Anzeige

Am Puls von Microsoft

Anzeige

Ist Microsoft 365 datenschutzkonform? Nein! Doch! Ooh!

DrWindows

Redaktion
Ist Microsoft 365 datenschutzkonform? Nein! Doch! Ooh!
von Martin Geuß
Microsoft 365 App Logo


Die deutschen Datenschützer haben sich einmal mehr mit der Frage befasst, ob Microsoft 365 datenschutzkonform eingesetzt werden kann. Einmal mehr kamen sie auf die gleiche Antwort wie bisher: Nein! Schon fast trotzig veröffentlichte Microsoft eine Pressemitteilung zu dem Thema, ebenfalls mit der bekannten Antwort: Doch!

Jeder, der sich in der Vergangenheit bereits mit der Thematik befasst und sich die entsprechenden Argumente angehört hat, kann sich die Lektüre dieses Beitrags sparen, denn so viel sei vorweggenommen: Es liegen keinerlei neue Fakten oder Argumente auf dem Tisch, weder von der einen noch von der anderen Seite.

Die Datenschutzkonferenz DSK hatte sich in einem knapp gefassten Dokument festgelegt und gesagt:

Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann.

Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.


Klare Sache also: Microsoft 365 kann nicht datenschutzkonform betrieben werden.

Ein wenig aus ausführlicher fällt der Bericht der Arbeitsgruppe aus, die sich mit diesem Thema zu befassen hatte, und bereits hier wird es interessant. Auf Seite zwei dieses Berichts heißt es nämlich unter anderem:

Der Bericht der Arbeitsgruppe enthält

a) eine alleine auf ausgewählte rechtliche Anforderungen der DSGVO beschränkte Bewertung, jedoch keine vollständige datenschutzrechtliche Bewertung des Cloud-Dienstes Microsoft 365.


Die Feststellung, die man aus der knappen Stellungnahme ableiten kann und die von vielen Medien auch 1:1 so getroffen wurde, will man also gerade NICHT treffen. Und das wiederum bestätigt einmal mehr meine Meinung und meine Kritik an den deutschen Datenschützern. Die Strategie lautet „Wasch mich, aber mach mich nicht nass“. Man suhlt sich in Bedenken, handfeste Fakten landen aber auch dieses Mal wieder nicht auf dem Tisch.

Im aktuellen Fall ging es im Kern um die Frage, wann Microsoft Auftragsdatenverarbeiter und wann als datenschutzrechtlicher Verantwortlicher auftritt. Dies ließ sich „nicht abschließend klären“. Die übrigen Kritikpunkte gehen in die bekannte Richtung, und ich fasse sie mal lapidar zusammen: Man weiß nicht genau, was Microsoft mit den erhobenen Daten anstellt, und weil man nicht ausschließen kann, dass unzulässige Verarbeitungen stattfinden, ist auch kein datenschutzkonformer Einsatz möglich.

Microsoft hat wie erwähnt am selben Tag eine Stellungnahme veröffentlicht, in der man trotzig feststellt, dass man die europäischen Datenschutzgesetze nicht nur erfüllt, sondern sogar übertrifft. Die Einschätzung der DSK, so schreibt man, beruhe auf einer „Reihe von Missverständnissen hinsichtlich der Funktionsweise unserer Dienste“. Von Diplomatisch nach Deutsch übersetzt heißt das: „Ihr habt keine Ahnung, wovon ihr da redet“.

In Microsofts Stellungnahme heißt es außerdem:

Im Interesse größerer Transparenz würden wir begrüßen, wenn der vollständige Bericht mit den an die DSK von Microsoft übermittelten detaillierten Antworten und Kommentierungen, aber mit angemessenen Schwärzungen, veröffentlicht würde.

Auch das darf man als wütende Antwort interpretieren, die auch so klingen könnte: Die DSK fordert von uns Transparenz, hält sich aber selbst nicht dran.

Mir geht es in dieser Sache wie immer nicht darum, den „Anwalt“ für Microsoft zu spielen. Mich ärgert nur immer wieder, dass die Datenschützer ein Gefühl der latenten Unsicherheit schüren, ohne entsprechend konsequent zu handeln. Wenn Microsoft 365 nicht datenschutzkonform ist, dann muss der Einsatz verboten werden, und zwar nicht nur in Schulen, wie bereits geschehen, sondern auch in der freien Wirtschaft. Da traut sich aber anscheinend niemand ran, also sind sie sich ihrer Sache entweder nicht sicher oder sie vernachlässigen den Datenschutz aus wirtschaftlichen Interessen – in beiden Fällen machen sie ihren Job nicht richtig.

Das Argument, man könne nicht mit Sicherheit ausschließen, dass nicht doch unzulässige Datenverarbeitungen stattfinden, wird sich indes niemals aus der Welt schaffen lassen. Wie soll denn das gehen? Wer seine Daten einem Dienstleister überlässt, der muss darauf vertrauen, dass dieser sorgsam damit umgeht und sich an Recht und Gesetz hält.

Ich fürchte, aus der Nummer kommen wir so schnell nicht raus. Soviel sei zur Verteidigung unserer Datenschützer gesagt: Selbst wenn sie Microsoft 365 heute eine Unbedenklichkeitsbescheinigung ausstellen würden, wäre diese morgen schon wieder nichts mehr wert, denn ständig kommen neue Funktionen hinzu und es werden neue Richtlinien zur Administration eingeführt, daher wird eine abschließende Beurteilung wohl niemals möglich sein.

Und darum wird es wohl auch in Zukunft immer wieder heißen: Ist Microsoft 365 datenschutzkonform? Nein! Doch! Ooh!


Hinweis: Der Artikel wird möglicherweise nicht vollständig angezeigt, eingebettete Medien sind in dieser Vorschau beispielsweise nicht zu sehen.

Artikel im Blog lesen
 
Anzeige
Naja die Behörde arbeitet vmtl selbst mit Office 365 und hat Angst, dass sie neue Software benötigen werden.
Spaß bei Seite. Ich verstehe die DSGVO, also die Idee wo es hin gehen sollte. Was jetzt allerdings gemacht wird ist absolut absurd. Nichts gegen Quelloffene Software oder so, aber da arbeitet keiner mit Diagnose Daten? Und die können dann nicht missbraucht werden? Das ist doch irrsinnig.
Gute Administratoren können jeglichen Traffic blocken, wenn sie wollen und sich mit ihren Netzen auskennen. Und wenn es keine Online Version sein soll gibt es dafür ja auch die stationäre Version.
Aber alles zu verteufeln ohne den genauen Grund zu sagen und auf den genauen Punkt zu zeigen wo was passiert ist Blasphemie. Sind dann damit auch Büro Programme von Apple und Google verboten, weil nicht DSGVO konform? Oder ist die Datenkrake neuerdings zahm geworden?
 
🤣
Gerade unsere Amtsstuben haben ein riesiges Problem mit der Umsetzung der DSGVO.
Oft werden die Daten von Bürgern vor den Bürgern geschützt.
Aber der Austausch der Bürgerdaten zwischen den Ämtern klappt reibungslos und ohne jegliche Bürokratie. Sicher gibt es bei dem Austausch der Daten Unterschiede. Gerade wenn der Bürger durch die Zusammenarbeit profitieren könnte, wird auf die DSGVO gepocht 🤣

Ich darf da nicht weiter drüber nachdenken, da ich aktuell selbst Wände einrennen muss 😩
 
Zuletzt bearbeitet:
Oder haben die alle keine Ahnung?
Ich glaube schon, dass da Leute mit Ahnung sitzen. Allerdings ist die Kommunikation miserabel und es wird kein eindeutiger Punkt genannt um den es geht. Und solange man nicht weiß was man falsch macht oder machen soll kann man nichts ändern. Für mich ist das rein politisch und kaum noch technisch, leider.

Gerade unsere Amtsstuben haben ein riesiges Problem mit der Umsetzung der dsgvo.
Oft werden die Daten von Bürgern vor den Bürgern geschützt.
Also nachdem ich erfahren habe, dass mein Einwohnermeldeamt meine Daten gewinnbringend verkauft ist mir klar warum ich dort nie einen Hinweis auf die DSGVO erhalten habe. Denn dann wären die Kassen noch klammer und der Austausch der Daten innerhalb der Behörden würde gar nicht mehr klappen
 
Irgend etwas muss doch dran sein, das Microsoft 365 eben nicht datenschutzkonform ist laut DSGVO. Nicht umsonst haben es sogar die Franzosen aus den Bildungseinrichtungen bzw. Schulen verbannt. Oder haben die alle keine Ahnung?
Da muss man ja gar nicht bis nach Frankreich schauen, in Deutschland gibt es dafür ähnliche Beispiele:
Gegen dieses "Verbot" haben aber auch die Lehrer- und Elternverbände protestiert und plötzlich wollte es der Datenschutzbeauftragte gar nicht mehr als Verbot verstanden wissen, sondern eher als Empfehlung. Irgendwie hat man dann nichts mehr davon gehört und ich weiß ehrlich gesagt nicht, ob sich überhaupt etwas geändert hat.

Das ist es ja gerade, was ich kritisiere: Wenn unsere offiziellen Datenschützer der festen Überzeugung sind, dass M365 gegen die DSGVO verstößt, müssen sie allen Firmen in ihrem Einflussbereich unter Androhung drakonischer Strafen verbieten, es zu nutzen. Warum passiert das nicht?
 
Austausch der Daten innerhalb
Ich bin leider nicht auf dem aktuellen Stand.
Vor ein paar Jahren haben sich Webmail Anbieter beklagt, dass behördliche Anfragen per unverschlüsselten Mails und ohne Zertifikat eingegangen sind, wo nach User Dateneinsicht gefordert wurde.
Sprich die behördlichen Anfrage kam mit hochbrisanten Personen bezogen Daten unverschlüsselt für jedermann einsehbar ein geflattert.
Der Administrator sollte auf demselben Weg dann die geforderten Daten zurückschicken 🤣🫣😳

Mit dem Hintergrundwissen wäre es vermutlich wirklich besser, wenn eine Firma aus der freien Wirtschaft mit Auflagen sich um den elektronischen Quatsch kümmert. Am besten aus China oder Russland 🤣
Wer weiß, was die Amerikaner mit unseren Daten anstellen 🥳🤣
 
Zuletzt bearbeitet:
Im Bericht steht
"man könne nicht mit Sicherheit ausschließen, dass nicht doch unzulässige Datenverarbeitungen stattfinden"

Wenn diese "Argumentation" ausreicht, dann können gleich auch alle Führerscheine in eingezogen werden denn
mit Sicherheit ausschließen kann niemand, dass jemand doch schwer alkoholisiert eine Schulklasse niedermäht.
 
Das ist es ja gerade, was ich kritisiere: Wenn unsere offiziellen Datenschützer der festen Überzeugung sind, dass M365 gegen die DSGVO verstößt, müssen sie allen Firmen in ihrem Einflussbereich unter Androhung drakonischer Strafen verbieten, es zu nutzen. Warum passiert das nicht?
Ein schlauer Mensch hat mal vor langer Zeit gesagt:
"Wenn man nicht weiß worum es geht, dann geht es um Geld oder Macht"

Ich sehe das als ein Politikum gegen amerikanische IT-Unternehmen, welchen europaweit das Leben schwieriger gemacht werden soll.
 
Weil wir gerade das Thema mit Abmahnung wegen Google Webfonts etc. durch hatten:

Ein Clouddienst der von einem amerikanischen Unternehmen betrieben wird ist seit dem CLOUD Act doch nie
mehr wirklich DSGVO konform einsetzbar. Das hat ja auch das Schrems II Urteil schon ergeben/bestätigt.

Die dürften nichtmal IP Adressen (sind DSGVO relevant) ermitteln, weil sie immer gezwungen werden könnten, diese Daten in die USA übermitteln zu müssen, selbst wenn die Datenzentren irgendwie ausgelagert würden.

Kann mir auch nicht vorstellen, dass das Auslagern auf T-Mobile Deutschland da juristisch langen würde, wenn Sie
der Auftraggeber sind. Denn irgendwie könnte die amerikanische Justiz Microsoft immer zwingen die Daten
nach Übersee preiszugeben :).

Und solange das nicht wirklich wieder anders gekippt wird (CLOUD Act) ist eine Datenverarbeitung
unter Flagge eines US Konzerns-Besitzers DSGVO mäßig nicht sauber regelbar.

Ich find das zwar sehr übertrieben aber ist eben juristische Spitzfindigkeit.
 
[leicht OT - aber dann doch auch wieder nicht]

Mich fasziniert, wie rasch hierzulande jede Sachfrage auf der ideologisch-moralisierenden Ebene landet.
Datenschutz ist ein hohes Gut. Keine Frage. Aber man kann doch nicht außer Acht lassen, dass es zur Lösung von Problemen eine Datenbasis braucht, mit der man faktenbezogen arbeiten kann.
Moderne Datenbanken leisten so was wie Anonymisierung.

Beispiel Pandemie: kein Mensch in diesem Land hatte eine Ahnung, von welchen Zahlen wir tatsächlich auszugehen hatten, während ein paar Kilometer weiter in Dänemark ein absolut transparentes Bild aller Gesundheitsdaten (natürlich anonymisiert) am Tisch der Entscheidungsträger lag.

Beispiel e-Medication: das "Pilotprojekt" Münster-Lippe muss zurück an den Start, weil man es nicht gebacken bekommt, individuelle Zugriffsrechte der GDAs (Gesundheitsdienstanbieter) zu administrieren. Im Prinzip mögliche e-Medikation muss nach wie vor auf Papier ausgedruckt werden, das einzig "e"-e dran ist der QR-code am Rezept
In Österreich funktioniert "ELGA" (die elektronische Gesundheitsakte) seit fast zehn Jahren reibungslos. Dort kann ein Arzt seinem Patienten seit Jahren eine Verschreibung online auf die "e-card" (Gesundheitskarte) buchen, der sich dann mit dieser das Medikament aus jeder Apotheke bundesweit abholen kann. So musste in der Pandemie kaum jemand in überfüllten Wartzimmern auf ein Rezept warten. Jeder kann sich dort jederzeit selbst bei seinem/ihrem ELGA-account einloggen und kontrollieren, wer wann welche Daten ausgelesen hat und selbst auch GDAs sperren, von denen man nicht möchte, dass sie Zugriff haben.
Gleichzeitig bietet der Datenpool eine statistische Grundlage für Gesundheitspolitik.

Das High-Tech-Land Deutschland aber streitet über Datenschutz.
 
Ganz so rosig sehe ich ELGA in Österreich nicht.
Befunde werden von Ärzten nicht in ELGA eingespeichert,
Wahlärzte haben oft/meist keinen Zugriff (kein Lesegerät! für die e-card in der Ordination) - Kostenthema
Medikamente gibt es noch nicht so lange als e-Rezept
und ganz wichtig: Jeder kann sich abmelden
 
Meines Erachtens ging ja die DSGVO ganz gewaltig nach hinten los, die großen Datenkraken sammeln munter weiter, sogar die Post in Österreich hat fragwürdige Daten angereichert und verkauft, Bei den Kleinen streitet man
über IP Adressen beim Homepagebesuch), die mittels Google Fonts Zugriff auf aussereuropäischen Servern landen könnten.
Oder müllt Kunden mit Cookie Bannern zu. Oder in diesem Fall wird halt Microsoft gepiesakt, obwohl die gerade in dem Bereich sich eigentlich sehr stark für den Datenschutz gegenüber den Behörden gewehrt haben.
Ist einfach ein schlecht gemachtes Gesetzeswerk.
 
Sind dann damit auch Büro Programme von Apple und Google verboten, weil nicht DSGVO konform? Oder ist die Datenkrake neuerdings zahm geworden?
Sind auch amerikanische Unternehmen, die den amerikanischen Gesetzen unterliegen.
Wer will im Unternehmen überhaupt damit arbeiten?

Einmal die Backen zusammenkneifen und auf LibreOffice umsteigen. Kann doch nicht so schwierig sein. Gut, vorher kann es „Reibungen„ geben. Das klärt sich dann aber.

Privat kann man ja weiterhin seine Lieblings-Version verwenden.
 
Ganz so rosig sehe ich ELGA in Österreich nicht.
Da es ja hier schon eher um Datenschutz allgemein geht, antworte ich darauf, obwohl es streng genommen OT ist.

Im Prinzip ist ELGA schon ganz clever. Nur die (physische) e-card ist der Schlüssel, und der bleibt beim Patienten.
Der oder die hat auch selbst die Datenhoheit, kann also z.B. einen Befund selbst löschen (Beispiel psychische Erkrankung). Alle anderen (EKG, MRT, Röntgenbilder, Laborwerte,...) können bei Stecken der e-card von behandelnden Ärzten abgerufen werden. Ich konnte mich erst kürzlich bei einem Kollegen in Salzburg selbst davon überzeugen, wie gut das (verglichen mit dem deutschen System jedenfalls) funktioniert.
Das Wahlarztdilemma in Österreich ist eine andere Geschichte, liegt aber an den Ärzten, die sich den Nacht-, Wochenend- und Notarztdiensten entziehen wollen, indem sie keinen Kassenvertrag anstreben. Offiziell haben sie dadurch "mehr Zeit für jeden Patienten". Klar, die müssen ja auch erst einmal selber zahlen und sich dann drum kümmern, einen Teil der Kosten von ihrer Versicherung ersetzt zu bekommen.
Auf alle Fälle hat man dort was längst geschafft, was in Deutschland wieder mal an "Grundsatzfragen" scheitert.
 
Das OLG Karlsruhe hat doch geurteilt, dass man sich auf Aussagen wir die Datenschutzkonfomität verlassen kann und erst wenn eine Verletzung dieser nachgewiesen wird ich erst reagieren muss.
So in kurz.
Also kann ich als Nutzer mich erst mal darauf verlassen das MS und Co das richtig machen und kann es in der Schule weiter nutzen.
 
Ich frage mich ernsthaft, ob sich Jeder die Datenschutz- und Nutzungsbedingungen von Microsoft jemals durchgelesen hat? Aber ich denke mal eher NEIN! Wer befasst sich auch schon gern mit dem nichtssagenden Schreibschwall, den Microsoft als Aushängeschild da anbietet? Stimmt doch eh nicht, was sie da schreiben!
Es finden sich zB keine klaren Angaben darüber, was Wo mit den Daten, die Microsoft gefragt oder ungefragt "abverlangt" geschieht, zu welchem Zweck diese benötigt werden und wie ich diese Daten löschen kann? Was passiert mit den Daten, würde ich ein Microsoftkonto einrichten? Kann ich prüfen, ob die Daten, die sie angeblich löschen wirklich löschen? Wer will das prüfen? Ihr Zusage, das sie es innerhalb von 60 Tagen freiwillig erfüllen, ist keinen Pfifferling wert, da sie ja außerhalb vom deutschem Recht gespeichert werden.
Wenn schon die Telemetrie-Daten, welche sich übrigens nicht anschalten lassen , schon dazu verwendet werden um mir Benutzerfreundlich Inhalte und Anzeigen anzubieten, dann flammt in mir die Frage auf, was mit den Daten passieren würde, würde ich die Dienste von Microsoft beanspruchen müssen?
Das einzig Stabile in dieser Diskussion zwischen den Beiden; also Microsoft und der DSK ist, das sich die Kernaussagen nicht ändern; die DSK ihre Behauptungen wiederholt und Microsoft pöbelnd Antwortet. Würde Microsoft mal damit beginnen, wenigstens im Ansatz etwas zu ändern; zB ganz simpel mal die Telemetrie abschaltbar gemacht; oder etwas gleichwertiges, dann würde der DSK dies bestimmt auch auffallen und die Berichte würden sich; einmal wenigstens; anders lesen und Aufmerksamkeit heraufrufen. Dann lohnt es sich auch mal wieder die Datenschutz- und Nutzungsbedingungen von Microsoft von Microsoft zu lesen und über mehr als nur die Nutzung des Betriebssystems nachzudenken.
 
Ich frage mich ernsthaft, ob sich Jeder die Datenschutz- und Nutzungsbedingungen von Microsoft jemals durchgelesen hat?
Und da frag ich mich, ob's nicht möglich wäre, sich in der EU ein Gesetz einfallen zu lassen, das hier anbietende Konzerne dazu verpflichtet, so eine EULA verständlich auf einer DIN A4 Seite zusammenzufassen.
Dem könnte man dann auch tatsächlich zustimmen - oder eben nicht.
Kein Mensch liest 86 Seiten Endnutzerbedingungen.
So was hat ja Microsoft (und anderen) den Ruf eingebracht, eine law-firm mit angeschlossener Softwareentwicklungsabteilung zu sein.
 
Anzeige
Oben