Drittens behalte sich MS im DPA im Ergebnis umfangreiche Befugnisse vor, Daten ohne Weisung des Auftraggebers zu verarbeiten und Daten – auch gegenüber Drittstaaten – offenzulegen. – MS hat sich im DPA verpflichtet, personenbezogene Daten nur auf dokumentierte Anweisung des Kunden zu verarbeiten und hinsichtlich Offenlegungen sich der DS-GVO zu unterwerfen. […] Siebtens übermittle MS für den Betrieb von M365 personenbezogene Daten unzulässiger Weise in die USA und in andere Staaten. – Inzwischen verarbeitet MS die Daten fast vollständig im Europäischen Wirtschaftsraum. Die verbleibenden Datenübermittlungen in die USA und andere Staaten sind durch Angemessenheitsbeschlüsse der Europäischen Kommission und Standardvertragsklauseln gedeckt.

Ich bin kein Jurist und kein Datenschutzexperte. Deshalb kann ich schwer beurteilen, ob die Verpflichtungserklärungen zwischen Hessen und Microsoft tatsächlich geeignet sind, die gesetzlichen Vorgaben des Cloud Act auszuhebeln. Am Ende wird sich das möglicherweise nur im Einzelfall zeigen.

Der Europäischen Datenschutzausschusses teilt in »Czech SA imposed fine of 13.9 million EUR for infringement of Art. 6 and Art. 13 of GDPR« mit:

The LSA concluded that internet browsing history, even if not complete, may constitute personal data, since re-identification of at least some of the data subjects could occur. The controller’s infringement is even graver considering that it is one of the foremost experts on cybersecurity that offers tools for data and privacy protection to the public.

Die ganze Story kann man in »Leaked Documents Expose the Secretive Market for Your Web Browsing Data« noch mal nachlesen.

Damit werden aus 10 Minuten 300 Minuten Material, mit dem die Forscher das Training des Netzes dann abschlossen. – Uli Ries am 13. Aug 2018

Es bleibt dabei: Am sichersten ist ein alphanumerischer Code.