Microsoft 365 bleibt laut Datenschutzkonferenz datenschutzwidrig
von André Westphal | 40 Kommentare
Laut der deutschen Datenschutzkonferenz (DSK) bleibt Microsoft 365 datenschutzwidrig und sei damit beispielsweise nicht für die rechtskonforme Verwendung in Schulen oder Behörden geeignet. Es gebe zwar leichte Fortschritte, allerdings reiche das keineswegs aus, um den rechtlichen Anforderungen an Privatsphäre und Sicherheit gerecht zu werden.
Der neuen Bewertung von Microsoft 365 ging eine neue Fassung des Microsoft Products and Services Data Protection Addendum voraus. Unter anderem übernahmen die Redmonder da einige Standardvertragsklauseln der EU-Kommission. Zudem stellte Microsoft genauer heraus, wie man Daten selbst auswertet und zu welchen Zwecken dies geschieht. Etwa eröffnen die Redmonder, dass sie aus pseudonymisierten Daten wiederum nicht-personenbezogene Statistiken generieren und für eigene Zwecke einsetzen.
Laut dem Bundesdatenschutzbeauftragten Ulrich Kelber fehle es aber weiterhin an der notwendigen Transparenz. Denn es sei immer noch zu nebulös, welche Daten exakt für eigene Agenden herhalten. Es sei von außen immer noch nicht einschätzbar, welche Informationen Microsoft absauge, sodass intransparent sei, ob alles mit rechten Dingen zugehe. Solltet ihr Interesse am entsprechenden DSK-Bericht haben, dann findet ihr eine Zusammenfassung im Übrigen direkt hier.
Im Ergebnis rät Kelber auch Privatanwendern ab, Microsoft 365 ohne Anpassungen zu nutzen, da man sich aktuell schlichtweg nicht darauf verlassen könne, dass Microsoft datenschutzkonform mit den erhobenen Informationen umgehe. Klar, dass die Redmonder selbst die Lage aber völlig anders beurteilen. So hat Microsoft nämlich flott eine sehr ausführliche Stellungnahme veröffentlicht. Dort widerspricht man der DSK und gibt an, Kunden in Deutschland könnten Microsoft 365 „bedenkenlos und rechtssicher nutzen“.
Man wirft der DSK Missverständnisse und Vernachlässigung rechtlicher Veränderungen vor. Dennoch werde man für noch mehr Transparenz sorgen und etwa weitere Dokumentationen über die Datenströme der Kunden und die Zwecke der Verarbeitung bereitstellen. Man sehe sich selbst in diesem Bereich als führend an und sei vom DSK-Bericht enttäuscht. Auch wenn man den Ergebnissen nicht zustimme, werde man aber noch mehr Klarheit herstellen.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Mülltrennung und Datenschutz, die heiligen Kühe der Deutschen
Zu Recht !!!!
Darum verbietet ja auch Frankreich den Einsatz von Microsoft 365 Education an Schulen, weil man dort den deutschen Datenschutz so vorbildlich findet. Es geht hier um EU-Recht, nicht um kleinliche, deutsche Bürokraten.
Also erst einmal geht es in dem verlinkten Bericht nicht um Windows. Das ist zwar eine andere Baustelle, aber es geht hier schlichtweg nicht um Windows.
Dann wird hier also nur festgestellt, dass Microsoft 365 nicht mit geltendem Recht vereinbar ist, das seit inzwischen mehr als 4 Jahren gilt.
Jetzt gibt es in meinen Augen drei Szenarien:
1. Es passiert gar nichts, da man überall mit den Schultern zuckt und einfach weitermacht, obwohl man nun zum x-ten mal gesagt bekommen hat, dass es rechtlicht nicht in Ordnung ist.
2. Der Druck auf Microsoft steigt, nun endlich Anpassungen zu machen und somit endlich mal wirklich was für Privatsphäre zu tun, anstatt es immer nur zu behaupten
3. Keiner nutzt mehr Microsoft 365.
Ich hab die drei Szenarien mal in der Reihenfolge sortiert, wie ich sie für am wahrscheinlichsten halte.
Es geht um Microsoft 365, also deren Cloud-Dienste, nicht um Windows. Daher dürfen sich Eltern auch weiter freuen, nicht die lokalen Frickelbuden unterstützen zu müssen.
Keine deutsche Schule die noch ganz bei geistiger Gesundheit ist schafft sowas wie Chromebooks an. Keine einzige.
Nee, die zwingen die Eltern den teuren Apple Kram zu kaufen.
Ob das soviel besser ist?
Ich habe da so mein Zweifel, ob meine Daten dort sicherer sind als bei Google oder Microsoft.
+1
Ist bei uns genauso und am Ende ist alles die selbe Soße. Alle spielen im Datenspiel mit, die einen mehr, die anderen weniger. Aber Hauptsache die Eltern dürfen für die Kinder über 500 € für iPads ausgeben.
Ich kann mir gut vorstellen, dass es bei der DSK zu „Missverständnissen und Vernachlässigung rechtlicher Veränderungen“ gekommen ist. Insgesamt jedenfalls habe ich (leider wieder einmal) den Eindruck, dass alles drangesetzt wird, etablierten Herstellern und Produkten möglichst viele Steine in den Weg zu legen, um eigenen (europäischen) Lösungen den Weg zu ebnen, die ohne derartige Unterstützung von staatlichen Stellen vermutlich keine Chance hätten, auf dem Markt anzukommen und gar dort zu bestehen.
Um mir vorzustellen, daß Microsoft unverhältnismäßig Daten sammelt, brauch ich nun wirklich keine Verschwörungstheorien über irgend welche bürokratieverliebten, typisch Deutschen Datenschützer, die mir aus reiner Böswilligkeit Microsofts gottgegebene und ach so bequeme Software madig machen wollen.
Nicht, dass wir uns falsch verstehen: Ich habe nicht geschrieben und gemeint, dass es nicht stimmen würde, dass Microsoft unverhältnismäßig Daten sammelt. Ich bin aber dennoch der Meinung, dass das, was daraus gefolgert wird, sehr viel unverhältnismäßiger ist.
Wie ich den Artikel und die verlinkten Dokumente lese, gibt es einfach handfeste Argumente dazu, dass es Microsoft 365 – in der aktuell betriebenen Variante – eben nicht mit der DSGVO vereinbar ist.
Niemand verbietet Microsoft, die bemängelten Dinge geradezurücken.
Sie könnten ja auch einfach die Privatsphäre als Argument für ihre eigenen Produkte entdecken. Aber das wollen sie ganz offensichtlich nicht.
Microsoft kann noch so viel beteuern, dass Sie sich komplett an den Datenschutz halten, es ist ihnen einfach gar nicht möglich. Microsoft ist eine US Firma und unterliegt damit dem CLOUD Act und sie handeln auch danach (siehe: https://news.microsoft.com/de-de/im-daten-dschungel-wie-microsoft-mit-dem-cloud-act-umgeht/).
Früher hatte Microsoft ja sogar Office 365 Deutschland, bei dem Microsoft den Service quasi über einen Datentreuhänder wie z.B. T-Systems bereitgestellt hat, somit wurden die Daten nicht durch Microsoft erhoben und unterlagen damit nicht dem CLOUD Act … aber da sie ja mittlerweile alles in eigene Datenzentren verlagert haben, die direkt Microsoft unterstehen rühmen sie sich zwar damit, dass sie DSGVO-Standards umsetzen… aber eben nur bei der Art der Speicherung, die Herausgabe unterliegt weiterhin den US Gesetzen.
Woher kommt dieser Eindruck, gibt es dafür irgendwelche Belege
Jaja alles nicht Datenschutz konform. Deshalb benutzen das Behörden in Deutschland, Internationale Konzerne, Mittelstand und sogar öffentliche Schulen im Unterricht.
Alle sofort abmahnen und auf Linux verpflichten sowie Kreidetafel als datenschutzrechtlichen Alternative.
Zum Skandal, dass hier Konzerne wie Huawei und ZTE direkt im Telefonnetz sind und die Smartphones direkt zum chinesischen Geheimdienst Funken hört man nichts ausser aus Litauen, Australien und den USA. Die machen wenigstens Nägel mit Köpfe und verbieten diese beiden chinesischen Staatskonzerne wie ZTE und Huawei
https://www.zeit.de/wirtschaft/unternehmen/2022-11/spionageverdacht-usa-huawei-smartphones-nationale-sicherheit-verbot
Deiner Argumentation nach sind auch Steuerhinterziehung, Drogenbesitz und andere Dinge legal, da es ja genug in Deutschland einfach tun.
Die Nutzung von etwas macht es nicht legal insbesondere dann, wenn es tatsächlich Gesetze gibt die es verbieten… und insbesondere Schulen und Behörden sollte man nicht als Zugpferde für gesetzeskonforme Umsetzung anbringen. Da wird immer wieder einfach irgendwas entschieden… was man auch daran sieht, dass jedes Bundesland bzw. jeder Schuldistrikt wieder sein eigenes Ding macht.
Ausblick aus der Realität: Ich arbeite in der IT jeden Tag mit Kunden die wir jedes mal auf Dinge wie TTDSG und DSGVO aufmerksam machen müssen und die uns einfach sagen „Ja, okay, will ich aber nicht, bitte baut mir hier Google Fonts ohne lokale Bereitstellung oder Google Analytics ohne Consent Management Platform ein, danke“.
Die Sache ist nur die, dass Gesetze immer erstmal nur ein Stück Papier sind. Zum Recht wird es erst dann, wenn auch Recht gesprochen wird. Also es dann zum tragen kommt, wenn es ein entsprechendes Gerichtsurteil oder ähnlich gibt. Siehe die Abmahnungen zu Google Fonts. Nach DSGVO und TTDSG war es schon lange verboten personenbezogene Daten ohne Einstimmung an Dritte zu senden (und das passiert eben im Internet durch die Einbindung von Daten von fremden Servern immer, da die IP-Adresse weitergegeben wird), trotzdem hat es einfach jeder genutzt, bis hin zu Behörden, etc. Dann kam eine Klage und ein Gerichtsurteil hat den Verstoß gegen das Gesetz bestätigt und jetzt sind alle panisch ihre Fonts am umstellen 😉
Muss man nicht schön finden, wie das alles ist, aber es gibt die Gesetze, also muss man eben schauen, dass man sich dran hält oder ggf. mit den Konsequenzen leben.
@slashy:
Ich arbeite ebenso in einer IT nahen Abteilung und meine Erfahrungen gehen in die ähnliche Richtung. Allerdings nervt mich persönlich die teilweise sehr engstirnigen Diskussionen. Gesetze sind häufig schwammig formuliert, je nach Ausprägung der einzelnen Juristen werden Gesetzestexte ausgelegt und am Ende gibt es kaum gute Riskoabwägungen von Anforderungen und rechtlichen Risiken.
Natürlich wird etwas nicht besser oder richtig, nur weil andere es auch machen. Aber Steuerhinterziehung und Drogenbesitz sind etwas völlig anderes und m.E. insofern nur bedingt damit vergleichbar.
Weiß jemand wie das andere Europäische Länder so handhaben? DSGVO gilt Europaweit. Was setzen den Behörden und Schulen in Spanien, Österreich oder Polen ein? Ober schauen die nur ratlos nach Deutschland und verstehen das Problem nicht?
Frankreich sagt: is nicht.
https://stadt-bremerhaven.de/google-workspace-und-microsoft-365-frankreich-verbietet-einsatz-von-kostenlosen-angeboten-in-schulen/
Daher sagen einige Behörden in Frankreich: Wir benutzen LibreOffice:
https://de.libreoffice.org/discover/wer-benutzt-libreoffice/
Unter dem Link findest du ebenfalls andere staatliche Organisationen, die LibreOffice nutzen.
Linux ist nicht LibreOffice. Und Windows ist nicht Microsoft 365.
Du argumentierst hier also am Thema vorbei.
Aber wenn du auf dem Gebiet diskutieren willst: Fachanwendungen waren – soweit ich weiß – nie das Problem. Du kannst mich aber gerne auf die Links mit den Nachrichten stoßen, die ich übersehen habe.
Ich weiß nicht, ob die fehlenden Fachanwendungen *das* Problem waren (oder sind), aber sie waren (und sind) ein nicht unerheblicher Teil des Problems. Die Fachverfahrenshersteller argumentieren meist, dass „alle“ Windows nutzen und (zusätzliche) Entwicklung und Support für andere Plattformen nicht wirtschaftlich sei. Die Nutzer (oft Behörden) geben dagegen oft an, dass sie wechseln würden, wenn die entsprechenden Fachverfahren zur Verfügung stünden – und da ist es, dass „Henne-Ei-Probelm“.
oder weil danach in München die MS Deutschland Zentrale gekommen ist…
Genau das!
Limux ist doch nicht aus technischen Gründen gescheitert, Linux wurde durch Druck von oben gescheitert!
Natürlich ist Datenschutz sehr wichtig. Was mich aber stört bzw. Ich Quatsch finde, dass Office 365 angeblich „illegal“ ist, es aber überall eingesetzt wird. Das ganze Theater macht einfach überhaupt keinen Sinn.
Das Theater macht zwar keinen Sinn, aber ergibt diesen schon. Wenn ich mit 80 auf der Stadtautobahn in Berlin fahre und alles mit 93 links an mir vorbeifährt, ist das nicht nur angeblich, sondern auch real illegal, selbst wenn es ein Großteil der Fahrer macht. Nur weil man etwas tut, wird es dadurch nicht rechtens.
Komischer Vergleich. Die können ja einfach langsamer fahren. Schulen oder Unternehmen haben aber oft keine funktionierende Alternative.
Ja, so ein Blödsinn, wirklich.
Dass Du die Datenübertragung bei MS Teams in die USA als „angeblich“ bezeichnest, zeigt, dass Du entweder keine Ahnung hast, wie Teams funktioniert und/oder kein Problembewusstsein hast. Dazu passt, dass du die Eltern als hysterisch beschimpfst, die eben nicht die Augen zu machen und gedankenlos Geld und die Daten ihrer Kinder nach Redmond schicken wollen. Letztendlich müssen die Schulen als Verantwortliche auch eine Datenschutzfolgeabschätzung mit einer Risikobewertung gemäß Art. 35 DSGVO machen bevor sie Microsoft 365-Produkte einsetzen, die würde ich mir als Eltern mal zeigen lassen.
Du verstehst es nicht. Es kann halt nicht immer ums Prinzip gehen. Wenn als Folge deiner unbequemen Fragen an die Schule der Unterricht ausfällt weil Teams nicht mehr genutzt werden kann (zu Coronazeiten) erwartest du Beifall? Wer hat denn dann am Ende gewonnen? Die Kinder, weil keine Daten mehr nach Redmond gehen?
Also die Risikobewertung würde ich gerne mal sehen, vor allem die Gegenüberstellung der Szenarien:
1) das Risiko dass meine Schüler durch schrottige, schlecht skalierende Software die lokal installiert und betrieben werden muss, wofür niemand da ist, weswegen sie bei jeder Gelegenheit absemmelt, schlechten Unterricht bekommen (potentielle Schadenshöhe = hoch;
Eintrittswahrscheinlichkeit = 1)
Vs
Das Szenario dass irgend ein Geheimdienst auf die Idee kommt beim Deutschunterricht 3. Klasse von Frau Schröder reinzuhören.
Ich finde diese ganze Hysterie einfach nur völlig lächerlich.
Wir können ja darüber sprechen ob es klug ist wenn ein Patentanwalt Onedrive nutzt. Oder der Minister für Verteidigung.
Aber eine SCHULE?!? Was in aller Welt denken die Datenschützer dass jemand bei einem Geheimdienst so den ganzen Tag lang macht? Matheaufgaben kontrollieren?
Was könnte es in einer Schule für Daten geben die das Risiko auch nur theoretisch auch nur ins selbe Universum bringen wie das sehr konkrete siehe oben?
Die Risikoabschätzung die ernsthaft behauptet 2) > 1), die will ich sehen.
Anzunehmen, dass die Mehrheit der Elter sich tatsächlich Gedanken über die Verwendung der Daten macht, halte ich für sehr optimistisch. Die gibt es, ja. Aber die meisten springen nur auf den Zug mit auf, weil es gerade irgendwie „in“ ist.
Und Zoom, die auch dem US Cloud Act unterliegen, die senden natürlich nichts nach Hause. Ist klar…..
Ich finde die Debatte sehr ideologisch aufgeheizt, die Anti Microsoft Fraktion formiert sich.
Meine Meinung: Wir brauchen funktionierende Lösungen, auch im Homeschooling. Irgendeine Frickellösung, die von lauten Minderheiten propagiert wird, hat noch niemandem geholfen. Wer Teams etc nicht nutzen mag, soll es eben lassen. Wir sollten uns aber nicht von Bürokraten funktionierende Lösungen madig reden lassen. Der beste Datenschutz nutzt nix, wenn ein vorhandenes Problem ungelöst bleibt. Das Leben ist ein Kompromiss.
Du vergisst, dass auch Teams am Anfang der Pandemie große Probleme hatte.
Außerdem deklarierst du andere Lösungen als solche von großen kommerziellen Anbietern als Frickellösungen.
Es gibt mit Jitsi und BBB zwei große, offene Lösungen, die funktionieren. Diese Lösungen werden funktionierend in manchen Behörden und sogar an Universitäten und Hochschulen betrieben. Die Skalierung ist also nicht das Problem – man muss es halt machen.
Auch ich habe diese Lösungen in der Pandemie genutzt – und sie haben super funktioniert.
Es steht also eine funktionierende Lösung bereit, die viele der Kästchen auf der Checkliste abhaken kann.
Als Lehrer kann ich Dir sagen: BigBlueButton tut vielleicht vieles – aber zumindest hier nicht stabil laufen. Mir ist dabei auch herzlich egal, wer „schuld“ ist und warum das so ist. Fakt ist: Läuft nicht stabil.
Ich sehne mich nach Teams zurück (und bin gleichzeitig offen für andere Lösungen, die einfach dadurch auffallen, dass sie nicht auffallen).
Also dass eine Lösung die Millionen Kunden gleichzeitig benutzen den zusätzlichen Ansturm durch zb 100.000 Schüler besser wegsteckt als eine wo die Infrastruktur extra dafür völlig neu aufgebaut werden muss, das liegt doch irgendwie auf der Hand, oder?
Ja, auch MS war anfangs von Ansturm überrascht. Aber ich verbringe seit vielen Jahren (lange vor Corona) jeden einzelnen Tag 2-6 Stunden in Teams-Sitzungen und ich kann sagen: das. Ding. Skaliert.
Es hat viele aspekte die nicht optimal sind und die mich nerven. Aber die Infrastruktur bei MS, die zählt mal *definitiv * nicht dazu.
Das mit einer einzelnen Installation von jitsi zu vergleichen oder mit einer BBB-Instanz die knapp auf Kante genäht ist (oder dafür halt ein Vielfaches kostet), das ist einfach nur lächerlich.
Ja, es gibt Lösungen, die funktionieren – aber eben nicht so zuverlässig und umfänglich wie bspw. Teams.
Interessant, allerdings von der Argumentation her höchstens auf Stammtischniveau finde ich die Annahme, daß es für einige nur funktionierende Software von Microsoft auf der einen Seite und ungenügende, schlecht betriebene „Frickelsoftware“ auf der anderen Seite gibt. Und erschreckend finde ich, wie viele hier auf diesen Zug aufspringen. Herzlichen Glückwunsch zu dieser schwarz/weißen Weltsicht, die bestimmt vieles einfacher macht.
Dem möchte ich aber doch mal entgegnen, daß es durchaus auch noch andere funktionierende Software als die von Microsoft und Zoom gibt und das diese auch korrekt und sogar professionell betrieben werden kann. … und das gerade Schüler teilweise noch gar kein Bewusstsein für die eigenen Daten und deren Wichtigkeit haben können und es daher unverantwortlich ist, wenn sie quasi gezwungen werden, die in die Welt zu posaunen. Um so besser ist es da, daß das Problem durch den Wechsel auf geeignete Alternativsoftware gelöst werden kann. Und wenn hier gleich informierte Entscheidungen getroffen werden, muß später auch kein Untericht ausfallen, wärend die Fehler der Vergangenheit ausgebügelt werden müssen.
Nach 2 Jahren und 14 mehrstündigen Besprechungen ist das Ergebnis für beide Verhandlungspartner dürftig.