Es gilt die DatenschutzgrundverordnungWas Crowdstrike und Microsoft in Europa droht

Am 19. Juli kam es weltweit zu erheblichen Beeinträchtigungen wegen massiver Computerausfälle. Was ist nach dem durch Crowdstrike verursachten Ausfall von Millionen Microsoft-Computern aufgrund der Datenschutzregeln in Europa zu beachten? Welche Sanktionen drohen jetzt wem? Wir haben den ehemaligen Landesdatenschutzbeauftragten von Baden-Württemberg, Stefan Brink, gefragt.

crowdstrike-BSOD
Der sogenannte „blaue Bildschirm des Todes“, hier am Washingtoner Flughafen Dulles am 19. Juli 2024. CC-BY-SA 2.0 reivax

Vor zehn Tagen verschickte Crowdstrike ein fehlerhaftes Update, das Millionen Windows-Computer vorübergehend unbrauchbar machte. Sie zeigten nur noch den sogenannten „blauen Bildschirm des Todes“ an. Er erscheint, wenn das Betriebssystem Windows aufgrund eines kritischen Softwarefehlers abstürzt oder nicht geladen werden kann.

Microsoft war ursprünglich von einer Schätzung von 8,5 Millionen betroffenen Computern ausgegangen. Diese Zahl war jedoch deutlich zu gering, denn sie berücksichtigt nur die von Kunden übermittelten Absturzberichte und ließ alle Kunden außen vor, die eine solche Meldung nicht abgegeben hatten. Da bei jedem einzelnen betroffenen Computer eine manuelle Reparaturmaßnahme notwendig war, zog sich die Fehlerkorrektur über viele Stunden hin und bedeutete für zahlreiche Menschen erhebliche Nachteile.

Crowdstrike hat bereits im Namen seines Geschäftsführers George Kurtz eingeräumt, dass es zu einem vermeidbaren Fehler bei der Prüfung gekommen war, ob das Update für Kunden-Computer hätte freigegeben werden dürfen.

Wir haben Dr. Stefan Brink vom Wissenschaftlichen Institut für die Digitalisierung der Arbeitswelt (wida) in Berlin gefragt, was in Europa nach dem durch Crowdstrike verursachten Ausfall vieler Dienste im Sinne der Datenschutzgrundverordnung (DSGVO) zu beachten ist. Stefan Brink ist Jurist und ehemaliger Landesdatenschutzbeauftragter von Baden-Württemberg.

Welche Pflichten Crowdstrike hat

netzpolitik.org: Crowdstrike hat durch das fehlerhafte Update Millionen PCs weltweit lahmgelegt. Hat es dabei auch gegen Datenschutzgesetze in Europa verstoßen? Handelt es sich hier möglicherweise auch um einen Verstoß gegen Artikel 32 der DSGVO, der die IT-Sicherheit bei Verarbeitung personenbezogener Daten regelt?

stefan brink
Stefan Brink, Foto: LfDI BaWü.

Stefan Brink: Ja, die Crowdstrike Holdings, Inc. hat gegen die DSGVO der Europäischen Union verstoßen: Auch ohne Niederlassung in der EU ist die DSGVO auf das US-amerikanische Unternehmen anwendbar (Art. 3 Abs. 2 lit. a DSGVO). Denn Crowdstrike bietet auch Personen in der Union seine Leistungen an. Dabei ist es regelmäßig als Dienstleister beziehungsweise Sub-Unternehmen ein Auftragsverarbeiter gemäß Artikel 28 DSGVO.

Einen Auftragsverarbeiter treffen eigene Pflichten, etwa muss er „hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person“ gewährleisten. Diese technischen und organisatorischen Maßnahmen umfassen nach Artikel 32 Abs. 1 DSGVO insbesondere, „die Fähigkeit, die […] Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen“. Dagegen hat Crowdstrike offenkundig verstoßen, indem es über Microsoft ein Update einspielte, welches den Dienst von Microsoft millionenfach lahmlegte.

netzpolitik.org: Bei Crowdstrike ist ein Verstoß gegen die DSGVO also offenkundig, aber was ist mit Crowdstrikes Kunden?

Stefan Brink: Ob Microsoft ein eigener Datenschutzverstoß anzulasten ist, etwa bei der Heranziehung oder Beaufsichtigung „seines“ Dienstleisters Crowdstrike (vgl. Art. 28 Abs. 2 und 4 DSGVO), werden die Aufsichtsbehörden zu prüfen haben. Datenschutzrechtlich kann sich Microsoft gegenüber seinen Kunden jedenfalls nicht darauf berufen, dass die Datenverarbeitungspanne nicht von ihnen, sondern von einem Sub-Unternehmer zu verantworten wäre. Als Auftragsverarbeiter ersten Ranges treffen Microsoft stets die vollen datenschutzrechtlichen Pflichten.

Auch den Endkunden von Crowdstrike, also den Vertragspartnern von Microsoft, kann eine datenschutzrechtliche Haftung drohen, da auch sie zur Aufsicht über ihre Dienstleister verpflichtet sind und als Verantwortliche gegenüber ihren (End-)Kunden für Datenschutzverstöße geradestehen müssen. Auch hier ist eine „Entlastung“ von den Rechtsverstößen eigener Dienstleister ausgeschlossen. Wirtschaftlich mag sich das Risiko von Datenverarbeitungen verschieben lassen, datenschutzrechtlich bleibt der „Verantwortliche“, also der Vertragspartner des Endkunden, immer in der Haftung. Auch das belegt die sehr verbraucherfreundliche Konzeption der – zu Unrecht viel gescholtenen – DSGVO.

Welcher Anspruch durchsetzbar ist

netzpolitik.org: Der Crowdstrike-Vorfall betraf zweifelsohne große Mengen personenbezogener Daten, den Betroffenen ist ein Schaden entstanden. Wer könnte gegebenenfalls dafür haftbar gemacht werden?

Stefan Brink: Zunächst einmal ist den Kunden von Microsoft bei diesem angeblich „größten IT-Ausfall aller Zeiten“ ein massiver Schaden durch den Ausfall der angebotenen Dienste entstanden. Millionen von Unternehmen, etwa Fluggesellschaften, Kliniken, Supermärkte und andere Dienstleister konnten ihre vertraglichen Leistungen gegenüber Zwischen- und Endkunden nicht erbringen. Dadurch dürfte weltweit ein Schaden in Milliardenhöhe entstanden sein. Diesen können die Vertragspartner von Microsoft auf dem Zivilrechtsweg geltend machen, sowohl gegenüber Microsoft als auch gegenüber dessen Dienstleistern.

Soweit natürliche Personen von der Fehlleistung betroffen sind, kann ihr Schaden insbesondere im Verlust, aber auch in der vorübergehend fehlenden Verfügbarkeit ihrer Daten bestehen, wodurch sie gehindert wurden, ihre Ansprüche – etwa auf Beförderungsleistung – geltend zu machen. Darin kann ein Schaden gemäß Artikel 82 DSGVO zu sehen sein, der unmittelbar gegenüber dem Datenverarbeiter durchgesetzt werden kann. Zwar werden sich Endkunden in der Regel zunächst an ihren unmittelbaren Vertragspartner, etwa die Fluggesellschaft, wenden. Wenn dieser Vertragspartner aber etwa wegen Zahlungsunfähigkeit ausfällt oder nur begrenzt vertraglich haftet, kommt der Anspruch aus Artikel 82 DSGVO wieder ins Spiel und ist auch durchsetzbar.

netzpolitik.org: Das ist vielleicht etwas überraschend: Was ist das für ein Verständnis von Datenschutz, das die Nutzbarkeit personenbezogener Daten, also ein Mehr an Datenverarbeitung, schützt?

Stefan Brink: Diese Konzeption des Datenschutzes beruht auf der Idee des Grundrechts auf informationelle Selbstbestimmung, die auch von der DSGVO aufgegriffen wird: Es geht eben nicht um „Datenminimierung“ und die Zurückdrängung der Datennutzung – dieses „asketische“ Verständnis des Datenschutzes fand sich noch im alten Bundesdatenschutzgesetz. Sondern es geht um selbstbestimmte Nutzung der eigenen Daten: Wenn diese durch den Verlust ihrer Verfügbarkeit gegen den Willen des Betroffenen eingeschränkt wird, dann liegt eben eine Datenschutzverletzung vor.

netzpolitik.org: Welche Datenschutzbestimmungen haben Dienstleister, die vom Crowdstrike-Fehler betroffen waren, zu beachten? Dass personenbezogene Daten abgeflossen sind, wurde nicht berichtet. Aber besteht eine Meldepflicht gemäß der DSGVO auch für Vorfälle, wo Menschen über einen bestimmten Zeitraum keinen Zugriff auf ihre Daten haben?

Stefan Brink: Hier sind insbesondere Artikel 33 und 34 der DSGVO einschlägig, wonach im Falle einer „Datenpanne“, also einer Verletzung des Schutzes personenbezogener Daten, der Verantwortliche binnen 72 Stunden eine Meldung an die Datenschutz-Aufsichtsbehörde abzugeben hat. Der Verantwortliche ist hier der Auftraggeber der Dienstleistung von Crowdstrike, nicht der „für die Datenpanne Verantwortliche“. Angesichts der Massivität der Panne und wegen der Dauer des Ausfalls der Microsoft-Verfügbarkeit wird man nicht davon ausgehen können, dass es nicht zu Risiken für die Rechte der Betroffenen gekommen ist – diese Risiken der Nicht-Verfügbarkeit der (auch) personenbezogenen Daten haben sich ja bereits realisiert.

Also müssen alle betroffenen Unternehmen ihren Aufsichtsbehörden die Datenpanne, also den Ausfall von Microsoft über Stunden, melden. Sie müssen zudem alle betroffenen Bürgerinnen und Bürger von der Verletzung ihrer Rechte informieren, sofern von einem hohen Risiko für die Verletzung der Rechte und Freiheiten natürlicher Personen auszugehen ist. Das ist, je nachdem, welche Dienstleistung für welche Dauer ausgefallen ist, grundsätzlich zu bejahen.

netzpolitik.org: Welche Sanktionen wären nun wegen der Verstöße gegen die DSGVO denkbar?

Stefan Brink: Sofern Verstöße gegen die Bestimmungen der Datensicherheit (Art. 32 DSGVO) festgestellt werden, kommen Bußgelder gemäß Artikel 83 Abs. 4 DSGVO gegen die Auftragsverarbeiter von bis zu 10 Millionen Euro beziehungsweise zwei Prozent des gesamten weltweit erzielten Jahresumsatzes in Betracht.

Versäumen betroffene Unternehmen die Meldung der Datenpanne bei der Aufsichtsbehörde, so droht hierfür eine Geldbuße in gleicher Höhe.

netzpolitik.org: Vielen Dank für das Gespräch!

26 Ergänzungen

  1. Ich bin ein wenig irritiert, dass Microsoft da irgendwie mit drin hängen soll. Meines Wissens ist Crowdstrike ja einer von zahlreichen Anbietern in dem Gebiet und die Kunden von Crowdstrike haben die Verträge mit Crowdstrike direkt abgeschlossen und die Software auch nicht über Microsoft bezogen (Microsoft ist ja auch auf dem Gebiet der IT-Sicherheitslöungen ein Konkurrent von Crowdstrike). Wieso Microsoft jetzt haftbar sein soll, weil ein Dritthersteller, den sich Firmen selbst ausgesucht haben, Mist gebaut hat, kann ich nicht nachvollziehen.

    1. Im Text wird angedeutet, dass offenbar das Betriebssystem wegen eines Anwendungsfehlers abgestürzt sei. Das ist schon prinzipiell erst mal ein Schreckmoment, wenn dein Betriebssystem irgendwo laufen soll, wo Relevanz ist.

      Jetzt argumentiert man, die Software habe zu viele Rechte gehabt, aber das muss nicht unbedingt ein Grund sein, die Sorte Absturz zuzulassen, je nach dem. Das wird über die Jahre noch ausgehandelt werden (hoffentlich technisch kompetent und dann erst behördenweit, usw.), oder man verlangt wirklich mal sichere Systemarchitektur, die nicht so einfach fakebar ist. Dann könnte man noch die Diskussion dranflanschen, dass Microsoft diese überbordende Schnittstelle für Sicherheitssoftware eingebaut hat, obwohl es bessere Wege gegeben hätte. Und Microsoft argumentiert, die EU habe so eine Schnittstelle verlangt, die EU dann „so aber nicht so“ usw.

      Tatsächlich müssen auch Anwendungskomponenten mit hohen Rechten Betriebssicherheit gewährleisten können, was bedeutet, dass das OS das im Grunde unterstützen muss. Ansonsten fehlt vielleicht die Spezifikation auf Seiten Microsofts, die über „voids warantee if used“ hinausgeht. Was wir aber vom Wettbewerb im Sicherheitssektor kennen, ist dass die Anwendungskomponenten, die mit Systemrechten laufen, viel zu viel machen, und damit eine viel zu breite Angriffsfläche bieten, was dann auch für Systemabstürze gilt. Was ich bisher gehört habe, klingt nach Mangel an Tests bei Crowdstrike. Die Apologie, dass solche Updates mehrfach pro Tag kommen, kann man hier nicht gelten lassen. Denn „irgendwie Named Pipes anders behandeln“ ist Herumspielen am Softwarekern an einer low-level Systemschnittstelle, kein einfaches Signaturupdate. Signaturen für Viren o.ä. dürfen nicht zum Absturz führen, am besten formal verifiziert. Updates für den Softwarekern… Testen, Testen, Testen.

      Was jetzt letztlich der Fall ist, vor allem juristisch, maße ich mir nicht an, zu estimieren.

      1. Microsoft Windows bietet zZt weder eine passende Schnittstelle für solche Dienstprogramme (zB Apple tut das), noch kann es mit einer solchen fehlerhaften Komponente umgehen (zB Rollback zur letzten funktionierenden Version).

        Die Architektur ist damit mangels Robustheit für kritische Umgebungen nicht geeignet. Das weiss Microsoft, weigert sich aber, Abhilfe zu schaffen.

  2. Die Regelung von Haftungsfragen hat wenig mit dem Grundproblem der Microsoft-Monokultur zu tun. Industrie, Handel und Dienstleister haben über Jahrzehnte IT-Abhängigkeiten kultiviert, die nicht mehr zeitgemäß sind. Um mehr Resilienz zu erreichen, auch gegenüber sog. Cyberangriffen, wäre konsequentes de-risking angesagt, nicht ein „weiter so“. Single-Points-of-Failure in globalem Ausmaß darf man sich bei fortschreitender Digitalisierung nicht leisten wollen.

    Es war schon vor dem CrowdStrike-Event bekannt, dass sich Probleme von der Datumsgrenze mit der Erdumdrehung über den Planeten verbreiten. Diese Erkenntnis hat aber zu keinerlei Verhaltensänderung oder Vorkehrungen beim Ausrollen von Updates geführt. Das ist schlicht Ignoranz und grobe Fahrlässigkeit.

  3. Sehr schön, dass auch der Artikel 32 der DSGVO stärker ins Blickfeld kommt. Die Pflicht von Anbietern, „geeignete technische und organisatorische Maßnahmen, “ zu ergreifen, „um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“ tritt leider viel zu häufig in den Hintergrund.

    1. Das Betroffene Programm „falcon-sensor“ verstehe ich als technische Maßnahme um ein Schutzniveau herzustellen. Und genau das hat doch den Fehler ausgelöst und zu einem Denial of Service geführt.

  4. Ich warte auf den Tag, in der alleine der Verkauf von Microsoft-Produkte zu DSGVO-Verstößen, Klagewellen und Schadensersatzzahlungen aufgrund seelischer Schmerzen führt.

    Vielleicht gibt es dann mal ein telemetriefreies Windows.

  5. Ich finde es interessant, dass ich noch nirgends gelesen habe, dass es auch eine andere Seite der Medaille gibt. Warum wurde das Update von Crowdstrike überhaupt auf kritischen System eingespielt? Wo waren die internen Tests der IT? So haben es wohl aller ITler gelernt, erst Testen, dann life gehen. Aber das Management hat sicher die Gelder gekürzt. Warum intern alles ordentlich machen und Geld ausgeben, wenn man das auf fremde Entwickler abwälzen kann.

  6. FYI

    Laut dem Hersteller Crowdstrike sind Systeme betroffen, die eine Channel-Datei „C-00000291*.sys“ mit einem Zeitstempel von 04:09 UTC 19.07.2024 installiert haben. Sollte die Datei einen Zeitstempel von 05:27 UTC oder von einem späteren Zeitpunkt aufweisen, handelt es sich um eine fehlerbereinigte Version, die nicht betroffen ist. Systeme, die über Nacht ausgeschaltet waren und erst nach 05:27 UTC eingeschaltet wurden, sind nach Aussage des Herstellers nicht betroffen [CRO 1]. Des Weiteren sind auch keine Linux oder MacOS Systeme mit einem Falcon Sensor betroffen.

    https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-257485-10F1.pdf?__blob=publicationFile&v=3

  7. Die Argumentation, dass hier irgendwer wegen der DSGVO haftbar sein sollte, ist ungefähr so an den Haaren herbei gezogen wie folgende: Der Akku meines Smartphones wird nicht vom Anbieter täglich aufgeladen. Wenn ich es benutzen will, um auf meine personenbezogenen Daten zuzugreifen, ist der Akku leer.
    Der Anbieter hat also nicht dafür gesorgt, dass ich den Zugriff auf meine Daten unterbrechungsfrei behalte… dann muse ich den jetzt erstmal melden gehen…

    Sorry – die DSGVO in ihrer aktuellen Fassung und Auslegung durch sogenannte „Experten“ gehört verboten. Warum verliert Europa in quasi jeder Hinsicht den Anschluss an den Rest der Welt? Weil man sich mit Überregulierung und unsinnigen Gesetzen selbst beschäftigt statt Innovation zu fördern.

    Zurück zum Thema: Natürlich bestehen Haftungsansprüche verschiedenster Art für die verschiedenen Betroffenen, aber lasst uns dabei zunächst echten Schaden betrachten. Am Ende war es schlicht eine Menge von nicht verfügbaren Systemen wie bei einem großflächigem Stromausfall – nur eben nicht durch einen Bagger verursacht, sondern einen Softwarefehler.
    Und an der Stelle wird und muss der Anbieter nachbessern: Ausführlichere Tests vor dem Release.
    Und die Nutzer der Software müssen sich die Frage stellen: Ist es das Ausfallrisiko wert, diese spezielle Software einzusetzen oder gibt es Alternativen wie den Wechsel auf eine weniger komplexe Software-Landschaft.

    1. Kapiere die „Metapher“ nicht.
      DSGVO hat mit Schutz zu tun.

      Anschluss: Ohne Regeln ist KI trainieren einfacher, schon klar.

      1. > Leo sagt: … ist ungefähr so an den Haaren herbei gezogen wie …
        > Anonymous sagt: Kapiere die „Metapher“ nicht.

        Leo hat doch die „Gebrauchsanweisung“ für den Text mitgeliefert.

        1. „Leo hat doch die „Gebrauchsanweisung“ für den Text mitgeliefert.“

          Und die daraus entstehende „Metapher“ ist zu verstehen, wenn die DSGVO doch mit Schutz zu tun hat, man aber Akteure, deren Anzahl und Beziehung zueinander verschieden ansetzt?
          Akkuverdruss ~ „Als Auftragsverarbeiter ersten Ranges treffen Microsoft stets die vollen datenschutzrechtlichen Pflichten.“ – Bimbam! Da wird ein Unterschied gemacht.

          Ich weiß auch nicht, ob das mit der Haftbarkeit bzw. wessen da zutrifft, Theorie oder Praxis, und wie bzw. ob ich damit glücklich wäre. Das DSGVO-Bashing unter vollem Batteriestolz ist definitiv im Abseits. Z.B. wird am Ende so getan als müsse das Unternehmen natürlich irgendwie nachbessern [apologetisch als Alternative zur Haftung nach DSGVO]… nee, wenn’s nicht im Gesetz steht? Ist das etwa jener Marktgoptimismus, der Dank Sankt Batterie vom Horizonte her scheint? Denn den Zustand hatten wir ja gerade: die Hersteller leisten sich so ziemlich wörtlich alles. Gerade die DSGVO hat da eben Paragraphen, die hier zutreffen könnten, eben wegen der herausragenden Stellung von Akteur X und/oder Y. Update über Microsoft ausgespielt etc. sind auch noch interessante Details. Hier muss man eben mal gucken, wo das Gesetz noch überall so hinhüpft.
          Auch das Herumgewiesel von „natürlich haftet irgendwer“ bis zu quasi „total wichtiger freiwilliger Selbstkontrolle“, ist natürlich köstlich. Die DSGVO ist genau so ein Gesetz, dass hier Haftung herstellen kann. Der Baggerfahrer, auch köstlich, ist allerdings wiederum jemand anders, ein Baudienstleister, der sporadisch mal da ist, und irgendwas kaputtmacht. Microsoft ist eher so wie die Straße, die sich aufrollt, weil der Sicherheitsdienst Crowdstrike, der sonst immer Knoblauch vor die Türen der Kunden hängt… Die Analogien sind gar nicht so leicht, z.B. wenn man außer Acht lässt, ob Microsoft das Update über seinen Updateservice bereitgestellt hat.

        2. Ich kenne die Paragraphen nicht im Einzelnen, allerdings wäre ich nicht sicher, dass das Ziel der „langfristigen Verfügbarkeit“ mit Hochverfügbarkeit gleichzusetzen ist. Ich vermute eher nicht. Mindestens der eine Paragraph ist gerade dafür gemacht, dass sich so ein Riesenverarbeiter nicht herauszieht mit „ja sörrie iwie kaput“ und dann iterieren. Ich glaube aber wirklich nicht, dass ein einmaliger Ausfall endlicher Zeit hier für eine schwerwiegende Sanktion hinreicht.

          Bzgl. Softwaregesundheit in der Infrastruktur wäre eine Art Ministerium mal ganz nett, dass dann aber mit erhobenem Zeigefinger schon mal anfängt diese und ähnliche Akteure enger zu monitoren, auch mit Hausbesuchen, das ganze Programm :). DSGVO wäre da überfordert, sollte aber mit Zuträger für die Kriterien sein. Und dann können auch Sanktionen folgen, z.B. EU-weiter Ausschluss aus Militär und Verwaltungen und 10-Jährige Hysterese für Wiedereinführung. Oder bei so Durchfallsachen mit Endkunden auch mal Jahresumsatzspezifisch, you name it. Das ist halt alles noch im Zupfprozess…

    2. also was die DSGVO damit zu tun hat ist total absurd.
      Art. 32 DSGVO 1 b sagt, dass es gehärtet und stabil sein soll….
      Art. 32 DSGVO 1 c sagt, dass wenn ein Fehler Auftritt alles wiederhergestellt werden soll.
      Alle betroffenen Systeme sollten mit dem fix wiederhergestellt werden können.
      Hauptsache der „Experte“ kann Paragraphen reiten. 😅

  8. Das Update wurde nicht von Microsoft verteilt und CrowdStrike ist hier auch nicht als Lieferant von Microsoft aktiv gewesen. Wurde das Geschehen überhaupt verfolgt? Es gab ein Problem mit Konfigurationsfiles. Schlechte Qualitätssicherung da nur eine Validierung, aber kein echter Test vorgenommen wurde.

    Zudem muss der Kerneltreiber der auf solche Daten zugreift so entwickelt sein, dass er von sowas nicht abstürzt, sondern ungültige Regeln ignoriert.

  9. Ich vermisse bei der gesamten Berichterstattung bisher eine, aus meiner Sicht, wichtige Einordnung:

    Gemäß §8.6 der Crowdstrike AGB (https://www.crowdstrike.com/terms-and-conditions-de/) haben sämtliche Unternehmensgruppen die dort explizit genannt werden, nach meinem Verständnis, ihren Ausfall selbst zu verantworten und können irgendeinen Schadenersatz vergessen.

    Mich würden tatsächlich folgende Fragen interessieren:

    1. Es werden immer wieder u.A. Kliniken und der Flugbetrieb als Betroffene genannt. Wurde Crowdstrike überhaupt in Bereichen eingesetzt die unter diese Klausel fallen würden oder wurde sich daran gehalten und das Produkt sozusagen in der „Peripherie“ eingesetzt (was allerdings zu ähnlich großen Auswirkungen geführt hat)?
    2. Ist diese Klausel so zulässig und kann sich Crowdstrike damit zumindest einigen Schadenersatzforderungen entziehen?
    3. Wie ist ein „Verstoß“ gegen diese Klausel zu bewerten? Haben entsprechende Unternehmen (z.B. Kliniken, Unternehmen im Umfeld der bzw. die Flughäfen/Airlines) fahrlässig gehandelt?

  10. Wie so immer, immer mehr Auflagen due schlussendlich die integrität der System beinflusst, weil die EU Verantwortlichen keine Ahnung von allem haben.
    Das gleiche mit all den Bestimmungen hat ergeben, dass wir täglich haufenweise Dinge abklicken nur damit man weiterarbeiten kann ohne jeden Mehrwert

    1. > …, weil die EU Verantwortlichen keine Ahnung von allem haben.

      und wovon hast Du ’ne Ahnung?

      Das, was Du mit „abklicken“ bezeichnest sind Entscheidungen. Es gibt keinen Rechtsanspruch auf nicht genervt zu werden. Beschwer dich dich bei denen, die dir die AGBs unterjubeln und Einverständnisse abringen.

    2. Immer eine Gefahr – aber wie genau sieht die Rolle von Microsoft hierbei aus?
      Ich habe nämlich gehört, dass die EU wollte, dass es Schnittstellen gibt, und Microsoft irgendwas gebaut hat. Billig für Microsoft, schlecht für die Sicherheit (und Zuverlässigkeit) der Systeme. Das würde bei Microsoft derzeit hervorragend ins Gesamtbild passen.

      1. „Keine Ahnung von allem“? Das scheint eher bei Microsoft der Fall zu sein.
        In etwa der zehnten Stunde Wettbewerbsrecht für Anfänger an der Uni lernen man, dass niemand mit marktbeherrschender Stellung hergehen kann und einen anderen von diesem Wettbewerb ausschließen kann. Theoretisch gilt das auch in vergleichbarer Form in den USA, MS müssten also nicht mal einen Stundenten nach Europa schicken. In USA gilt aber ein anderes Rechtsverständnis. Das Recht sehen die eher so wie einen Vorschlag.
        Genau die Ausnutzung der Stellung hatte Microsoft wieder einmal vor.
        Technisch gesehen hat Microsoft die eine sch… Lösung im Kernel aufgebaut, die bei unsauberer Bedienung einen BSOD auslöst und das für den eigenen Defender verwendet. Beschützt werden sollte die API von der Rechtsabteilung… mit einem legalen „Stoppschild“. Das das Wettbewerbsrecht nicht nur für die „Kleinen“ gilt, kam für Microsoft wohl überraschend. Dabei hätten die das inzwischen doch wissen müssen, ist ja nicht das erste Mal.
        Dass es technisch besser geht, zeigen andere. Dazu müsste man aber hergehen und eine technisch saubere(re) Lösung aufsetzen…

  11. „… Bürger von der Verletzung ihrer Rechte informieren, sofern von einem hohen Risiko für die Verletzung der Rechte und Freiheiten natürlicher Personen auszugehen ist.“ Können Sie bitte darlegen, welche Rechte der Bürgerinnen und Bürger verletzt worden sind, wenn den Menschen gesagt wird „Wir haben technische Probleme, wir können ihr Anliegen daher erst nächste Woche bearbeiten“ und warum das dann nicht ebenso z. B. bei einer Schließung wegen eines Corona-Lockdowns argumentierbar ist.
    „Als Auftragsverarbeiter ersten Ranges treffen Microsoft stets die vollen datenschutzrechtlichen Pflichten.“
    Abenteuerlich. Bei quasi jedem Programmabsturz, der auf einem Firmen- oder Behörden-Client passiert, könnte man dann Microsoft wegen eines Datenschutzvorfalls verklagen (weil das sind in 99% der Fällen Windows-Rechner). Nicht weil es ein Datenschutzvorfall im klassischen Sinn wäre, sondern weil die Verfügbarkeit der Plattform kurzzeitig eingeschränkt ist.
    Welche Daten hat Microsoft hier genau verarbeitet? Microsoft bietet mit Windows eine Plattform, auf der Programme laufen, die Daten verarbeiten. Weder Microsoft noch Crowdstrike haben in diesem Zusammenhang hier überhaupt irgendwelche Daten verarbeitet. Man darf Ross und Reiter hier nicht verwechseln. Wenn der Mitarbeiter nicht arbeiten kann, weil das Bürogebäude abgebrannt ist, würde man auch nicht den Verursacher des Brandes nach DSGVO verklagen können, weil die Daten der Bürorechner nicht mehr verfügbar sind.
    Welche Daten Microsoft oder Crodstrike da überhaupt verarbeitet haben, müssen Sie aber selbst dann immernoch erklären. Eine kurzzeitige Nicht-Verfügbakeit dürfte für diese Argumentation nicht ausreichen. Und da weder Microsoft noch Crowdstrike hier als Auftragsverarbeiter im Sinne der DSGVO eingesetzt worden sind und diese beiden Firmen auch nicht anderweitig definitionell für der Aufgabe der Datenverarbeitung verantwortlich sind, dürfte die ganze Argumentation hinfällig sein.

    1. „Abenteuerlich“

      Eigentlich ja, allerdings sehe ich bei „langfristiger Verfügbarkeit“ jetzt den Tageweisen Absturz, sofern der nur seltenst auftritt, nicht wirklich als schwerwiegenden Verstoß.

      Langfristig und Hochverfügbar sind verschiedene Dinge. Meinten die Gesetzgeber etwa Hochverfügbarkeit für Datenzugriff bei Microsoft? Und ist die Hochverfügbarkeit überhaupt gefährdet, hat jemand mitgezählt?

      Eine andere Sache wäre, wenn es um strukturelle Argumente geht, weil z.B. zufällig die DSGVO-Schnittstelleninfrastruktur besonders stiefmütterlich gehandhabt wird. Wäre nicht das erste mal bei Pflichtprogrammen (zuvor: Alibiprogramme). Auch in diesem Falle würde ich es eher so verstehen, dass sich z.B. das BSI, wie es angekündigt hat, mal umguckt und Forderungen aufstellt.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.