DSGVO-komforme Cloud für Verein gesucht

[ThomasK_7]

So viele weltfremde Antworten hier im Thread!

Als ob die DSGVO vor dem staatlichen Zugriff auf die gespeicherten Daten schützen soll.
Das macht sie explizit nicht (DSGVO § 23 und § 25 u.a.).

Die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, durch öffentliche Stellen im Rahmen ihrer Aufgabenerfüllung ist zulässig, wenn....
sie zur Abwehr erheblicher Nachteile für das Gemeinwohl oder einer Gefahr für die öffentliche Sicherheit, die Verteidigung oder die nationale Sicherheit, zur Wahrung erheblicher Belange des Gemeinwohls oder zur Sicherung des Steuer- und Zollaufkommens erforderlich ist,
sie zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder zum Vollzug von Strafen oder Maßnahmen im Sinne des § 11 Absatz 1 Nummer 8 des Strafgesetzbuchs oder von Erziehungsmaßregeln oder Zuchtmitteln im Sinne des Jugendgerichtsgesetzes oder zur Vollstreckung von Geldbußen erforderlich ist,...

Auch wegen der Speicherung außerhalb der EU gibt es eine Lösung, den Privacy Shield

Die DSGVO verbietet in den Artikeln 44 bis 49 explizit die Übermittlung von personenbezogenen Daten in Länder außerhalb der EU (sogenannte „Drittländer“), wenn nicht im Drittland ein angemessenes Datenschutzniveau festgestellt wurde.
Nach diesen beiden gescheiterten Anläufen hat die EU-Kommission im Jahr 2023 mit den USA das sogenannte EU-US Data Privacy Framework als informelle Vereinbarung für den elektronischen Datenaustausch abgeschlossen. Dieser Rahmen soll die Angemessenheit des Datenschutzniveaus in den USA feststellen, wenn sich die betreffenden Cloud-Dienstleister beim US-Handelsministerium durch eine Selbstzertifizierung legitimieren. Für EU-Bürger bietet das Abkommen zudem einen marginal verbesserten Rechtsschutz.

Das EU-US Data Privacy Framework unterliegt jedoch ebenfalls substantiierter Kritik. So hat das EU-Parlament bereits im Jahr 2023 eine Resolution mit 306 Ja- zu 27 Nein-Stimmen verabschiedet, welche die Konformität der neuen Rahmenvereinbarung mit dem bestehenden EU-Recht anzweifelt. Vor allem seien EU-Bürger nicht ausreichend gegen die Massenüberwachung durch die US-Nachrichtendienste geschützt.

Ok, es gibt fundierte/berechtigte Kritik an diesem Abkommen mit den USA.

Aber das was für die Frage im Eingangspost zählt ist doch die rechtliche Einordnung und die besagt, auch MS365 u.a. sind immer noch DSGVO-konform. Sie genügen einer gesetzlichen Norm, der DSGVO, so lange, bis die oberste Rechtsprechung etwas anderes besagt und selbst wenn höchstrichterlich etwas entschieden wird, gibt es wieder Übergangsfristen, bis wann Abhilfe zu schaffen ist.

Nur wenn man aus Datenschutzgründen mehr wie die gesetzliche Norm will, dann lohnt sich ein eigener Server.
Aber wenn ich schon lese, dass es nicht viel kosten darf und auch keiner genügend IT-Kenntnisse hat bzw. man sich nicht von lediglich einem aus dem Verein entsprechenden Kenntnissen abhängig machen will, dann scheiden doch die ganzen Tipps mit eigenem gemietetem eigenen Server doch auch schon aus.
Es wird etwas für Mitgliederverwaltung und Fotos gesucht. Nichts außergewöhnlich Gespeichertes also.
Euer Geburtsdatum und IBAN hat schon jeder Onlineshop und für die Fotos erteilen die Vereinsmitglieder ja auch stillschweigend oder per Datenschutzerklärung Ihre Erlaubnis. Mit so einer vereinsinternen Datenschutzerklärung kann man sich auch rechtlich intern absichern, falls man dies möchte. Ich selbst sehe selbst dies als entbehrlich an, sofern man sich an die DSGVO halten möchte. Niemand als Datenverwender muss sich extra absichern, wenn man nicht für Dritte Daten der eigenen Vereinsmitglieder speichert (DSGVO §1) oder Dinge im Internet veröffentlicht.

Eine Einwilligung der betroffenen Person muss in den Fällen eingeholt werden, in denen die Verarbeitung weder zur Durchführung des Mitgliedsvertrags noch aufgrund berechtigter Interessen des Vereins oder einer rechtlichen Verpflichtung (z.B. Aufbewahrungspflichten) erforderlich ist.

Beispiel Dies ist in der Regel bei Fotoaufnahmen und/oder Einstellen der Fotos auf die Vereinswebseite der Fall. Auch für das Aufbewahren von Daten nach Ende der Mitgliedschaft ist unter Umständen eine Einwilligung erforderlich.

 

[Legolas]

Und Du glaubst ernsthaft das sich irgend jemand in den USA daran hält? Wenn die was haben wollen dann holen die sich das. Alles andere zu glauben ist m. E. sehr naiv.

 

[Samurai76]

Ok, es gibt fundierte/berechtigte Kritik an diesem Abkommen mit den USA.

Hm, ja, einen Whistleblower, der aussagt, alles wird von den Geheimdiensten gesichtet, kann man als fundierte Kritik sehen.

Man kann es aber auch so sehen, jetzt weißt du, was Sache ist und wenn du noch drei weitere Jahre wartest, dann bist du dafür auch verantwortlich. Das ist das Schöne an Europa. Oder auch das Schlechte. Man muss nicht auf Gesetze, Rechtsgutachten oder Gerichtsurteile warten, jeder ist SELBST VERANTWORTLICH. Und bei berechtigtem Zweifel wäre es angesagt, darauf angemessen zu reagieren. Sonst wird dir dafür hinterher die Rechnung präsentiert. Da hilft es hinterher auch nichts, dass das privacy shield noch nicht offiziell gecancelt wurde.

Du (oder die Firma/Verein) ist für die Datenverabreitung und ~speicherung verantwortlich! Ja, man kann es wie üblich, mit der allgemein verfügbaren Verantwortungsdiversivizierung machen und die pers. Schuld auf so viele Schultern verteilen, dass keiner mehr gemaßregelt werden kann. Diese Taktik sollte verboten werden.

 

[ThomasK_7]

Man kann es aber auch so sehen, jetzt weißt du, was Sache ist und wenn du noch drei weitere Jahre wartest, dann bist du dafür auch verantwortlich. Das ist das Schöne an Europa. Oder auch das Schlechte.

Das deutsche Gericht will ich sehen, dass den Administrator für den Zugriff der staatlichen Behörden aus Europa oder außerhalb verantwortlich macht! Gerade im Zusammenhang mit dem ausdrücklichen Nichtschutz vor solchen Behörden laut DSGVO!
Ich sagte ja, weltfremd.

 

[Samurai76]

für den Zugriff der staatlichen Behörden aus Europa oder außerhalb verantwortlich macht

Nein, nicht für den Zugriff. Aber für das Veranwortungslose speichern von nicht eigenen Daten irgendwo mit nicht gesicherten Zugriffen. Wahrscheinlich auch nicht den Admin. Der Entscheided das bei den meisten Firmen nicht, WIE etwas gemacht wird. Er gibt nur die Möglichkeiten vor, Entscheider ist wer anders.

Man kann das mit dem Einhalten der DSGVO so sehen, wie mit den aktuellen Geschwindigkeitslimits. Kann man sich dran halten. Solange man nicht erwischt wird oder nichts passiert, muss man es aber nicht.....Nur das es bei DSGVO Verstößen etwas teurer wird....

 

[gea]

Eigentlich ist die DSGVO etwas Gutes. Es gibt mir als Bürger Kontrolle darüber wer was mit meinen personenbezogenen Daten macht und machen darf. Lediglich im Rahmen von Gesetzen oder richterlichen Anordnungen dürfen Behörden darauf zugreifen. Ich habe das Recht Auskunft zu erhalten was mit meinen Daten passiert, egal ob bei Firmen oder Behörden.

Staatliche Behörden dürfen natürlich in diesem Rahmen auf die Daten zugreifen. Alle andere wäre ja kontraproduktiv bei der Terrorabwehr. Die DSGVO verlangt nun dass bei Verarbeitung von Daten außerhalb der EU ein angemessenes Sicherheitsniveau gewährleistet sein muss. Dazu gibt es unterschiedliche Möglichkeiten. Ist dieses angemessene (vergleichbare) Sicherheitsniveau nicht ausreichend gewährleistet, darf keine personenbezogene Datenverarbeitung im EU Ausland stattfinden.

Im Falle der USA sehe ich dabei das Problem, dass staatliche Behörden sehr viel umfassender auf die Daten zugreifen dürfen als es in der EU der Fall wäre. Auch gibt es keine Auskunftspflicht mir gegenüber wer was mit meinen Daten gemacht hat. Behörden in USA sind nicht auskunftspflichtig und pivaten Firmen kann die Auskunft untersagt werden. Es ist zwar eine Beschwerdemöglichkeit in den USA vorgesehen, in Trumpschen Zeiten ist das allerdings wenig bis nichts wert. Das Beispiel Strafgerichtshof bei dem Richter komplett von US Diensten wie Mail, Cloud oder Kreditkarten gesperrt wurden, ist ein weiteres Problem falls den USA etwas bei uns nicht passt.

Ich gehe daher davon aus, dass das aktuelle EU-US Data Privacy Framework in der jetzigen Form bei einer Klage vor dem EuGH eher keinen Bestand haben wird, genau wie die zwei vorherigen Regelungen. Wenn man neu was macht, sollte man daher zu Cloudangeboten von Firmen greifen die nicht US Recht unterliegen und Daten komplett in der EU verarbeiten.

 

[mchawk777]

Als ob die DSGVO vor dem staatlichen Zugriff auf die gespeicherten Daten schützen soll.
Das macht sie explizit nicht (DSGVO § 23 und § 25 u.a.).

Zumal es ja im Zusammenhang von Zugriff auf "Daten im Ausland gespeichert von ausländischen Behörden" ging.
Egal, ob da rein rechtlich die DSGVO gilt - Deutsches oder Europäisches Recht als Einzelner im Ausland durchsetzen ist immer so eine Sache - und vor allem teuer.

 

[gea]

EU Gesetze gelten grundsätzlich nur in der EU, so wie US Gesetze nur da gelten (ok war vor Trump so). Das ist aber egal, weil der Beklagte bei DSGVO Verstößen ist nicht die ausländische Behörde z.B. NSA sondern die deutsche Firma die persönliche Daten im Ausland verarbeitet. Ein Sonderfall sind große Anbieter wie Amazon, MS, Google oder X die sich an EU Gesetze halten müssen oder andernfalls in der EU Strafe zahlen müssen.

 

[TomH22]

Du (oder die Firma/Verein) ist für die Datenverabreitung und ~speicherung verantwortlich!

Ja, aber im Rahmen der DSGVO muss man nur bestimmte Regeln einhalten, und ist nur im eigenen Verantwortungsbereich dafür zuständig. Wenn ich als Firma/Verein eine "Data Processing Agreement" mit einem Dienstleister mache und der mir zusichert, dass er die Daten DSGVO/GDPR konform verarbeitet, dann bin ich in diesem Punkt meiner Verantwortung gerecht geworden.

Natürlich muss ich mich selber an andere Aspekte der DSGVO halten, z.B. Datensparsamkeit, ein Verarbeitungsverzeichnis anlegen in dem ich die Prozesse dokumentiere, usw.
Außerdem muss ich mir, je nach Art der Verabeitung das Einverständnis der Mitglieder einholen oder sie mindestens informieren (bei Vorgängen die nicht zustimmungspflichtig sind).

All dies gilt natürlich auch, wenn ich die Daten lokal (z.B. auf einen NAS im Vereinsheim) speichere und einen Dienstleister in der EU beauftrage.

Im übrigen besteht auch bei EU Unternehmen die Gefahr, dass sie Daten an US Behörden ausliefern um möglichen Sanktionen zu entgehen, das gilt besonders dann, wenn die Unternehmen auch in den USA Geschäfte machen.

Es gibt mir als Bürger Kontrolle darüber wer was mit meinen personenbezogenen Daten macht und machen darf.

Nein, das ist nicht der Zweck der DSGVO. Die DSGVO gibt einen Rechtsrahmen für die Verarbeitung von personenbezogenen Daten vor, und regelt Rechte und Pflichten von Unternehmen. Du als Bürger hast bestimme Auskunfts- und Zustimmungsrechte und kannst auch das Löschen von Daten verlangen. Das gibt Dir aber nur eine sehr begrenzte Kontrolle, da Du nicht bei allen Daten Mitspracherechte hast.
So kannst Du nicht verlangen, dass ein Unternehmen Rechnungen löscht, wenn die gesetzlichen Aufbewahrungspflichten noch nicht abgelaufen sind. Und bei essenziellen, für die Abwicklung eines Geschäftsvorfalls notwendigen Daten kannst Du der Verarbeitung auch nicht widersprechen.

Die DSGVO gibt Dir sicher mehr Transparenz, allerdings sind die meisten öffentlich einsehbaren Datenschutzbestimmungen so schwammig gehalten, dass man nicht wirklich viel erfährt.

 

[Ranayna]

Und Du glaubst ernsthaft das sich irgend jemand in den USA daran hält?

Das ist - so unsinnig es erscheint - im Zusammenhang mit der DSGVO egal.
Der Privacy Shield ist offiziell fuer die DSGVO abgesegnet. Punkt. Gefaellt mir das? Nein, natuerlich nicht.
Aber das ist alles was noetig ist damit M365 DSGVO konform ist.

Bis halt dann gegebenenfalls das tatsaechlich passiert:

Ich gehe daher davon aus, dass das aktuelle EU-US Data Privacy Framework in der jetzigen Form bei einer Klage vor dem EuGH eher keinen Bestand haben wird, genau wie die zwei vorherigen Regelungen. Wenn man neu was macht, sollte man daher zu Cloudangeboten von Firmen greifen die nicht US Recht unterliegen und Daten komplett in der EU verarbeiten.

Wie wahrscheinlich das ist... Keine Ahnung wie sehr US Firmen den EuGH am Schlafittchen haben.

Deutsche und europaeische Firmen sind jedenfalls schon auf dem Radar der US Behoerden, und die Gefahr ist eindeutig, dass die USA ihrerseits Konsequenzen ziehen werden, wenn wir nicht nach deren Pfeife tanzen:
https://www.heise.de/news/EU-Digita...fy-DHL-SAP-Siemens-EU-Konzernen-11117482.html

Ich halte es daher fuer sehr wahrscheinlich, dass ein neues Feigenblatt entworfen werden wird.

 

[bongo]

Wahrscheinlich ist das Thema für den TE schon durch, aber wäre der Einsatz von Cryptomator o.ä. eine Option?

 

[gea]

Gemini KI fasst das schön zusammen

Wenn ein US-Anbieter theoretisch Zugriff auf Metadaten hat, die eine Identifizierung der Person ermöglichen, findet eine Datenübermittlung in ein Drittland statt.

(wer, wann, mit wem, wie lange, wie oft)
E2EE alleine bringt da nichts

 

[Holzohrwascherl]

Microsoft365, European Edition.

Vollkommen DSGVO-konform.

Argumente? Quellen?

 

[Ranayna]

https://datenschutz.hessen.de/presse/hbdi-microsoft-365-kann-datenschutzkonform-genutzt-werden

Der Kern des ganzen liegt in diesem Satz im Fliesstext:

Zum einen haben sich rechtliche Vorgaben verändert wie z.B. die Zulässigkeit der Übertragung personenbezogener Daten in die USA auf der Grundlage des EU-US Data Privacy Frameworks.

Dieses EU-US Data Privacy Framework ist explizit hinsichtlich der DSGVO abgesegnet:
https://www.datenschutz-bayern.de/datenschutzreform2018/aki51.html

Damit attestiert sie den Vereinigten Staaten von Amerika (USA) ein angemessenes Schutzniveau für personenbezogene Daten, die innerhalb dieses Rahmens aus der Europäischen Union (EU) an US-Unternehmen als Datenimporteure übermittelt werden.

Das mag dem Geiste des Gesetzes vielleicht wiedersprechen, aber noch gibt es kein Urteil das dieses Framework kippt. Demzufolge ist ein Einsatz von M365 nicht zwingend ein Verstoss gegen die DSGVO.

Dass das durchaus auf wackeligen Beinen steht, steht ausser Frage. Dass das Framework von Gerichten gekippt wird halte ich durchaus fuer moeglich. Dann, aber auch erst dann, muessen sich Nutzer von US Diensten womoeglich nach was anderem umschauen.
Aber andererseits stecken immer noch viele EU Regierungen quasi im Hintern von Microsoft. Wuerde das Framework gekippt werden gebe ich eine Garantie: Defakto wird sich nichts aendern, und die EU wird so schnell wie moeglich eine neue Ausnahmeregelung definieren.