Nachdem bereits am 13. November in Stockholm das europäische Datensiegel an Microsoft vergeben wurde, erhält das Unternehmen jetzt auch das Datenschutzgütesiegel des Unabhängigen Landeszentrums für Datenschutz Schleswig Holstein (ULD) für das Produkt Software Protection Platform (SPP) in Windows Vista und Windows Server 2008. Das Gütesiegel bestätigt, dass das Produkt die Vorgaben des deutschen Rechts für Datenschutz und -sicherheit einhält. Microsoft sieht in dem zweistufigen Verfahren des ULD ein vorbildliches Praxis-Beispiel für das derzeit in Abstimmung befindliche Bundesdatenschutzauditgesetz, das diese Woche als Kabinettsbeschluss vorgestellt wurde. Außerdem unterstützt Microsoft die Vorschläge der Artikel 29 Arbeitsgruppe der Europäischen Union für die Datenspeicherung bei Suchanfragen.
Testverfahren
In einem zweistufigen Verfahren wurden zunächst die Prüfungssziele durch die Auditoren, 2B Advice GmbH und die TÜV IT GmbH, festgelegt sowie in einem rechtlichen und einem technischen Gutachten evaluiert. Aus diesen Gutachten erstellten sie einen Prüfbericht, der dann der Zertifizierungsstelle, in diesem Falle dem ULD, vorgelegt wurde, welches die Auditkriterien überprüfte und nach positiver Bewertung das Datenschutzgütesiegel zuerkannte. Es wurde heute durch Dr. Thilo Weichert, dem Datenschutzbeauftragten in Schleswig-Holstein und Leiter des ULD, an Microsoft verliehen.
Im Laufe des 2007 gestarteten Projektes wurden mehr als 80 Dateien mit Quellcode und Protokollen mit einem Datenvolumen von mehr 120 MB aufbereitet. Das rechtliche Gutachten der 2B Advice GmbH war über 170 Seiten lang, das technische Gutachten vom TÜV IT umfasste rund 150 Seiten. Die Prüfer konnten nachweisen, dass SPP die strengen Anforderungen des Datenschutzgütesiegels des ULD erfüllt.
Dr. Severin Löffler, Associate General Counsel, Mitglied der Geschäftsleitung der Microsoft Deutschland GmbH: "Für uns ist die Verleihung des Gütesiegels des ULD wegen seiner hohen Qualitätsanforderungen ein wichtiger Meilenstein. Datenschutz ist ein zentrales Thema für Microsoft, mit dem wir uns von Wettbewerbern unterscheiden und unseren Kunden zeigen, dass sie uns vertrauen können."
SPP Version 1 verringert das Risiko von Softwarefälschungen und fasst die Dienste Aktivierung, Volumenlizenz-Management, Windows Genuine Advantage (WGA) und Security Breach Response für Windows Vista RTM und SP1 sowie Windows Server 2008 zusammen. Es stellt ein wirksames Mittel gegen Software-Piraterie dar, erkennt Fälschungen, verbessert die Resistenz der Betriebssysteme gegenüber Manipulationsversuchen und erleichtert die Verwaltung von Volumenlizenzverträgen.
Bundesdatenschutzauditgesetz
Microsoft befürwortet, dass das derzeit in Abstimmung befindliche Bundesdatenschutzauditgesetz (BDSAuditG) vorangetrieben wird. Es soll Unternehmen die Möglichkeit bieten, ihre Produkte, Services und Verfahren einer datenschutzrechtlichen Prüfung, Bewertung und Zertifizierung zu unterziehen. Nach erfolgreicher Prüfung erhalten sie dann ein bundesweit einheitliches Gütesiegel. Die im aktuellen Entwurf enthaltenen Bedingungen für das Datenschutzgütesiegel gehen allerdings nach der Auffassung von Microsoft und vieler Datenschutzexperten nicht weit genug. Dem Entwurf zufolge sollen sich interessierte Firmen nur in einem einstufigen Verfahren einer Auditierung durch unabhängige, private Kontrollstellen unterwerfen. Bisher nicht vorgesehen ist die Einführung eines zweistufigen Prüfverfahrens wie beim Datenschutzgütesiegel des ULD. Daher bestehen Zweifel, ob private Kontrollstellen, die gleichzeitig als Zertifizierungsstellen arbeiten, die Qualität und Vergleichbarkeit der Gütesiegel gewährleisten können. Sinnvoller wäre - wie international üblich - eine offizielle Zertifizierungsstelle, die Auditergebnisse privater und akkreditierter Prüfstellen zertifiziert. Dieser Prozess ist zwar insgesamt aufwendiger, aber nur so kann das Datenschutzauditsiegel ein neutrales Qualitätskriterium sein, das von Bürgern, Unternehmen und Behörden zuverlässig bewertet werden kann.
Speicherung von Suchanfragen
Microsoft steht voll hinter der Aufforderung der Artikel 29 Arbeitsgruppe der Europäischen Union zur Schaffung eines gemeinsamen Standards für Suchdaten-Anonymisierung und Speicherzeitrahmen, um den Datenschutz zu fördern. Wichtig ist jedoch, dass alle größeren Suchmaschinenanbieter einen hinsichtlich der Anonymisierungsmethode und des Zeitrahmens vergleichbaren Schritt gehen. Nur so kann für alle Bürger ein ähnlich hohes Niveau an Datenschutz sichergestellt und gleichzeitig verhindert werden, dass durch unterschiedliche Methoden Wettbewerbsvorteile zum Nachteil des Datenschutzes entstehen.
Microsoft sieht dabei die vollständige Anonymisierung der Suchdaten als noch wichtiger an als die Verkürzung des Speicherzeitraums. Je weniger die Struktur der gespeicherten Daten Rückschlüsse auf einzelne Individuen zulässt, desto mehr rückt die Frage nach der Speicherdauer in den Hintergrund. So entfernt das Unternehmen schon jetzt die gesamte IP-Adresse des Nutzers sowie andere sitzungsübergreifende Identifikationsmerkmale wie permanente Cookie-IDs. Damit erfüllt Microsoft bereits heute die geplanten Anonymisierungsvorgaben der EU. Microsoft ist auch kurzfristig in der Lage, den Speicherzeitraum für diese bereits anonymisierten Daten auf sechs Monate zu verkürzen. Die Artikel 29 Arbeitsgruppe der EU-Kommission fordert aber einen gemeinsamen Standard, der von allen relevanten Suchmaschinenbetreibern getragen werden soll. Microsoft hat einen Anteil von etwa drei Prozent im Suchmaschinenmarkt und wird die Umsetzung zeitnah angehen, wenn auch andere Mitbewerber entsprechende Maßnahmen treffen.
Testverfahren
In einem zweistufigen Verfahren wurden zunächst die Prüfungssziele durch die Auditoren, 2B Advice GmbH und die TÜV IT GmbH, festgelegt sowie in einem rechtlichen und einem technischen Gutachten evaluiert. Aus diesen Gutachten erstellten sie einen Prüfbericht, der dann der Zertifizierungsstelle, in diesem Falle dem ULD, vorgelegt wurde, welches die Auditkriterien überprüfte und nach positiver Bewertung das Datenschutzgütesiegel zuerkannte. Es wurde heute durch Dr. Thilo Weichert, dem Datenschutzbeauftragten in Schleswig-Holstein und Leiter des ULD, an Microsoft verliehen.
Im Laufe des 2007 gestarteten Projektes wurden mehr als 80 Dateien mit Quellcode und Protokollen mit einem Datenvolumen von mehr 120 MB aufbereitet. Das rechtliche Gutachten der 2B Advice GmbH war über 170 Seiten lang, das technische Gutachten vom TÜV IT umfasste rund 150 Seiten. Die Prüfer konnten nachweisen, dass SPP die strengen Anforderungen des Datenschutzgütesiegels des ULD erfüllt.
Dr. Severin Löffler, Associate General Counsel, Mitglied der Geschäftsleitung der Microsoft Deutschland GmbH: "Für uns ist die Verleihung des Gütesiegels des ULD wegen seiner hohen Qualitätsanforderungen ein wichtiger Meilenstein. Datenschutz ist ein zentrales Thema für Microsoft, mit dem wir uns von Wettbewerbern unterscheiden und unseren Kunden zeigen, dass sie uns vertrauen können."
SPP Version 1 verringert das Risiko von Softwarefälschungen und fasst die Dienste Aktivierung, Volumenlizenz-Management, Windows Genuine Advantage (WGA) und Security Breach Response für Windows Vista RTM und SP1 sowie Windows Server 2008 zusammen. Es stellt ein wirksames Mittel gegen Software-Piraterie dar, erkennt Fälschungen, verbessert die Resistenz der Betriebssysteme gegenüber Manipulationsversuchen und erleichtert die Verwaltung von Volumenlizenzverträgen.
Bundesdatenschutzauditgesetz
Microsoft befürwortet, dass das derzeit in Abstimmung befindliche Bundesdatenschutzauditgesetz (BDSAuditG) vorangetrieben wird. Es soll Unternehmen die Möglichkeit bieten, ihre Produkte, Services und Verfahren einer datenschutzrechtlichen Prüfung, Bewertung und Zertifizierung zu unterziehen. Nach erfolgreicher Prüfung erhalten sie dann ein bundesweit einheitliches Gütesiegel. Die im aktuellen Entwurf enthaltenen Bedingungen für das Datenschutzgütesiegel gehen allerdings nach der Auffassung von Microsoft und vieler Datenschutzexperten nicht weit genug. Dem Entwurf zufolge sollen sich interessierte Firmen nur in einem einstufigen Verfahren einer Auditierung durch unabhängige, private Kontrollstellen unterwerfen. Bisher nicht vorgesehen ist die Einführung eines zweistufigen Prüfverfahrens wie beim Datenschutzgütesiegel des ULD. Daher bestehen Zweifel, ob private Kontrollstellen, die gleichzeitig als Zertifizierungsstellen arbeiten, die Qualität und Vergleichbarkeit der Gütesiegel gewährleisten können. Sinnvoller wäre - wie international üblich - eine offizielle Zertifizierungsstelle, die Auditergebnisse privater und akkreditierter Prüfstellen zertifiziert. Dieser Prozess ist zwar insgesamt aufwendiger, aber nur so kann das Datenschutzauditsiegel ein neutrales Qualitätskriterium sein, das von Bürgern, Unternehmen und Behörden zuverlässig bewertet werden kann.
Speicherung von Suchanfragen
Microsoft steht voll hinter der Aufforderung der Artikel 29 Arbeitsgruppe der Europäischen Union zur Schaffung eines gemeinsamen Standards für Suchdaten-Anonymisierung und Speicherzeitrahmen, um den Datenschutz zu fördern. Wichtig ist jedoch, dass alle größeren Suchmaschinenanbieter einen hinsichtlich der Anonymisierungsmethode und des Zeitrahmens vergleichbaren Schritt gehen. Nur so kann für alle Bürger ein ähnlich hohes Niveau an Datenschutz sichergestellt und gleichzeitig verhindert werden, dass durch unterschiedliche Methoden Wettbewerbsvorteile zum Nachteil des Datenschutzes entstehen.
Microsoft sieht dabei die vollständige Anonymisierung der Suchdaten als noch wichtiger an als die Verkürzung des Speicherzeitraums. Je weniger die Struktur der gespeicherten Daten Rückschlüsse auf einzelne Individuen zulässt, desto mehr rückt die Frage nach der Speicherdauer in den Hintergrund. So entfernt das Unternehmen schon jetzt die gesamte IP-Adresse des Nutzers sowie andere sitzungsübergreifende Identifikationsmerkmale wie permanente Cookie-IDs. Damit erfüllt Microsoft bereits heute die geplanten Anonymisierungsvorgaben der EU. Microsoft ist auch kurzfristig in der Lage, den Speicherzeitraum für diese bereits anonymisierten Daten auf sechs Monate zu verkürzen. Die Artikel 29 Arbeitsgruppe der EU-Kommission fordert aber einen gemeinsamen Standard, der von allen relevanten Suchmaschinenbetreibern getragen werden soll. Microsoft hat einen Anteil von etwa drei Prozent im Suchmaschinenmarkt und wird die Umsetzung zeitnah angehen, wenn auch andere Mitbewerber entsprechende Maßnahmen treffen.
