DAT394 DeepL und Proton nutzen amerikanische Infrastruktur (Follow-up, Teil 1)

00:00:01: Sprecher: Willkommen bei den Datenschutz-Plaudereien. Aktuelles, Bemerkenswertes und Persönliches rund um den Datenschutz und verwandte Themen.

00:00:14: Martin Steiger: Guten Tag, mein Name ist Martin Steiger. Andreas Von Gunten: Und mein Name ist Andreas Von Gunten.

00:00:19: Andreas Von Gunten: Andreas, es ist mal Zeit für Follow-up. Wir kommen im Wesentlichen auf Themen und auch Rückmeldungen zurück, Themen, die wir schon gehabt haben, Rückmeldungen aus dem Publikum.

00:00:27: Martin Steiger: Zuerst aber noch ein Hinweis in eigener Sache. Und da geht es darum, dass wir für alle Podcast-Episoden Show Notes veröffentlichen, eine kurze Beschreibung der Episode und dann auch weiterführende Links. Das sind so Aufzählungen mit Titeln und so weiter.

00:00:43: Martin Steiger: Dann gibt es aber Chapter Marks oder Kapitelmarken, dass man bei den meisten Episoden zu den Themen springen kann, wenn man nicht alles hören will.

00:00:53: Martin Steiger: Und dann gibt es auch immer häufiger ein Transkript, das Verschriftlichte von dem, was wir reden. Und das ist ein bisschen unterschiedlich. Show Notes mache immer mehr ich, Chapter Marks machen wir, aber zum Teil auch Podcast-Plattformen, unterschiedlich.

00:01:02: Martin Steiger: Und Transkripte machen bis jetzt eigentlich nur Plattformen, also auch sehr unterschiedlich. Häufig ist es in der Bezahlversion, aber je nach Podcast-App und Plattform auch standardmässig.

00:01:12: Martin Steiger: Dort ist die Qualität sehr unterschiedlich, muss man sagen. Darum fangen wir jetzt neuerdings an zu probieren, ein eigenes Transkript zu liefern. Weil was man selber liefert, dann wird meistens das genommen und nicht das, was die Podcast-Plattform selber erstellt hat.

00:01:22: Martin Steiger: Muss aber sagen, KI, das sind immer KI-Modelle, die die Transkripte machen, die stossen beim Schweizerdeutschen an deutliche Grenzen. Aber wir arbeiten daran und versuchen jetzt mal, mit eigenen Transkripten zu arbeiten.

00:01:34: Martin Steiger: Habe da mit Claude Code etwas gecodet, das das ein bisschen effizienter machen sollte bei der Produktion. Schaue ich mal, wie das funktioniert.

00:01:45: Martin Steiger: Bei den Show Notes ist es so, dass je nach Plattform, je nach App, die Formatierung nicht übernommen wird. Spotify zeigt es genau umgekehrt an. Was fett ist, ist nicht fett und umgekehrt.

00:01:53: Martin Steiger: Oder Abstände und so stimmen nicht. Da haben wir keinen Einfluss darauf. Das ist einfach ein sehr einfach strukturierter Text, wird darum unterschiedlich übernommen. Und bei den Chapter Marks auch noch mal Spotify, dort ist mir aufgefallen, obwohl wir eigene Chapter Marks haben, hat Spotify angefangen, die KI-basiert zu generieren.

00:02:02: Martin Steiger: Sind nicht besonders gut abgestimmt, das habe ich jetzt ausschalten können. Schaut euch die Funktionen an, liebes Publikum, nutzt die. Ich weiss, es gibt Leute, die Podcasts viel lieber lesen als hören.

00:02:12: Martin Steiger: Auch mit KI-Tools kann man dann darauf werfen, gibt auch Tools, die darauf spezialisiert sind, da kann man sehr viel darüber machen. Aber mit dem Schweizerdeutschen haben wir auf absehbare Zeit wirklich noch ein Problem.

00:02:23: Martin Steiger: Die Transkription hat einfach das eine oder andere Problem. Oder auch Sachen wie ‹Von Gunten›, gar nicht gut bei den KI-Modellen. EDÖB, Datenschutz-Plaudereien.

00:02:34: Martin Steiger: Wir haben leider noch ein paar ziemlich zentrale Begriffe, bei denen die KI-Modelle Mühe haben. Aber besser als nichts. Das einfach als Hinweis, dass gewisse Sachen von uns kommen, gewisse Sachen von den Apps und Plattformen, es ist halt sehr unterschiedlich.

00:02:45: Martin Steiger: Und gerade was die Apps und Plattformen selber machen, da haben wir letztlich keinen oder nur beschränkten Einfluss.

00:02:54: Andreas Von Gunten: Ja, und darum finde ich es super, Martin, dass du dir die Mühe machst, diese Transkripte jetzt selbst zu versuchen. Weil dort sieht man natürlich zum Teil haarsträubendes Zeug gerade im Schweizerdeutschen.

00:03:04: Andreas Von Gunten: Und von dem her ist es natürlich ein grossartiger Dienst an unsere Hörerinnen und Hörer, dass wir versuchen, unsere Transkripte so gut wie möglich zu machen. Besten Dank.

00:03:14: Andreas Von Gunten: Martin, du hast kürzlich einen Blogpost geschrieben, den ich interessant gefunden habe, und zwar DeepL, auch eine Firma, die wir immer wieder mal erwähnen, eine Firma, die sich eigentlich so ein bisschen als europäische Plattform angeboten hat.

00:03:27: Andreas Von Gunten: Aber ist, glaube ich, mittlerweile einfach gekauft worden, wenn es mir recht ist. Auf alle Fälle interessant ist, dass sie neuerdings gemäss ihren AGB oder Datenschutzerklärung sagen, sie nutzen jetzt neuerdings die amerikanischen Amazon Web Services (AWS).

00:03:39: Andreas Von Gunten: Was natürlich das ganze Europäische wieder ein bisschen infrage stellt. Oder habe ich das richtig verstanden?

00:03:54: Martin Steiger: Du hast das richtig verstanden. DeepL, was einfach die Abkürzung für Deep Learning ist, also ein alter Begriff für KI, die sind so bekannt, weil sie wirklich einer der ersten Anbieter waren, die vernünftig haben übersetzen können.

00:04:04: Martin Steiger: Google Translate hat es seit Urzeiten gegeben, das ist aber zum Teil häufig ein bisschen lustig-komisch gewesen, was herausgekommen ist. Und DeepL ist dann eine deutliche Verbesserung gewesen, sehr bekannt.

00:04:12: Martin Steiger: Und sie sind aus Deutschland grundsätzlich, nun sind aber auch Investoren drin. Zuletzt haben wir über sie geredet, weil sie so teuer geworden sind. Sie haben die Preise massiv erhöht.

00:04:22: Martin Steiger: Haben glaube ich auch schon darüber geredet, dass es bei der Compliance gar nicht so einfach ist. Auch wenn du bezahlst, hast du nicht automatisch einen Auftragsverarbeitungsvertrag. Letzter Stand war, dass du den Vertrieb anschreiben musst, dann bekommst du ihn.

00:04:34: Martin Steiger: Das Gleiche auch, wenn du zusätzlichen Geheimhaltungsbedarf hast, zum Beispiel als Arzt oder als Anwältin. Und jetzt werden Nutzerinnen und Nutzer nach und nach informiert, dass DeepL jetzt auch Infrastruktur von Amazon Web Services (AWS) nutzen kann.

00:04:44: Martin Steiger: In Europa nutzen sie das, ich glaube in Frankfurt. Der Nimbus vom einfach rein deutschen, europäischen Dienst ist natürlich jetzt weg.

00:04:54: Martin Steiger: Ich persönlich finde es jetzt nicht so schlimm, dass sie Amazon Web Services (AWS) nutzen, haben sicher gute Gründe, das zu machen. Aber es sind jetzt natürlich viele Nutzerinnen und Nutzer enttäuscht.

00:05:04: Martin Steiger: Und der aktuelle Stand ist wohl, dass du natürlich kündigen kannst. Ich glaube, der Vertrag läuft spätestens dann Ende 2026 aus. Und wenn du nicht widersprichst, dann gilt es.

00:05:14: Martin Steiger: Was auch speziell ist. Du musst nicht einwilligen, sondern einfach nicht widersprechen. Und du kannst natürlich ausserordentlich kündigen. Der letzte Kündigungstermin ist per Ende Jahr.

00:05:23: Martin Steiger: Dann bist du quasi raus, wenn du widersprochen hast, egal wie lange das aktuelle Abo noch läuft. Ich persönlich muss sagen, ich halte DeepL schon seit einiger Zeit für hoffnungslos überschätzt.

00:05:34: Martin Steiger: Sie sind immer teurer geworden, auch Zusatzfunktionen kosten alle extra. Sind immer angeschrieben, und wenn du draufklickst, musst du auch noch für das zahlen.

00:05:44: Martin Steiger: Und auch die Übersetzungsqualität finde ich gegenüber den grossen Modellen von Anthropic Claude, OpenAI (ChatGPT) und Gemini von Google nicht so toll.

00:05:54: Martin Steiger: Gerade auf Englisch klingen sie häufig so ein bisschen ‹Denglish›. Es ist zwar Englisch, aber man erkennt sehr gut die deutsche Herkunft. Ich glaube, die haben ihren Zenit überschritten.

00:06:04: Andreas Von Gunten: Den Eindruck habe ich auch. Und was in dem Zusammenhang noch interessant ist, dass die Leute sich vielleicht jedes Mal, wenn so etwas passiert, wieder klar werden müssen.

00:06:14: Andreas Von Gunten: Dass eigentlich die allermeisten Services in der Schweiz und in Europa letztendlich auf einem der grossen amerikanischen Hyperscaler-Cloud-Plattformen betrieben werden.

00:06:23: Andreas Von Gunten: Entweder Amazon Web Services (AWS), Google Cloud oder Microsoft Azure. Das ist einfach die Realität. Und oft wird etwas verkauft als besonders europäisch, und wenn man genauer hinschaut, ist es eben nicht der Fall.

00:06:34: Andreas Von Gunten: Zum Beispiel Swisscom mit ihrer KI-Plattform, wo sie Claude nutzen in einem Bedrock-System von AWS. Das ist einfach nicht schweizerisch, Punkt. Muss man einfach nicht behaupten.

00:06:44: Andreas Von Gunten: Und es ist auch nicht europäisch. Man hat eine amerikanische Firma, ob das jetzt in Frankfurt steht oder nicht. Ich persönlich finde es auch nicht so schlimm, das wollte ich schon sagen.

00:06:54: Andreas Von Gunten: Ich glaube einfach, man muss sich da nichts vormachen. Das ist zum Teil halt ein bisschen problematisch, und darum ist es gut, wenn so ein Fall mal wieder an die Öffentlichkeit gezerrt wird.

00:07:04: Martin Steiger: Vor allem ist es halt nicht die digitale Souveränität, die man aus guten Gründen auch anstrebt. Wir haben auch Gründe, vor allem politische Gründe, dass man das eigentlich möchte.

00:07:14: Martin Steiger: Das zeigt vielleicht, dass auch so Vorzeigeunternehmen das nicht hinkriegen. Und das ist auch gerade ein nahtloser Übergang zu einem anderen Vorzeigeunternehmen, nämlich zu Proton. Die haben einen Zoom-Konkurrenten eingeführt, einen Videokonferenzdienst namens Proton Meet.

00:07:24: Martin Steiger: Wie immer sehr geschickt in der Kommunikation, auch der CEO selber, Andy Yen, hat da einen Blogbeitrag geschrieben. Und da betont er eben auch, sie hätten das jetzt gemacht, vor allem mit Blick auf den US Cloud Act.

00:07:34: Martin Steiger: Das sei ein Compliance-Problem etc. Und bei ihnen Ende-zu-Ende-Verschlüsselung. Gespräche werden dort geschützt, wo es am meisten darauf ankommt.

00:07:44: Martin Steiger: Und wenn man das so liest, dann fällt bei Proton auf, dass die Kommunikation so überspezifisch ist. Und das hat einen einfachen Grund, weil der Dienst massgeblich auf amerikanischer Infrastruktur basiert.

00:07:54: Martin Steiger: Das ist vielleicht ein bisschen speziell, vielleicht nicht überraschend, wenn man Proton schon seit Längerem kritisch verfolgt. Aber ja, und das basiert auf einem amerikanischen Dienst, der heisst LiveKit Cloud.

00:08:04: Martin Steiger: Der ist wohl sehr etabliert, sehr gut, wird von vielen Grossen genutzt, um Voice-basierte Kommunikation zu machen. Aber es ist halt ironisch, LiveKit sitzt in den USA.

00:08:14: Martin Steiger: Die Unterauftragsverarbeiter sind dann DigitalOcean, Google und Oracle, auch in den USA. Dann haben sie noch ein bisschen Tracking darauf.

00:08:24: Martin Steiger: LiveKit Cloud ist zum Teil auch selber verantwortlich, also nicht nur Auftragsverarbeiter, sondern sie machen mit den Daten, die sie sammeln, wirklich auch noch eigene Sachen.

00:08:34: Martin Steiger: Eigentlich sehr fragwürdig einerseits. Auf der anderen Seite kann man fragen, wie schlimm ist es, weil offenbar ist es schon so, dass die Inhalte Ende-zu-Ende-verschlüsselt sind.

00:08:44: Martin Steiger: Die Gespräche und die Chats sind sauber Ende-zu-Ende-verschlüsselt, soweit man es sieht. Aber halt Metadaten, die gehen in die USA, die IP-Adresse, weitere Metadaten.

00:08:54: Martin Steiger: Auch Proton selber verwendet 90-tägige Cookies und solche Geschichten. Wie so häufig bei Proton: Sie versprechen vielleicht Sachen, die dann bei der technischen Umsetzung nicht stimmen.

00:09:04: Martin Steiger: Es ist aber immer schön, wie sie natürlich so ein bisschen ‹plausible deniability› machen. Weil sie LiveKit Cloud erwähnen in der Datenschutzerklärung, aber nicht, dass es ein amerikanischer Dienst ist.

00:09:14: Martin Steiger: Oder sie betonen auch wirklich sehr überspezifisch, was die Infrastruktur sehen kann und was nicht. Ich weiss nicht, wie schlimm das jetzt wirklich ist, aber auch da: Wenn du jetzt zu Proton gehst, zu Proton Meet, zum Beispiel von Zoom her kommst, dann erwartest du nicht, dass du indirekt wieder amerikanisch unterwegs bist.

00:09:24: Andreas Von Gunten: Genau, und da ist der Unterschied auch nicht so supergross zu zum Beispiel Zoom, wo auch verschiedene Möglichkeiten zur Verschlüsselung vorhanden sind. Habe ich das Gefühl, das ist dann auch nicht mehr so ein riesiger Schritt.

00:09:34: Andreas Von Gunten: Aber klar, es ist immer das Gleiche, wir kommen immer wieder zum gleichen Thema zurück. Es wird einfach Zeug versprochen, das nicht wirklich eingehalten wird. Und es ist wichtig, dass wir uns einfach bewusst sind: Wir haben diese Infrastruktur nicht in Europa im Moment.

00:09:44: Andreas Von Gunten: Es wird eine Zeit gehen, bis wir sie haben, und bis dorthin müssen wir ganz gut hinschauen, was uns versprochen wird.

00:09:54: Martin Steiger: Definitiv. Da übrigens Quelle einmal mehr Sam Bentz, ein bekannter Blogger aus den USA bei Sicherheitsthemen. Er schaut Proton nicht zum ersten Mal kritisch auf die Finger, auch immer zu Recht.

00:10:04: Martin Steiger: Leider ist sein Blog, so wie er technisch gebaut ist, ein bisschen anstrengend. Wenn man keinen Content-Blocker hat, kann man die Seite eigentlich nicht abrufen. Aber gut, wer uns zuhört, hat hoffentlich einen Content-Blocker im Einsatz.

00:10:14: Martin Steiger: Und sonst habe ich in einem eigenen Blogbeitrag auch die wesentlichen Geschichten von Sam Bentz auf Deutsch übersetzt.

00:10:24: Andreas Von Gunten: Sehr gut, super, danke Martin. Wir haben noch eine Rückmeldung bekommen, einen Kommentar von einem Mirko. Er schreibt da: ‹Ich hatte vor einigen Wochen eine Diskussion zum Thema europäische Clouds und Verschlüsselung.›

00:10:34: Andreas Von Gunten: ‹Fast keine ermöglichen eine hardwarebasierte Verschlüsselung mit eigenen Schlüsseln. Bei US-Clouds ist das möglich. Es ist also auch eine begründete Insuffizienz bei den Alternativen.›

00:10:44: Andreas Von Gunten: Ja, das ist tatsächlich so, dass wir oft auch einfach zu wenig gute Services haben bei uns. Das ist einfach schon ein Problem.

00:10:54: Martin Steiger: Das ist ein Problem. Muss schon sagen, gerade Google und auch Amazon Web Services (AWS) sind bei Compliance-Themen häufig eben recht gut, abgesehen davon, dass sie amerikanisch sind.

00:11:04: Martin Steiger: Microsoft bin ich kritischer, die haben gefühlt viel mehr Sicherheitsvorfälle. Gut, bei Amazon Web Services (AWS), die haben jetzt den einen oder anderen Wipe-Coding- und KI-Fail gehabt.

00:11:14: Martin Steiger: Das hat denen recht viel Geld gekostet, was man so liest, was sie für Ausfälle gehabt haben, weil sie da in Probleme hineingelaufen sind. Aber ja, das ist wirklich das Ding. Die Alternativen sind häufig nur scheinbare Alternativen, wenn du es genau anschaust.

00:11:24: Martin Steiger: Ich sage immer bei E-Mail-Diensten zum Beispiel ist mein normaler Test: Wie ist denn das Compliance-Archiv für E-Mail? Wie funktioniert das? Und dann landest du am Punkt, wo sie sagen: Ja, da musst du einen Drittanbieter haben.

00:11:34: Martin Steiger: Aber bei Google zum Beispiel ist das bei Google Workspace ein Feature, das inbegriffen ist oder das du dazuklicken kannst. Ist halt dann noch praktisch, muss man sagen. Oder auch sonst bei der Datensicherheit.

00:11:44: Martin Steiger: Weil Compliance, natürlich muss man das Recht einhalten, kein Zweifel. Aber Checkbox-Compliance allein langt ja bekanntlich nicht.

00:12:21: Sprecher: Hat dir Datenschutz-Plaudereien gefallen?

00:12:28: Sprecher: Wir freuen uns über deine Bewertung, deinen Kommentar oder deine Rückmeldung.