Microsoft 365 und die DSGVO: Die EU setzt sich selbst die Pistole auf die Brust

[DrWindows]

Microsoft 365 und die DSGVO: Die EU setzt sich selbst die Pistole auf die Brust
von Martin Geuß

Verrückte Geschichte: Die EU-Kommission verstößt mit der Nutzung von Microsoft 365 gegen die DSGVO – sagt der oberste Datenschützer der EU.

Falls Ihr den obigen Satz dreimal hintereinander lesen musstet, um sicher zu sein, es nicht falsch zu verstehen, dann geht es Euch wie mir. Seit dem Frühjahr 2021 hat der EU Datenschutzbeauftragte Wojciech Wiewiórowski den Einsatz von Microsoft 365 in seiner eigenen Behörde untersucht und jetzt das Ergebnis dieser Untersuchung vorgelegt.

Durch den Einsatz von Microsoft 365 hat die EU Kommission mehrfach gegen die Bestimmungen der EU-Datenschutzgrundverordnung verstoßen, stellt Wiewiórowski fest. Die Mängel, die zu dieser Einschätzung geführt haben, sind alles andere als neu, wir kennen sie bereits aus den Berichten vieler Datenschützer.

Der Transfer persönlicher Daten in Drittstaaten – hauptsächlich in die USA – sei nicht ausreichend geregelt und dementsprechend nicht zulässig. Die Standard-Klauseln in den Vertragsbedingungen von Microsoft seien trotz mehrfacher Anpassungen nicht eindeutig genug. Ferner sei nicht ersichtlich, welche persönlichen Daten zu welchem Zweck erhoben und verarbeitet werden.

Bis zum 9 Dezember 2024 hat die EU-Kommission nun Zeit, die angeprangerten Datenströme abzustellen und nachzuweisen, dass bei der Nutzung von Microsoft 365 alle Bestimmungen der DSGVO eingehalten werden.

Es liegt auf der Hand, dass es derzeit nur einen Ausweg aus diesem Dilemma gibt, nämlich die Nutzung von Microsoft 365 einzustellen. Das dürfte in der Behörde aber kaum zu schaffen sein, schon gar nicht in der Kürze der Zeit.

Ich habe überlegt, ob der gute Herr Wiewiórowski einfach nur konsequent seinen Job gemacht hat, oder ob man diesen Fall ganz bewusst so eskalieren lässt. Datenschützer reiben sich immer wieder an Microsoft 365 und erklären regelmäßig, dass man es eigentlich nicht mehr nutzen dürfe, aber es wird immer nur ein wenig Staub aufgewirbelt und dann ist wieder Ruhe. Jetzt hat der oberste Datenschützer der EU gesprochen und einen Stichtag gesetzt, und der gilt wegen seiner Bedeutung nicht nur für die EU-Kommission. Was dort jetzt mit Microsoft ausgehandelt wird, dürfte die neue Blaupause für den Einsatz von Microsoft 365 in der EU werden.

So kurios diese Geschichte auch ist, es besteht Anlass zur Hoffnung, dass sie die so lange geforderte Klarheit bringt.

+ alles anzeigen - weniger anzeigen

Hinweis: Der Artikel wird möglicherweise nicht vollständig angezeigt, eingebettete Medien sind in dieser Vorschau beispielsweise nicht zu sehen.

Artikel im Blog lesen

 

[Fox3108]

Es wäre mal wirklich erfreulich wenn man die DS-Regeln in Zusammenarbeit mit dem Hersteller (ich denke das wäre nicht nur MS) umsetzen würde. Stattdessen sorgt man - mal wieder - dafür, seinen eigenen Namen durch Kritisieren, bekannt zu machen. Aber vielleicht habe ich nur die falsche Erwartung - Aufzeigen (wie schon tausend Mal passiert) ist wohl einfacher als eine Lösung zu erarbeiten.

 

[Gelöschtes Mitglied 84609]

Das habe ich gestern woanders schon gelesen und mit dem Kopf geschüttelt.

Ich begreife es als Sinnbild für die verlogene Politik, die wir seit Jahrzehnten betreiben.

 

[PexWeg]

Ich glaube bei Hardcore Datenschützern war die Sache eigentlich nicht unklar nur die Konsequenz daraus
ist halt unangenehm.

Und bei reinen Verwaltungsorganisationen kann man sehr wohl auch schnell ohne Office 365 leben,
wenn auch unter Aufgabe von Komfort und unter Einsatz von zusätzlichen Mitteln.

Man ist ja als größere Firma/Organisation sowieso auch gefordert sich einen Plan B (Notfallplan)
zu überlegen, z.B. wenn Microsoft eingehen sollte und die Lizenzen Ihre Gültigkeit verlieren würden
kann ja das EU Amt auch nicht die Arbeit einstellen.
Ebenso wenn die Cloud Server nicht erreichbar wären für längere Zeit.

Diese Pläne sollten per BCM sowieso schon in der Schublade liegen.

Die Eskalation ist wahrscheinlich bewusst und wird nun bewirken dass der Druck auf Microsoft stärker werden
wird hier nachzuarbeiten, ansonsten wird die EU vielleicht anfangen Unternehmen abzustrafen, die
weiterhin diese nicht DSGVO konformen Produkte einsetzen (d.h. das Geld haben Sie dann schnell durch die Strafen herinnen). Vielleicht will man hier einfach vorangehen und zeigen dass es auch ohne Office
365 gehen würde (als Vorbereitender Schritt für weitere Strafschritte).

M.E. einfach ein Machtspiel zwischen EU und Multinationalem Privatunternehmen.

 

[PeteM92]

Wenn sich einer selbst ins Knie schießt und danach feststellt, daß das weh tut, dann hat er vorher nicht ausreichend nachgedacht.

 

[Martin]

Die Eskalation ist wahrscheinlich bewusst und wird nun bewirken dass der Druck auf Microsoft stärker werden
wird hier nachzuarbeiten, ansonsten wird die EU vielleicht anfangen Unternehmen abzustrafen, die
weiterhin diese nicht DSGVO konformen Produkte einsetzen

Also zunächst einmal ist diese Sache ein Signal an Unternehmen, dass sie vorerst nichts zu befürchten haben, denn die EU muss jetzt erst einmal vor der eigenen Tür kehren, bevor sie selbst die Keule auspackt.

 

[Thomas.g.8235]

Vielleicht wird ja jetzt auch wirklich mal ein Weg gezeigt wie wir alle DSGVO konform mit Office 365 arbeiten können / dürfen. Ich sehe es wie du @Martin all das was hier entsteht ist eine Blaupause für alle anderen. Und man kann damit dann auch endlich unsere Datenschützer in Deutschland ruhig stellen und sagen "Schau, das hat dein Boss gesagt und genauso tun wir es jetzt."

 

[PexWeg]

Also zunächst einmal ist diese Sache ein Signal an Unternehmen, dass sie vorerst nichts zu befürchten haben, denn die EU muss jetzt erst einmal vor der eigenen Tür kehren, bevor sie selbst die Keule auspackt.

@Martin: Ich glaube das bewertest Du falsch:

Die Keule kann ab jetzt jeder Jurist (sowie z.B. Max Schrems) in der EU auspacken, der sich mit
Datenschutzt gut auskennt. Hat doch gerade der oberste Datenschützer der EU festgehalten, dass die Dinge
ohne viele Vorsichtsmassnahmen doch nicht ganz DSGVO konform eingesetzt werden können.

Kann auf alle möglichen Firmen jetzt streuen die unbedacht Office 365 einsetzen.

Ich befürworte das nicht aber ich glaub es wird in die falsche Richtung losgehen, gibt ja
genug witzige Aktivisten .

Mir wär lieber Firmen würden einfach Produkte anbieten wo man sich wirklich nicht um dieses
Thema Gedanken machen muss und per Default einfach nicht nach Hause telefonieren oder in der Cloud
Daten verschlüsselt ablegen und die Entschlüsselung nur am Client passiert.

 

[Gelöschtes Mitglied 84609]

Mir wär lieber Firmen würden

Aber wo bleibt da die Gewinnmaximierung?

 

[EricB]

Wenn es schon selbst solche Behörden nicht schaffen Microsoft 365 DSGVO konform einzusetzen, da kann ich als selbständiger Mittelständler es gleich bleiben lassen.
Ich habe diese Anfrage mal meiner Fliesenleger-Innung und der Handwerkskammer gestellt, ob ich Microsoft 365 bei mir im Betrieb DSGVO konform einsetzten darf/kann. Immerhin wirbt ja Microsoft vollmundig auf ihrer Website damit. Diese haben diese Frage an den Datenschutzbeauftragten von BW weitergereicht. Die Antwort war ein klares „Nein“ und sie raten mir auch dazu es tunlichst zu unterlassen. Selbst bei Windows 11 bestehen ja Zweifel, ob dieses DSGVO konform eingesetzt werden kann. Auf meine Frage was den in diese Behörden einsetzt wird, habe ich von allen dreien als Antwort bekommen Microsoft 365….
Was mich dann immer ärgert ist, dass Brachensoftware Word oder Excel zur Nutzung voraussetzen und ohne nicht vollständig funktionieren. Auf Nachfragen bei den Software-Hersteller, warum sie nicht eine unabhängige Office-Lösung einbinden, kommen dann so antworten wie, dass Microsoft der Standard sein, es eh jeder einsetzt….
Witzig ist ja, dass die Banchensoftware mir DSGVO konformen Einsatz wirbt und Datenschutz ganz GROSS auf ihre Fahne schreibt, dann aber einen bei der Anbindung zu Microsoft zwingt.

 

[anthropos]

Was mich bei dem Thema stört, dass die gleichen Fehler gemacht werden wie beim CO₂-Fußabdruck, der nur eine Ablenkung von BP war, um die Leute zu beschäftigen. Ich meine damit: Die einzelnen Leute werden in die Pflicht oder ins Gebet genommen; sie sollen sich daran halten, dabei kennt niemand in der Gesetzgebungs-Hierarchie einen Umgang, der mit den Gesetzen konform wäre.

Wenn man Microsoft ablösen will, weil sie sich nicht bewegen, muss man eben Geld in die Hand nehmen und versuchen, Unternehmen oder Forschergruppen zu fördern und aufzubauen, die irgendwann vergleichbare Software bereitstellen können.
Wenn jemand behaupten will, dass es nicht so einfach wäre, gar unmöglich, dann will ich daran erinnern, dass wir weder den Mond erreicht noch das Internet aufgebaut hätten, wenn wir in der Vergangenheit jemals solcher Sofakartoffel-Logik gefolgt wären. Dabei wird Geld verbrannt, deswegen können sich auch nur Staaten solche Grundlagenforschung erlauben oder müssen Unternehmen absichern, wenn die den Job übernehmen sollen.

 

[AlaskanEmperor]

per Default einfach nicht nach Hause telefonieren

Oder wenn man wenigstens ehrliche Kontrolle darüber hätte, was gesendet wird. Als Entwickler kann ich dir sagen, dass (anonymisierte) Fehler- und Absturzberichte enorm wertvoll für de Arbeit und das Produkt sind. Alles, was darüber hinausgeht, ist jedoch nur zum Geldverdienen gedacht.
Ich würde deinen Satz umformulieren als "per Default nur ein Minimum an Daten schicken und dich transparent das dazuschalten lassen, was du möchtest"

 

[PexWeg]

Oder wenn man wenigstens ehrliche Kontrolle darüber hätte, was gesendet wird. Als Entwickler kann ich dir sagen, dass (anonymisierte) Fehler- und Absturzberichte enorm wertvoll für de Arbeit und das Produkt sind.

Ja, fachlich stimme ich Dir zu.

Aber die Daten zu Abstürzen könnten auch rein lokal gesammelt werden (Log File) und nach Absturz kommt dann die Frage an den User ob er die Daten dazu übermitteln soll (mit Option der Anzeige was so ca. gesendet wird). Da muss gar nichts per se automatisch übermittelt werden sondern nur Anlassbezogen und nach Nachfrage.

Der einzige Grund nach Hause zu telefonieren sollten vielleicht lesende Checks auf Updates für das
Produkt sein, aber dazu muss man keine Daten raussenden.

 

[muvimaker]

Aber die Daten zu Abstürzen könnten auch rein lokal gesammelt werden (Log File) und nach Absturz kommt dann die Frage an den User ob er die Daten dazu übermitteln soll (mit Option der Anzeige was so ca. gesendet wird). Da muss gar nichts per se automatisch übermittelt werden sondern nur Anlassbezogen und nach Nachfrage.

Das wäre auch für mich eine befriedigende Lösung. Normaluser klicken (wie üblich) darauf und segnen es (vielleicht auch nur aus völligem Desinteresse) ab, während Leute mit der entsprechenden Einstellung zum Datenschutz gezielt entscheiden können, ob und was sie übermitteln wollen.
Solange dies nicht wie bei den Cookies-Optionen ausartet, wäre es auch vom Aufwand her für die Anwenderseite völlig vertretbar.
Doch Microsoft ist ja so besorgt um die Anwender und möchte ihnen überhaupt nichts zumuten bzw die Entscheidung abnehmen, deshalb sollen sie davon nichts mitbekommen, und darum läuft alles völlig intransparent im Hintergrund ab...
Das gilt natürlich sinngemäß auch für alle übrigen Softwareanbieter.

 

[Thomas.g.8235]

Solange dies nicht wie bei den Cookies-Optionen ausartet, wäre es auch vom Aufwand her für die Anwenderseite völlig vertretbar.

Naja es würde und müsste ja genauso ausarten und dann wäre der nächste Kritikpunkt geschaffen.
Wie man es macht, irgendwer stört sich immer daran. Und nichts zu senden ist auch keine Option, denn dann können Bugs nicht gefunden werden.

 

[Schattenwald]

Jetzt habe ich zwar auch Microsoft 365, beschäftige mich mit den aber weniger.

Aber dennoch stelle ich mir die Fragen. Weiß man denn was wirklich genau gesendet wird, oder ob Daten missbraucht werden.

Sagen wir ich nehmen jetzt eine andere Lösung, was bei mir ja locker ginge. Ich bin nur privat Anwender. Nur wer sagt mir den, dass es dort dann nicht dasselbe ist, oder sogar noch schlimmer.
Selbst wenn jetzt noch nicht, dann vielleicht in Zukunft. Denn wenn viele Umsteigen, wird einer größer werden. Mit der Möglichkeit entsteht aber dann auch die Begierlichkeit.

Aber sagen wir, Microsoft liest Daten aus, die sie nicht auslesen soll und missbraucht die dann. Irgendwann würde das an das Licht kommen. Wer würde dann Microsoft noch vertrauen? Ich denke das man das bei Microsoft auch weiß und sich da Gedanken macht.

 

[Gelöschtes Mitglied 84609]

Weiß man denn was wirklich genau gesendet wird,

Microsoft hatte mal vor einigen Jahren in Brüssel Windows 10 und MS-Office 365 einer ausgewählten Personengruppe den offenen Quellcode gezeigt.
Was damals alles herausgekommen ist, weiß ich nicht (mehr). Eventuell kann sich noch ein anderer erinnern. Unser @Martin hatte damals einen Beitrag verfasst. Eventuell weiß er noch was.

Aber dies ist schon eine ganze Weile her und was jetzt alles angepasst wurde, ist wohl Firmengeheimnis.

 

[Blade VorteXx]

Am Ende wäre wünschenswert, wenn dieser Streit eskaliert und vor Gericht landet und die Gerichte der EU klären, ob die EU-Kommission somit gezwungen wäre den Betrieb einzustellen.

Ich bin mir ziemlich sicher, dass allein schon die Aufnahme des Prozesses Microsoft nochmals mehr freiwillige Transparenz abringen würde, nur um ihr Geschäftsmodell zu schützen.

 

[ronnybruechner]

Die Frage wäre: Welche Software dann nutzen?
Keine der Nachahmer sind auch nur ansatzweise sinnvoll nutzbar.
Für den privaten Brief an die Oma, oder die Datenbank für die VHS Sammlung ja, aber doch nicht im beruflichen Umfeld.

Demnach wird der Datenschützer ganz schnell seinen Job verlieren und heimlich, stückchenweise in einem Teppich entsorgt /s

 

[muvimaker]

Demnach wird der Datenschützer ganz schnell seinen Job verlieren

Auch wenn Dein Beitrag satirisch gemeint war: So einfach geht es nicht (mehr). Die Lawine ist bereits losgetreten...