gezeigten Provider einen Vertrag an. Das hat sich inzwischen stark verändert. Hier der erläuternde Begleittext – und hier die  Übersicht:

Cloud- und Hosting-Anbieter Dienste ADV Standort Verschlüsselung Zertifizierung
1&1 Internet AG Cloud-Server keine Angaben EU/USA Backups werden verschlüsselt, Zugriff per VPN/SSL/TLS möglich keine Angaben
Deutsche Telekom AG Business Marketplace: Software as Services aus der Cloud, z.B. Exchange Online, Office 365, Speicher von Strato, Abrechnungssoftware von Fastbill und Sage Ja DE für Portal, verschiedene Orte für verschiedene Anwendungen SSL-Verschlüsselung für Kommunikation mit Online-Anwendungen; die Telekom hat alle ihrem „Privacy and Security Assessment“ unterzogen TÜV-Rheinland-Siegel „Certified Cloud Service“, diverse Zertifizierungen der Anwendungen, z.B. ISO/IEC 27001 für Microsoft Office 365
domainfactory GmbH (Host Europe Groupe) JiffyBox Cloud-Server Ja DE bis 2. Q. 2016, danach F SSL für Server-Anwender-Kommunikation, PGP für E-Mail keine Zertifizierung
Hornetsecurity Verschlüsselte Cloud-Speicher, verschlüsselte E-Mail, Webfilter Ja DE TLS, S/MIME, PGP; AES-256 und SSL für Ende-Zu-Ende-verschlüsselten Cloud-Speicher ISO/IEC 27001 für IT-Sicherheit, TSI 3.1, „Trusted App“ von TÜVIT, „E-Mail made in Germany“-Provider von TÜV Rheinland i-sec GmbH
Host Europe GmbH (Host Europe Groupe) Virtuelle Server, Rootserver, Cloud Server, Private Cloud Server Ja DE/F SSL für Server-Anwender-Kommunikation, PGP für E-Mail ISO/IEC 27001 für IT-Sicherheit für deutsches Rechenzentrum
Spacenet Exchange Server in der Cloud, Managed Hosting, individuelle Cloud-Lösungen Ja DE SSL, AES 256 sowie eine Vielzahl von physikalischen und virtuellen Firewall Setups ISO/IEC 27001 für IT-Sicherheit, Vorbereitung auf ISO/IEC 20000; Nachhaltigkeitszertifikat von ClimatePartner
Strato AG verschlüsselte E-Mail, Homepage-Baukasten, Hosting, Webshops, Online-Speicher, Server Ja DE Perfect Forward Secrecy (PFS) für Mail, SSL mit PFS für Homepages in Vorbereitung, SSL mit PFS für Domain, TLS/SSL für OnlineSpeicher, alle gängigen Verschlüsselungen für Server ISO/IEC 27001 für IT-Sicherheit, ISO 9001 für Qualitätsmanagement
united hoster GmbH Diverse Cloud-Dienste Ja DE Kunde kann nach seinen Bedürfnissen Verschlüsselungsarten einstezen, Cloudspeicher ab Werk verschlüsselt ISO/IEC 27001 für IT-Sicherheit, eine nicht näher bezeichnete TÜV-Zertifizierung
QualityHosting AG Hosted Exchange, Hosted SharePoint, Hosted Lync, CloudServer, Dedizierte Server-Lösungen Ja DE Hosted Exchange: TLS Policies, S/MIME, PGP, QualityHosting regify® ISO/IEC 27001 für IT-Sicherheit

Geht doch: Datenschutzlösungen für Kommentarproblem

Es bleibt nichts, wie es ist: Nach meinem Beschluss, aus Datenschutzgründen auf Kommentare zu verzichten, haben sich zwei praktische Lösungswege aufgetan: Lutz Donnerhacke bietet mir an, mich auf IKS zu hosten und mit mir einen ordentlichen ADV-Vertrag abzuschließen.

Jetzt muss ich mir nur Gedanken darüber machen, was ein solcher Vertrag für ein Blog bedeutet. Über Weiteres werde ich nach einer Reflexion dieser kleinen Orientierungshilfe aus dem Hause von Thomas Kranig berichten. Ich hoffe sehr, dass mir der eine oder die andere hier ein paar Tipps geben kann.

Kranig hatte übrigens im August ein fünfstelliges Bußgeld gegen ein Unternehmen verhängt, das keine adäquaten ADV-Verträge abgeschlossen hatte. Interessant ist, dass man demnach mit Standard-Verträgen sehr vorsichtig sein muss, weil der Vertrag natürlich immer die IST-Datenverarbeitung abbilden muss. Auch mein Vertrag wird daher keine Blaupause für alle Blog-ADV-Verträge sein können.

Außerdem hat sich über Twitter der Dresdner-Web-Designer Frank Stachowitz gemeldet. Auf Anregung der Rechtsanwältin Astrid Christofori arbeitet er jetzt daran, das Cookie-Plugin, das mit einer informierten Einwilligung arbeitet, für die Kommentare umzuarbeiten. Dann haben alle WordPress-Nutzer etwas von meiner kleinen Aktion. Mehr, wenn es so weit ist. Er selbst hat auch schon einen Blog-Beitrag darüber angekündigt.

Kommentare hierzu gerne wieder über Twitter oder Mail. Über weitere Zwischenergebnisse berichte ich hier.

Aus Datenschutzgründen vorerst keine Kommentare mehr möglich

Das ist wirklich nicht der Sinn eines Blogs – aber ja: Im Moment sehe ich keine Möglichkeit, diesen Blog rechtskonform zu betreiben. Aus Datenschutzgründen. Und leider ist das keine faule Ausrede. Denn mein Provider verweigert einen Vertrag zur Auftragsdatenverarbeitung, den ich nach § 11 BDSG brauche, wenn Besucher kommentieren und möglicherweise personenbezogene Daten hinterlassen. Angeblich stellt er die Möglichkeit zur Verfügung (laut Pressestelle), aber auf meine Anfrage wurde mir das seitens der Hotline und des Datenschutzbeauftragten verwehrt – im Sinne von „nicht nötig“.

Die Alternative besteht darin, dass jeder Kommentierende einwilligt, dass seine Daten zu meinem Provider übertragen werden. WordPress stellt aber keine solche Einwilligung in Form eines Kästchens bereit und ich habe jetzt nicht die Zeit dafür, so ein Plugin zu schreiben.

Und leider, leider erlaubt auch der so lockere Paragraf 29 BDSG, der eine Interessensabwägung erlaubt, ausgerechnet für Blogs keine Ausnahme. Liegt wohl an der fehlenden Lobby.

Die Datenschutz-Aufsichtsbehörden bestehen auf einer sauberen Lösung, musste ich heute leider erfahren. Und ja, obwohl die Rechtslage eindeutig ist, geben sie zu, dass eine Umsetzung in der Praxis schwierig ist. Der Markt müsse das regeln, was er aber mangels Druck der Aufsichtsbehörden nicht tut.

Da ich jetzt nicht auf eine Abmahnung einer Aufsichtsbehörde warten möchte, gibt es vorerst leider keine Möglichkeit mehr für Kommentare. Was in der Praxis nicht soo dramatisch ist, da die letzten Beiträge ja nicht mehr kommentiert wurden. Und ich ja weiterhin per Mail oder Twitter erreichbar bin, falls einem Leser eine schlaue Lösung einfällt.

In eigener Sache: Neuer RSS-Feed

Liebe Leser und Leserinnen,

auf Grund des Safe-Harbor-Urteils des Europäischen Gerichtshofs kann ich leider nicht mehr den bequemen Feedburner-Feed anbieten. Falls Sie weiterhin meine Beitrage regelmäßig lesen wollen, können Sie unter den Original-Feeds folgende Formate selbst auswählen und in ihren Reader einspielen:

So viel geben die Bundesländer pro Einwohner für den Datenschutz aus

Und hier weitere Zahlen zur Ausstattung der Datenschutz-Aufsicht durch die Politik – diesmal sehr eng angelehnt an den Erwägungsgrund 92 des Europäischen Parlaments zu Datenschutzreform, wonach „die Bevölkerungszahl und der Umfang der Verarbeitung personenbezogener Daten zu berücksichtigen“ sind. Die Fläche des Landes spielt ausdrücklich keine Rolle, ebensowenig die Haushaltslage. Hier also die Berechnung entlang der Bevölkerungszahl:

Ausgaben-Aufsichtsbehörden-Bevölkerung-Bundesland-2015

 

P.S. Bremen ist klar Spitzenreiter, weil es vergleichsweise wenige Einwohner hat und irgendwie eine halbwegs funktionierende Behörde aufstellen muss. Herausragend sind aber Berlin, Hessen und Schleswig-Holstein.

Hier die Rohdaten:

Bevölkerung 31.12.2013 Budgetansatz Aufsichtsbehörden 2015 Euro pro Bewohner
Bund 80.767.463 6.359.000 € 0,08 €
Baden-Württemberg 10.631.278 1.984.300 € 0,19 €
Nordrhein-Westfalen 17.571.856 3.893.900 € 0,22 €
Bayern 12.604.244 3.115.200 € 0,25 €
Rheinland-Pfalz 3.994.366 1.576.400 € 0,39 €
Niedersachsen 7.790.559 3.517.000 € 0,45 €
Sachsen 4.046.385 2.086.100 € 0,52 €
Brandenburg 2.449.193 1.719.700 € 0,70 €
Schleswig-Holstein 2.815.955 2.088.000 € 0,74 €
Hessen 6.045.425 4.536.700 € 0,75 €
Thüringen 2.160.840 1.658.500 € 0,77 €
Sachsen-Anhalt 2.244.577 1.785.100 € 0,80 €
Saarland 990.718 807.600 € 0,82 €
Hamburg 1.746.342 1.441.000 € 0,83 €
Mecklenburg-Vorpommern 1.596.505 1.417.700 € 0,89 €
Berlin 3.421.829 3.234.100 € 0,95 €
Bremen 657.391 957.000 € 1,46 €

Neues zu Trusted Computing

Es kommt eigentlich nicht oft vor, dass man mit einer bestimmten Meinung eine Recherche beginnt und dann mit einer ganz anderen Meinung die Recherche beendet. Jüngst ist mir das beim Thema „Trusted Computing“ so gegangen. Der Beitrag ist jetzt in der aktuellen c’t unter dem Titel „Digitaler Souveränitätsverlust“ erschienen.

Am Anfang stand die Frage: Was ist eigentlich aus dem kernigen „Trusted Computing“-Papier der Bundesregierung aus dem Jahre 2012 geworden? Am Ende musste ich die Frage ernüchtert mit „Nicht viel!“ beantworten. Während ich am Anfang vor allem Microsoft misstraute, war am Ende, nach mehreren Monaten Recherche, zahllosen Hintergrundgesprächen und etlichen zurückgenommenen Aussagen eher mein Vertrauen in die Bundesregierung erschüttert.

Dass wenig bis nichts aus dem Papier umgesetzt wurde, ist einerseits nicht überraschend, weil letztlich wirtschaftliche Interessen die Hardware- und Software-Entwicklung bestimmen. Andererseits aber wiederum doch, weil die Bundesregierung durchaus ein paar Handlungsoptionen hat, die sie aber nicht nutzt.

Um diese Optionen geht es in dem Beitrag. Außerdem erklärt er, warum das Papier keineswegs heiße Luft ist. Und schließlich geht es darum, wie wir „mit kompromittierten Systemen leben lernen müssen“, wie der Passauer Sicherheitsexperte Joachim Posegga so schön formulierte.