IT und die rosarote JuristInnenbrille
Im Zuge der Diskussion rund um die Google Font Abzocke ist mir wieder mal einer jener Punkte aufgefallen, „warum wir keine schönen Dinge haben können„™. Weil JuristInnen einen komplett anderen (machen würden auch „falschen” oder „weltfremden” in die Runde werfen) Blick auf die Welt haben.
Der von mir sehr schätzte Roland Giersig führte auf Twitter (und in Folge auch in dem oben verlinkten Text der Digital Society) die legistische Sichtweise aus:
Juristisch ist es so: wenn jemand behauptet, dass Google IP-Adressen für einen bestimmten Zweck speichert, dann hat dieser jemand das auch zu beweisen. ;-)
bzw:
Man kann also bei der Nutzung dieser Fonts aufgrund der Zusicherung von Google davon ausgehen, dass keine personenbezogenen Daten von Google gespeichert werden.
Die meisten mir bekannten Menschen mit IT-Affinität (ja, zumeist auch sehr zynisch und desillusioniert) fangen bei solchen Aussagen im besten Fall laut zu lachen an, im schlechteren Fall unflätig zu schimpfen. Ein zynisches „Hahahahah, ja klar” kommt aber in den meisten Fällen.
Personen, die in irgendeiner Form etwas mit „Systemintegration”, „Systemadministration” und/oder einem Konglomerat aus mehr als einem IT-System (Server, Netzwerk, Storage, …) zu tun haben wissen, dass „wir” IMMER alles bzw. das Gegenteil beweisen müsssen. Siehe auch „wir haben nichts geändert”, „wir haben übers Wochenende nichts am Netzwerk modifiziert” oder der Klassiker „das Storage ist nicht langsam”. In der IT müssen wir – aus leidvoller Erfahrung – IMMER vom Schlimmsten und der Tatsache ausgehen, dass uns das Gegenüber etwas verschweigt oder sogar bewusst lügt.
Everybody Lies
– Gregory House
Vor den Snowden-Enthüllungen glaubte auch niemand den IT-Menschen, dass bzw. in welchem Ausmaß die USA den Rest der Welt belauschten. Obwohl das für alle, die ein wenig IT Grundwissen besitzen, vollkommen logisch, weil technisch Machbar, ist. Aber auch hier braucht es erst wieder des Gegenbeweises.
ITlerInnen zu sagen, dass sie erst mal das Gegenteil beweisen sollen, ist also, aus Praxissicht der „Betroffenen” ein purer Affront. Juristisch (ich bin kein Jurist ;)) ist es verständlich, dass die Partei, die den Vorwurf erhebt, auch die Beweislast trägt, um den „Aufwand” einer falschen Anschuldigung groß genug zu machen. Aber … siehe oben, LOL. Wie willst Du nachweisen, dass auf den Google Servern tatsächlich keine Logs und keine Verknüpfung stattfinden.
Hier bräuchte es vermutlich einer politischen Willensentscheidung, alle nicht-EU Angebote prinzipiell mal als „gefährlich”, unsicher und privacy-gefährdend einzustufen und die großen Anbieter (FANG – Facebook, Amazon, Netflix, Google) dazu zu zwingen, das Gegenteil nachvollziehbar und glaubhaft darzustellen.
„Getriggert” hat diesen Blogpost aber das aktuelle Urteil des OLG Karlsruhe: Tochterfirmen von US-Clouddiensten verstoßen nicht generell gegen die DSGVO
. Auch hier findet sich in der Begründung wieder die (aus der zynischen IT Sicht) gutgläubige Sichtweise, dass die an den US-Börsen notierten und daher dem Shareholder-Value als alleinig glücklichmachendem Imperativ unterliegendem Firmen das tun, was sie auch proklamieren:
Erst wenn sich konkrete Anhaltspunkte dafür ergeben, dass dies zweifelhaft ist, ist der öffentliche Auftraggeber gehalten, durch Einholung ergänzender Informationen die Erfüllbarkeit des Leistungsversprechens beziehungsweise die hinreichende Leistungsfähigkeit des Bieters zu prüfen.
Ja, klar. :D
Wo mir der Blutdruck aber wirklich hoch ging, war dieser Absatz, der IMHO zeigt, wie blind, welt- und praxisfremd die RichterInnen beim diesem Urteil entschieden:
… mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird”. Alleine die Tatsache, dass es sich um die Tochterfirma eines US-Konzerns handele, müsse den Auftraggeber nicht „an der Erfüllbarkeit des Leistungsversprechens zweifeln lassen”.
Bruhahahaha. In mehrfacher Hinsicht. Die beteiligten RichterInnen werden sicherlich ein legistisch korrektes Urteil getroffen haben. Insbesonders, da die oben angeführte politische Richtungsänderung mit den dazugehörigen EU Richtlinien nicht daher kommt. IT-aber:
Selbst wenn die Server einer „EU Firma” aka. einer Tochter eines US-Konzerns gehören – die fleissigen TechnikerInnen der Mutter haben 100%ig Zugriff auf diese Server. Sonst rechnet sich die ganze economy-of-scale der Cloud Anbieter doch gar nicht. Glaubt ihr wirklich, dass Google, Microsoft und Co. Server in der EU haben, auf die ausschließlich EU-MitarbeiterInnen Zugriff haben, die ausschließlich von EU-Mitarbeitern Anweisungen erhalten, die alle in EU-Unternehmen angestellt sind? Wäre dem so, wäre Cloud viel teurer. Microsoft hatte sowas mal mit T-Systems probiert und ist kläglich gescheitert.
Und dann diese Idee, dass die US-Mutter eine(n) GF in Europa fragen oder informieren müsste, wenn sie die Daten eines europäischen Kunden von Servern, die in Europa loziert sind, im Auftrag der NSA, CIA, Homeland Security oder U.S. Department of Commerce auf legistischer Basis des Cloud Acts, US Foreign Intelligence Surveillance Act (FISA) Section 702, Executive Order 12333 und Presidential Policy Directive 28 ausliefern. Es wäre in ihrem Interesse, das nicht zu tun und Lärm zu machen, garantieren kann es kein Mitglied der FANG-Familie.
Und ja, das klingt ganz schlimm nach Aluhutträger usw., ich weiß. Aber das haben wir vor Snowden auch gesagt bekommen. Und ich will auch keinem Unternehmen unterstellen, dass dem auch tatsächlich so ist. Aber vom Gegenteil bin ICH nicht überzeugt und etwas mehr IT Hintergrundwissen und Skepsis würde auch den europäischen RichterInnen nicht schaden :D
Und so liefern wir weiterhin unsere SchülerInnnen-, Behörden-, Bank und sonstigen Daten weiterhin frei Haus in die USA, damit US-Firmen damit fein Geld verdienen können. Und Max Schrems läuft weiter im Hamsterrad der Standard Contractual Clauses (SCC) for personal data transfers zwischen USA und EU.
Und wir können weiterhin keine schönen Dinge haben.
P.S: Du bist der Meinung ich liege falsch? Du willst was ergänzen? Let me know!
Tagged as: FANG, it, law, rant | Author: Martin Leyrer
[Dienstag, 20220913, 22:38 | permanent link | 3 Kommentar(e)
Dir fehlt im FANG noch ein M.
Absolut korrekt!!!
Leider ...
Das klingt denke ich gar nicht nach "Aluhutträger", sondern eher nach normalem Vorgehen der US-Ermittlungs/Strafverfolgungsbehörden.
Dein Einwand "Es wäre in ihrem Interesse, das nicht zu tun und Lärm zu machen, garantieren kann es kein Mitglied der FANG-Familie." erscheint mir geradezu kindlich naiv, da es in der Vergangenheit viele Fälle gegeben hatte, wo es betroffenen Leute per "gag order" oder "sealing order" verboten war außerhalb eines sehr begrenzten Personenkreises überhaupt über die Herausgabe der Informationen zu reden.
Erster Link den ich gefunden habe:
https://edition.cnn.com/2021/06/09/politics/david-vigilante-cnn-email-secret-court-battle/index.html
Ich erinnere mich noch an einen Email-Provider der lieber sein Geschäft zugesperrt hatte als (wie gefordert) aktiv eine Hintertür zur Nicht-Verschlüsselung der Emails eines Verdächtigten einzubauen -- und darüber anfangs auch nicht reden durfte, finde das aber gerade nicht mehr.
Daher würde ich selbstverständlich davon ausgehen, dass sobald die Admins der US-Mutter in der Lage sind (was sicher der Fall ist) auf z.B. deutschen Servern die Daten eines Beschuldigten ohne Hilfe deutscher Admins abzugreifen, sie US-gesetzlich nicht nur verpflichtet dies zu tun, sondern wahrscheinlich in bestimmten Fällen sogar verpflichtet dies ohne Information der deutschen Admins zu tun. Denn sie dürften ja wahrscheinlich nicht mal 99.9% ihrer US-Kollegen in Kenntnis setzen.
(und natürlich "deutsche" beliebig durch andere Nationalitäten zu ersten)
Comments are closed for this story.