Ich verstehe das Problem nicht

Die DSGVO ist im Kern relativ einfach:

1. Wenn ich Daten eines Nutzers/Kunden/Mitarbeiter/etc. erfassen möchte, dann muss ich dieser Person genau mitteilen welche Daten ich zu welchen Zweck erfassen möchte, wo ich diese Daten speichern werden, wie ich sie speichern werden und wie lange ich sie speichern werde und brauche seine explizite Einwilligung dazu.

2. Wenn ich gespeicherte oder erfasste Daten verarbeiten möchte, d.h. irgendwas mit diesen Daten anstellen möchte, außer sei zu speichern und wieder abzurufen, dann muss ich dieser Person genau mitteilen welche Daten ich zu welchen Zweck, wie verarbeiten möchte, was mit den Ergebnissen dieser Verarbeitung passiert und brauche wieder eine explizite Einwilligung dazu.

3. Wenn ich Daten weitergeben möchte, dann muss ich genau spezifizieren welche Daten und an wen und brauche eine explizite Einwilligung dazu.

Was bitte ist jetzt so extrem schwer daran zu verstehen oder umzusetzen oder so ein große Hemmnis? Für mich stellt sich eher die Frage, wozu wir eine DSGVO gebraucht haben, denn alles was ich gerade geschrieben habe sollte eigentlich eine Selbstverständlich für Unternehmen sein.

Jetzt gibt es in der DSGVO aber noch ein paar explizite Ausnahmen, die man jedoch nicht nutzen muss, wenn man sie nicht versteht. Man darf immer alles so machen wie oben beschrieben, aber Daten, an denen man ein "berechtigtes Interesse", dürfen auch ohne explizite Einwilligung im Rahmen dieses Interesse genutzt werden. Hier erteilt der Nutzer praktisch implizit seine Einwilligung. Wenn ich irgendwo was bestelle und das per Post geliefert haben möchte, dann ist klar:

- Der Versender muss mein Anschrift erfassen und zumindest temporär speichern, weil sonst kann er mir nichts zusenden.

- Er muss meine Bezahldaten erfassen und zumindest temporär speichern, weil sonst kann er den Kaufpreis nicht abrechnen.

- Er muss meine Anschrift an die Post weitergeben, weil sonst können die mir nichts zustellen und natürlich muss die Post diese Daten temporär irgendwo speichern.

- Er muss die Rechnung der Bestellung aufheben, zum einen um seinen Gewährleistungspflichten nachzukommen und weil er diese Rechnung ggf. für das Finanzamt braucht, zum anderen weil gesetzliche Regelungen verlangen, dass derartige Dokumente einen gewissen Zeitraum aufbewahrt werden, falls es mal zu einer Buchprüfung oder einem Rechtsstreit kommt.

Für alles das braucht er keine explizite Zustimmung von mir. Er muss lediglich darauf hinweisen, dass er das tun wird, aber durch meine Bestellung erteile ich implizit meine Zustimmung dazu.

Bleiben noch Auskunft- und Löschpflichten:

- Wer wissen will, welche Daten über ihn gespeichert, weitergeleitet oder verarbeitet wurden, der hat das Recht das jederzeit zu erfragen und auch eine Kopie dieser Daten anzufordern. D.h. im Umkehrschluss, jede Weitergabe und Verarbeitung muss natürlich dokumentiert werden und diese Dokumentation wird Teil der Daten der Person.

- Außerdem kann er jederzeit fordern, dass alle Daten über ihn gelöscht werden, was allerdings mit Konsequenzen verbunden sein kann (z.B. stehen ihn dann bezahlte Dienstleistungen nicht länger zu Verfügung, weil diese nur mit diesen Daten erbracht werden können, und nein, er hat deswegen kein Recht sein Geld zurück zu verlangen). Daten mit berechtigten Interesse sind davon ausgeschlossen und dürfen solange weiter behalten werden, bis das Interesse erlischt, allerdings ab da wären diese sowieso zu löschen gewesen, sofern keine explizite Einwilligung vorliegt, weil ab da auch die implizite erlischt.

Und das Argument, dass man Daten an nicht DSGVO Länder weitergeben muss, kann ich so nicht nachvollziehen. Eine Dienstleister in den USA oder in Asien muss meine Kunden nicht namentlich kennen, um für die eine Dienstleistung zu erbringen. Dem kann jeder Kunde auch nur als eine Kundennummer bekannt sein und ansonsten weiß er nichts direkt von der Person. Daten in einer US Cloud zu speichern ist keine Weitergabe, wenn der US Cloudanbieter keinen Zugriff auf die Daten hat und das hat er im Normalfall auch nicht.

/Mecki

Sehe ich ähnlich wie du, und ich glaube das Problem ist nicht die Auslegung als solche, sondern eher, dass die Leute die das lesen, sich nicht vorstellen *wollen*, was sie zu tun haben, und sich versuchen mit jeglichen Argumenten davor zu drücken, das auch umzusetzen.
Ist wie das Cloud-Thema aktuell mit dem EuGH. Das EuGH hat da relativ klar geurteilt, keine Ahnung warum das so ewig dauert. Gegen meinen AG liegt auch eine Beschwerde vor weil wir Office365 (incl. Outlook @ Cloud) nutzen, aber da kam die letzten Monate nichts, weil die Behörden das Thema anscheinend ebenfalls aussitzen, bis es einen Präzedenzfall von "jemand anderem" gibt.

Die Regeln sind eigentlich klar - sie will nur keiner umsetzen, weil das viel Arbeit ist, und deshalb drückt sich jeder mit der dummen Ausrede, dass es nicht eindeutig ist.

Ich gebe dir vollumfänglich Recht. Datenschutz kann wirklich so einfach sein.

Allerdings erlebe ich fast täglich wie selbst bei internen Prozessen geschludert wird, dass sich einem die Zehennägel kreuseln. Das fängt bei der Arbeitszeiterfassung an, geht weiter über den Prozess der Krankmeldung und hört bei der Angestelltendokumentation nicht auf.
Und wenn schon interne Prozesse nicht sauber laufen, dann braucht man über die externen nicht weiter nachdenken.

Ich bin seit einiger Zeit externer Datenschutzbeauftragter für verschiedene Unternehmen. In der Regel brauche ich knapp zwei Wochen in kleinen Unternehmen (< 20 Angestellte) um existierende Prozesse zu dokumentieren, analysieren, DSGVO-konform anzupassen und anschließend die Mitarbeiter zu in die neuen Prozesse einzuweisen. Du machst dir, auch mit dystopischer Fantasie, keine Vorstellung was in so manchen Unternehmen alles schief laufen kann.

Jedenfalls verwundert es dann nicht mehr, wenn mit den Daten von Kunden schludrig bis fahrlässig umgegangen wird.

Naja, ist nicht immer ganz so einfach.

Beispiel Checks auf Betrügerische Kunden. Niemand mag es übers Ohr gehauen zu werden. Also werden von solchen Kunden so viele Daten wie möglich gespeichert damit man nicht noch einmal betrogen wird. Wann muss man diese Daten löschen? Wir haben da von zig Fachleuten unterschiedliche Infos zu bekommen was man jetzt wie lange speichern darf. Selbst von den Landesdatenschutzbeauftragten kommen da je nach Bundesland unterschiedliche Aussagen zu.

Avarion schrieb:
--------------------------------------------------------------------------------
> Naja, ist nicht immer ganz so einfach.
>
> Beispiel Checks auf Betrügerische Kunden. Niemand mag es übers Ohr gehauen
> zu werden. Also werden von solchen Kunden so viele Daten wie möglich
> gespeichert damit man nicht noch einmal betrogen wird. Wann muss man diese
> Daten löschen? Wir haben da von zig Fachleuten unterschiedliche Infos zu
> bekommen was man jetzt wie lange speichern darf. Selbst von den
> Landesdatenschutzbeauftragten kommen da je nach Bundesland unterschiedliche
> Aussagen zu.

Um dir spezifisch antworten zu können fehlen genauere Informationen. Daher versuche ich allgemein zu antworten.

Die DSGVO erlaubt das Speichern von Daten aus Gründen des berechtigten Interesses.
Sollte eine Firma betrogen worden sein und die Daten des Betrügern entgegen seines ausdrücklichen Wunsches speichern wollen, so stehen sich hier zwei Ansprüche entgegen. Nach Abwägung der Interessen dürfen natürlich Daten gespeichert bleiben, die im Zusammenhang mit dem Betrug stehen. Auch dürfen diese Daten verwendet werden um zu verhindern, dass die selbe Person nochmals aktiv werden kann.
Du musst dir diesen Datensatz als Kästchen vorstellen, an den zwei Parteien Besitzansprüche erheben. Es muss nun entschieden werden wessen Interesse überwiegt. Der Betrüger, sollte er in den Besitz des Kästchens gelangen, könnte dir damit erneut Schaden zufügen. Du hingegen möchtest ausschließlich Schaden von dir abwenden. Wessen Interesse nun überwiegt ist eindeutig. Du darfst die Daten also weiterhin speichern.

Schwieriger ist der Fall, wenn nur der Verdacht vorliegt, dass es einen versuchten Betrug gab. In diesem Szenario gibt es rein juristisch keinen Betrüger und der entsprechende Kunde hat ein Recht auf Löschung seiner Daten. Hiervon ausgeschlossen wären Daten, die zwecks eines eventuellen juristischen Vorgehens gegen besagten Kunden gespeichert bleiben sollen.
In der Zeit, die man für diese Entscheidung benötigt, sollte man den Angriffsvektor bestimmen um zukünftigt ähnliche Betrugsversuche verhindern zu können.

Ebenfalls strittig ist die Frage wie lange die Daten eines erfolgten Betrugs gespeichert bleiben dürfen. Die statthafte Speicherdauer liegt irgendwo zwischen der Dauer des juristischen Verfahrens und unendlich.
Zwar gibt es im Zivilrecht nicht den Ansatz zur Rehabilitation, dennoch kann ein ehemaliger Betrüger geltend machen, dass das dauerhafte Speichern der Daten und das verwehren einer Dienstleistung unverhältnismäßig ist. Hier kommt es auf zu viele Faktoren an um allgemeingültig zu antworten.

Ich hoffe, ich konnte dir hilfreiche Ansätze bieten und aufzeigen, dass es selbst in solchen Fällen recht einfache und pragmatische Lösungen gibt.

/mecki78 schrieb:
--------------------------------------------------------------------------------
> Die DSGVO ist im Kern relativ einfach:
>
> ...

Das stand sehr wenig Falsches, an der Realität trotzdem weit vorbei, vermutlich noch nie ernsthaft mit dem Thema beschäftigt.

Das fängt mit den förderalen Strukturen im DS an. Verfahren die ich in NRW nutzen kann, können in Bayern anders bewertet werden. Oder erst Berlin...

Irre Entscheidungen: Das mal suchen: Vergabekammer Baden-Württemberg Beschl. CLOUD Act
Lesen und weiterdenken.

Stichwort Kundennummen, klingt wie Ano- bzw. Pseudonymisierung von Daten. Nein, ist nicht so einfach wie im Beispiel benannt.

Löschen bzw. Auskunft geben. Wie weit geht dass, wenn Daten mit anderen Daten verarbeitet werden, neue Daten entstehen.

Es ist machbar, aber vieles sehr weit weg von Einfach, wenn Daten ein zentrales Element sind.

Grüsse aus der Medizingeräteherstellung und in die Praxisbringung.

Robert

/mecki78 schrieb:
--------------------------------------------------------------------------------
> Die DSGVO ist im Kern relativ einfach:
>
> 1. Wenn ich Daten eines Nutzers/Kunden/Mitarbeiter/etc. erfassen möchte, …
> und brauche seine explizite Einwilligung dazu.
>
> 2. Wenn ich gespeicherte oder erfasste Daten verarbeiten möchte, d.h.
> irgendwas mit diesen Daten anstellen möchte, außer sei zu speichern …
> und brauche wieder eine explizite Einwilligung dazu.
>
> 3. Wenn ich Daten weitergeben möchte, dann muss ich genau spezifizieren
> welche Daten und an wen und brauche eine explizite Einwilligung dazu.

Die DSGVO ist so einfach, dass auf Anhieb alle drei genannten Punkte grob falsch sind.

luzipha schrieb:
--------------------------------------------------------------------------------
> Allerdings erlebe ich fast täglich wie selbst bei internen Prozessen
> geschludert wird, dass sich einem die Zehennägel kreuseln.

Das liegt daran, dass hier oft ein Prozess komplett durchgeplant wird, ganz ohne dabei überhaupt an Datenschutz zu denken und man dann hinterher versucht Datenschutz drüber zu stülpen und das funktioniert so nicht. Denn das wichtigste am Datenschutz ist Datenminimierung und die muss bereits in der Planung im Zentrum stehen, denn nach der richtet sich die ganze Planung. Um Daten, die ich nicht erhebe, muss ich mir nämlich auch keinen Kopf machen und oft werden Daten erhoben, ohne dass irgendwer die Notwendigkeit dahinter erklären kann.

/Mecki

Vollkommen richtig.

Eine Frage an die Profis aus Interesse:
Microsoft und Google bewerben auch Server in Deutschland, die der DSGVO entsprechen sollen. Ich habe aber auch schon gehört, dass dies trotzdem out of the box nicht der Fall sein soll.
Nun habe ich in den letzten Jahren in Konzernen gearbeitet, in denen entweder Office365 oder aktuell Google Workspace im Einsatz ist. Wie machen die das? Spezielle Verträge oder hoffen, dass die Rechtsanwälte das im Falle einer Beschwerde schon richten?
Bei mit im Verein (Jugendarbeit) macht man grade ein riesen Fass auf, dass man schnellsten weg von O365 muss. Aber warum?

luzipha schrieb:
--------------------------------------------------------------------------------
>
> Ich bin seit einiger Zeit externer Datenschutzbeauftragter für verschiedene
> Unternehmen. In der Regel brauche ich knapp zwei Wochen in kleinen
> Unternehmen (< 20 Angestellte) um existierende Prozesse zu dokumentieren,
> analysieren, DSGVO-konform anzupassen und anschließend die Mitarbeiter zu
> in die neuen Prozesse einzuweisen.

Das ist auch mein Ansatz. Ich beginne auch immer bei den Geschäftsprozessen, denn dort können mir die Fachleute anhand von definierten Schritten erklären, welche Daten sie wofür nutzen und die IT kann erklären, wie die Daten in diesen Schritten verarbeitet werden. IT und Fachleute zusammen, die miteinander reden, sind der erste wichtige Schritt. Den Ansatz habe ich vor einigen Jahren aus einem Forschungsprojekt übernommen. Mittlerweile wird das vom SHI-Institut als Tool Primo verkauft. Vielleicht ist das ganz interessant.

/mecki78 schrieb:
--------------------------------------------------------------------------------
> Die DSGVO ist im Kern relativ einfach:
Ja

> 1. Wenn ich Daten eines Nutzers/Kunden/Mitarbeiter/etc. erfassen möchte,
> dann muss ich dieser Person genau mitteilen welche Daten ich zu welchen
> Zweck erfassen möchte, wo ich diese Daten speichern werden, wie ich sie
> speichern werden und wie lange ich sie speichern werde und brauche seine
> explizite Einwilligung dazu.

Nein, das ist oft noch einfacher: Der Kunde gibt seine Daten oft explizit an, damit ist schon klar, dass er sie Dir gibt. Erst wenn Daten implizit erfasst werden (wie z.B. die IP-Adresse, die der Kunde ja nicht selbst in die Logs hineinschreibt), braucht man die Einwilligung des Kunden - oder aber man hat einen wichtigen Grund für die Speicherung (z.B. Schutz vor Angriffen), der nicht durch andere Maßnahmen erreichbar ist. D.h. wenn diese Abwägung positiv war, braucht man auch nur die Information, aber nicht die Einwilligung.

Aber: Dafür MUSS die Abwägung durchgeführt und dokumentiert sein und der Kunde informiert werden - das macht natürlich Aufwand.

Brainface schrieb:
--------------------------------------------------------------------------------
> Eine Frage an die Profis aus Interesse:
> Microsoft und Google bewerben auch Server in Deutschland, die der DSGVO
> entsprechen sollen. Ich habe aber auch schon gehört, dass dies trotzdem out
> of the box nicht der Fall sein soll.
> Nun habe ich in den letzten Jahren in Konzernen gearbeitet, in denen
> entweder Office365 oder aktuell Google Workspace im Einsatz ist. Wie machen
> die das? Spezielle Verträge oder hoffen, dass die Rechtsanwälte das im
> Falle einer Beschwerde schon richten?
> Bei mit im Verein (Jugendarbeit) macht man grade ein riesen Fass auf, dass
> man schnellsten weg von O365 muss. Aber warum?

Ist ganz einfach. [www.microsoft.com] https://www.microsoft.com/de-de/microsoft-365/business/data-security-privacy-germany: "Die Sicherheit Ihrer Geschäftsdaten steht im Mittelpunkt unserer Bemühungen. Unsere Microsoft 365 Angebote entsprechen geltendem Recht, insbesondere der DSGVO. Die Geschäftsdaten von Unternehmenskunden mit Sitz in Deutschland werden in deutschen Rechenzentren gespeichert."
Zertifizierungen dazu liegen unter [servicetrust.microsoft.com] https://servicetrust.microsoft.com/

Unternehmen können sich auf Zertifizierungen von Zulieferern berufen.

Jetzt kommen wir aber in den Bereich Deutungen.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
(Datenschutzkonferenz) hat 2020 festgestellt, dass Microsoft 365 nicht DSGVO konform ist. Allerdings auch nicht so 100% klar. 9 Vertreter haben für nicht DSGVO konform gestimmt, 8 für DSGVO konform.

Das ist relativ knapp und bedeutet, dass sich die Datenschutzbehörden da nicht einig sind. (Rheinland Pfalz, Sachsen,Bayern, Baden-Württemberg, Hessen und das Saarland beispielsweise sahen es als DSGVO konform). Der Landesdatenschutzbeauftragte von Baden- Württemberg hat es aber ja mittlerweile auch für Schulen als nicht DSGVO konform gebrandet. Heißt: Nicht mal das gleiche Bundesland bleibt bei einer Einstufung.

Hauptkritikpunkt der 9 anderen Behörden sind - Unklare Grundlage Telemmetriedaten, einigen zu abstrakte Angaben zur Verarbeitung und Erhebung von personenbezogenen Daten, zu abstraktes Risikomanagement.

Aber wie gesagt: Ob es Datenschutzkonform ist oder nicht ist keine wirklich einheitliche Aussage.
Ist der jeweilige Datenschutzbeauftragte eher Linux/Open Source lastig, wird die Antwort in der Regel : Nein ist nicht Datenschutzkonform sein.

Übrigens heißt Office 365 mittlerweile Microsoft 365.

Jetzt ist die Frage: das mit Telemetriedaten was bei MS 365 in Kritik ist, kann man auch auf Windows 10, 11 übertragen
Wenn der Verein also Windows Rechner einsetzt, müsste darauf geachtet werden, in welcher Version und wie. MS gibt da einiges an (die Home Version die Vereine gerne zum Sparen nutzt ist nach einigen Seiten nicht DSGVO konform, listet MS auch nicht bei Datenschutz mit auf) [learn.microsoft.com]https://learn.microsoft.com/de-de/windows/privacy/windows-10-and-privacy-compliance

Heißt: Im Endeffekt sind es Deutungen. Ich persönlich setze privat und geschäftlich Office 365 ein. Aber.. ich nutze auch ein Smartphone. Und als Betroffener Elternteil: Home Schooling des Kindes an Berufsschule mit Teams hat super geklappt. Homeschooling bei dem Jüngeren mit BigBlueButton - Katastrophe. wenn hat es meist erst nach etwa einer halben Stunde geklappt. Größere Aussetzer. Elternsprechstunde darüber: fixe Zeit, Verspätung des Lehrers am Anfang hiess: nach 2 Minuten war der Zeitslot abgelaufen. Könnte nur der admin verlängern der nicht mehr da war... Abgesehen davon glaube ich, dass sich die Schule nie das von BBB zum Thema Datenschutz angesehen hat, die merken nämlich auch an, das die nicht DSGVO konform in der Standardinstallation sind und man bei Plugins aufpassen muss...

In der DSGVO steckt weit mehr als du hier erwähnt hast.
Unter anderem die vollständige Dokumentation aller Prozesse im Unternehmen wo entsprechende Daten verarbeitet werden, inkl. Nachweis- und Löschpflichten.
Wie willst du z.B. der Forderung eines Bewerbers nachkommen seine Daten nach erfolgloser Bewerbung zu löschen wenn er diese per EMail an ein Sammelpostfach des HR geschickt hat welches in der Cloud liegt? Inkl. der Daten im Backup?
Das geht nur durch eine Prozessänderung und Einführung eines Bewerbermanagements außerhalb des normalen Netzwerks.
Wie willst du die unterschiedlichen Lösch- und Nachweisfristen einhalten wenn die Daten in winem Fileshare der Abteilung liegen? Prozessänderung, Abschaffung von Fileshares, Einführung eines DMS.

Eine Firma welche die DSGVO vollständig umsetzen will muss dafür Personal einstellen und jede Menge Geld investieren, und das ist das Problem.

Auch ein Problem ist es wenn die Firma schon 100 Jahre existiert und Daten aus der gesamten IT Zeit davon hat die sortiert, kategorisiert und ggf. gelöscht werden müssen.
Es gibt kein "ab jetzt machen wir DSGVO" und gut.

Nicht umsonst gibt es inzwischen unzählige Beratungsunternehmen die sich rein auf die Umsetzung der DSGVO spezialisiert haben.

gadthrawn schrieb:
--------------------------------------------------------------------------------
> Ist ganz einfach. www.microsoft.com www.microsoft.com "Die Sicherheit Ihrer
> Geschäftsdaten steht im Mittelpunkt unserer Bemühungen. Unsere Microsoft
> 365 Angebote entsprechen geltendem Recht, insbesondere der DSGVO. Die
> Geschäftsdaten von Unternehmenskunden mit Sitz in Deutschland werden in
> deutschen Rechenzentren gespeichert."
> Zertifizierungen dazu liegen unter servicetrust.microsoft.com
> servicetrust.microsoft.com
> ...

Wow, vielen Dank für die ausführliche Erläuterung!
Wahnsinn, was da alles dran hängt.

Brainface schrieb:
--------------------------------------------------------------------------------
> gadthrawn schrieb:
> ---------------------------------------------------------------------------
> -----
> > Ist ganz einfach. www.microsoft.com "Die Sicherheit Ihrer
> > Geschäftsdaten steht im Mittelpunkt unserer Bemühungen. Unsere Microsoft
> > 365 Angebote entsprechen geltendem Recht, insbesondere der DSGVO. Die
> > Geschäftsdaten von Unternehmenskunden mit Sitz in Deutschland werden in
> > deutschen Rechenzentren gespeichert."
> > Zertifizierungen dazu liegen unter servicetrust.microsoft.com
> > servicetrust.microsoft.com
> > ...
>
> Wow, vielen Dank für die ausführliche Erläuterung!
> Wahnsinn, was da alles dran hängt.

Es ist noch viel geiler: Was macht eigentlich der Geschäftsführer von Microsoft Deutschland, wenn sein amerikanischer Boss mit dem CLOUD-Act wedelt und erklärt, man müsse umgehend Daten XY an eine ungenannte 3-Buchstaben-Gesellschaft liefern?
1) Sich gemäß DSGVO weigern und hoffen, dass Microsoft Amerika für diese Weigerung nicht bestraft wird?
2) Sich gemäß DSGVO weigern und die schadensbegrenzende Kündigung seitens Microsoft Amerika annehmen?
3) Die DSGVO ignorieren und möglichst heimlich die Daten liefern?
4) Gesetzeskonform die Daten nach Amerika liefern und gesetzeskonform sich wegen des DSGVO-Verstoßes selbst anzeigen?

Fragen über Fragen, die mein Vertrauen irgendwie beeinflussen.

tom.stein schrieb:
--------------------------------------------------------------------------------
> 3) Die DSGVO ignorieren und möglichst heimlich die Daten liefern?

Wer etwas anderes annimmt als das, ist sehr naiv. Außerdem gibt es dafür im Zweifel die National Security Letter, die in der Regel eine Geheimhaltungsanordnung beinhalten. Ich kenne die genaue Rechtslage in den USA nicht, aber vermute, dass die Person die solche Infos durchsickern lässt, sich auch selbst / direkt / privat Strafbar macht, und das ist dann ja auch nochmal etwas anderes, als nur Microsoft an Konzern ans Messer zu liefern.

43rtgfj5 schrieb:
--------------------------------------------------------------------------------
> tom.stein schrieb:
> ---------------------------------------------------------------------------
> -----
> > 3) Die DSGVO ignorieren und möglichst heimlich die Daten liefern?
>
> Wer etwas anderes annimmt als das, ist sehr naiv. Außerdem gibt es dafür im
> Zweifel die National Security Letter, die in der Regel eine
> Geheimhaltungsanordnung beinhalten. Ich kenne die genaue Rechtslage in den
> USA nicht, aber vermute, dass die Person die solche Infos durchsickern
> lässt, sich auch selbst / direkt / privat Strafbar macht, und das ist dann
> ja auch nochmal etwas anderes, als nur Microsoft an Konzern ans Messer zu
> liefern.

Ja, wer die Daten für sicher hält, ist sicher-lich naiv.
Aber: Die Geheimhaltung gilt für die amerikanische Mutter. Um an die Daten zu kommen, muss sie diese von der deutschen Tochterfirma einfordern. Der darf sie nichts von dem NSL erzählen - aber die deutsche Tochter darf in Deutschland erzählen, dass sie Daten herausgegeben hat.

Aber realistisch betrachtet: Warum sollte sie sich an den Pranger stellen? Wahrscheinlicher ist eine heimliche Herausgabe der Daten, was zum gleichen Ergebnis führt wie der NSL.