Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform

[English]Der Einsatz von Microsoft 365 (inklusive Office 365) ist weiterhin nicht mit dem europäischen Datenschutz konform. Wer das Produkt verwendet, handelt datenschutzwidrig – zumindest, was die von Microsoft vorgegebene Standardkonfiguration betrifft. Trotz Nachbesserungen ist es Microsoft bisher nicht gelungen, die DSGVO-Konformität von Microsoft 365 sicherzustellen. Das ist das Fazit der Datenschutzkonferenz 2022.


Anzeige

Die Datenschutzkonferenz (DSK) ist die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder in Deutschland. Das Gremium befasst sich mit aktuellen Fragen des Datenschutzes in Deutschland und nimmt dazu Stellung. Deren Beschlüsse und Kurzpapiere sind auf dieser Webseite abrufbar.

Microsoft 365 und der Datenschutz

Es gibt ja bereits sehr lange die Diskussion, inwieweit die Microsoft-Produkte Windows 10, Windows 11 sowie Microsoft Office (365) mit der EU-Datenschutzgesetzgebung und der Datenschutzgrundverordnung (DSGVO) vereinbar sind. Speziell der Einsatz in Schulen und in Bildungseinrichtungen wurde ja durch die Datenschutzbeauftragten der Länder verboten. Und die DSK hat auch Aussagen zu Windows 10 in Verbindung mit einem DSGVO-konformen Ansatz getroffen. Das bisherige Fazit lautet: Die Produkte sind im Auslieferungszustand (out-of-the-box) nicht DSGVO-Konform und müssen aufwändig für den Einsatz in Firmen angepasst werden. Inzwischen bündelt Microsoft ja seine Produkte Windows 10/11 und Microsoft Office 365 mit weiteren Anwendungen im Cloud-affinen Produkt Microsoft 365.

Der Stand 2022

Zum 25. November 2022 hat die DSK im Dokument Festlegung zur Arbeitsgruppe DSK "Microsoft-Onlinedienste" (PDF) auch zur die Position der betreffenden DSK-Arbeitsgruppe zu Microsoft 365 veröffentlicht. Mit Stand vom 24.11.2022 nimmt die DSK den Bericht der Arbeitsgruppe DSK "Microsoft Onlinedienste" und dessen Zusammenfassung zur Kenntnis, heißt es im Dokument. Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest:

Dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten "Datenschutznachtrags vom 15. September 2022" nicht geführt werden kann. Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.

Knallharte Feststellung, die in Microsoft 365 enthaltenen Produkte können in Schulen, Bildungseinrichtungen und Firmen nicht datenschutzkonform und damit rechtskonform eingesetzt werden. Darauf weist auch der Bundesdatenschutzbeauftragte Ulrich Kelber in einer Stellungnahme hin. Für eine vertiefte Bewertung der Gesprächsergebnisse stellt die DSK die Zusammenfassung der Arbeitsgruppenergebnisse zur Verfügung (PDF).


Anzeige

Die Entwicklung seit Sept. 2020

Bereits 2020 hatte die DSK eine Bewertung des Arbeitskreises Verwaltung zu den dem Einsatz des Cloud-Dienstes Microsoft Office 365 (jetzt: Microsoft 365) zu Grunde liegenden Online Service Terms (OST) sowie den Datenschutzbestimmungen für Microsoft-Onlinedienste (Data Processing Addendum / DPA) — jeweils Stand: Januar 2020 — hinsichtlich der Erfüllung der Anforderungen von Artikel 28 Absatz 3 Datenschutz-Grundverordnung (DS-GVO) zur Kenntnis genommen. Die damalige Bewertung des AK Verwaltung lautete, "dass auf Basis dieser Unterlagen kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich" sei.

In der Zwischenzeit gab es wohl Gespräche zwischen den Datenschutzbeauftragten und Microsoft im Hinblick auf die Nachbesserung der Datenschutzbestimmungen im Hinblick auf die einzelnen Verarbeitungstätigkeiten.

Der Stand von Sept. 2022

In der 104. Datenschutzkonferenz kommt die DSK, im Hinblick auf die aktuelle Datenschutzbewertung, zum bereits oben gezogenen Schluss, dass die Produkte nicht DSGVO-konform eingesetzt werden können. Zitat aus der Zusammenfassung:

Zentrale und wiederkehrende Fragestellung der Gesprächsreihe war es, in welchen Fällen Microsoft als Auftragsverarbeiter tätig ist und in welchen als Verantwortlicher. Dies konnte nicht abschließend geklärt werden. Verantwortliche müssen jederzeit in der Lage sein, ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachzukommen.

Beim Einsatz von Microsoft 365 lassen sich hierbei auf Grundlage des "Datenschutznachtrags" weiterhin Schwierigkeiten erwarten, da Microsoft nicht vollumfänglich offenlegt, welche Verarbeitungen im Einzelnen stattfinden.

Zudem legt Microsoft weder vollständig dar, welche Verarbeitungen im Auftrag des Kunden noch welche zu eigenen Zwecken stattfinden. Die Vertragsunterlagen sind in der Hinsicht nicht präzise und erlauben im Ergebnis nicht abschließend bewertbare, ggf. sogar umfangreiche Verarbeitungen auch zu eigenen Zwecken.

Den deutschen Datenschutzbehörden blieb also auch nach den Korrekturen Microsofts nicht anderes übrig, als festzustellen, dass Microsoft 365 nicht datenschutzkonform einsetzbar sei. Die zusammengefasste Begründung lautet, dass diese Dokumente Microsofts nicht die notwendige Transparenz liefern, um zu erkennen, welche Daten von dem US-Unternehmen "für eigene Zwecke verwendet werden können". Es lasse sich an einigen Stellen nach wie vor nicht einschätzen, welche Informationen und Diagnosewerte noch erhoben und an Microsoft übertragen werden, heißt es. Damit lasse sich auch nicht prüfen, ob alle Schritte im Sinne der DSGVO rechtmäßig sind, schreiben die Datenschützer.

Datenschutzbehörden müssen Einzelfälle anschauen

Laut Golem kündigte Dr. Ulrich Kelber an, dass die Datenschutzbehörden "in Einzelfällen anschauen müssen, ob es trotzdem gelingt, eine Datenschutzkonformität herzustellen". Es dreht sich dabei um den Umgang mit Biometrie-, Diagnose und Telemetriedaten. Kelber zufolge lässt sich der Einsatz möglicherweise empfehlen, wenn eine Mikrovirtualisierung vorgenommen oder ein Proxyserver dazwischen gehängt wird, der verhindert, dass diese Daten zu Microsoft abfließen.

Kelber bezweifelt laut Golem, dass sich Microsoft 365 "einfach mal so auf einem Rechner ohne weitere Schutzmaßnahmen nutzen lässt". Das heißt, dass in Behörden, Bildungseinrichtungen und Firmen aktuell beim Einsatz von Microsoft 365 gegen die DSGVO verstoßen wird. Das würde auch bedeuten, dass Privatpersonen Microsoft Office 365 nicht einfach so einsetzen sollten – auch wenn Privatleute nicht der DSGVO unterliegen.

Fortschritte ja, Durchbruch nein

Der Deutsche Datenschutzbeauftragte, Dr. Ulrich Kelber, wird von heise hier so zitiert, dass Microsoft mit der neuen Fassung seines Auftragsverarbeitungsvertrags vom September 2022 zwar "in einzelnen Punkte Fortschritte" erzielt habe. Im Microsoft Products and Services Data Protection Addendum (DPA) seien zwar die Standardvertragsklauseln der EU-Kommission (im Hinblick auf den Entscheid des Europäischen Gerichtshofs (EuGH) im Schrems-II-Urteil) übernommen worden. Aber am Ende des Tages ist man nicht wirklich weiter, weil der Knackpunkt des Nachweises, dass der Einsatz datenschutzkonform ist, schlicht nicht zu führen ist.

Man kann es auf den Punkt bringen: Seit zwei Jahren steht Microsoft vor dem Thema, sein Microsoft 365 und seine Datenschutzvereinbarungen so anzupassen, dass diese mit der europäischen Datenschutzgrundverordnung (GDPR, deutsch DSGVO) konform sind. Seit zwei Jahren hat Microsoft das nicht geschafft. Möglicherweise hat Redmond da kein Interesse dran – der Markt ist für diese Produkte ja noch nicht zu.

Ich schätze, die deutsche IT-Landschaft in Behörden und Firmen läuft sehenden Auges in ein Problem (in Schulen soll der Einsatz von Office 365 ja auslaufen). Frankreich geht da rigoroser vor. Die Tage hatte ich im Beitrag Kostenloses Microsoft 365 und Google Workspace an Frankreichs Schulen verboten berichtet, dass Frankreich den Einsatz in Schulen und Behörden (wegen der Cloud-Anbindung) verbietet.

Ähnliche Artikel:
Safe Harbor: EuGH erklärt Abkommen für ungültig
EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield"
Keine Karenzfrist für Unternehmen nach Privacy Shield-EU-Urteil
Datenschützer plant durchgreifen bei Privacy Shield-Verstößen
Vorläufige Einigung zwischen EU und USA im Trans-Atlantic Data Privacy Framework
US-Präsident Biden bringt Datenschutzabkommen "Privacy Shield 2.0" auf den Weg
EU-Kommission fällt vorläufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework

Zoom & Teams nicht DSGVO-konform einsetzbar
Ärger um Berliner Datenschutzprüfung von Videokonferenzsoftware
Hamburgs Senatskanzlei von Datenschutzbeauftragten wegen Zoom-Einsatz formal "gewarnt"
Rheinland-Pfalz: Aus für MS Teams an Schulen ab kommendem Schuljahr
Zoom an Hessischen Hochschulen für Lehrveranstaltungen zulässig
Niederlande: Datenschutzbedenken gegen Chrome/ChromeOS in Schulen
Datenschutz: Microsoft 365 muss ab Sommer 2022 in Baden-Württembergs Schulen ersetzt worden sein
Microsoft 365 an Schulen, Baden-Württembergs Datenschützer sagt Nein
Bayern: Versagen bei Digitalisierung an Schulen – der Datenschutz hat Schuld
Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform
Nachbetrachtung zur DSK-Einstufung "Microsoft 365 weiterhin nicht datenschutzkonform"
MS 365 DSGVO-Konformität: Merkwürdiger "Meinungsartikel" bei heise
EU-Kommission fällt vorläufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework


Anzeige

Dieser Beitrag wurde unter Cloud, Office, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

27 Antworten zu Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform

  1. McAlex777 sagt:

    Die Probleme mit dem Datenschutz bei Microsoft sind m.E.:
    1. Telemetrie via Opt-In, also manuelles Deaktivieren ist notwendig.
    2. Dutzende Konfigurationsparameter verstecken sich unter Tausenden in den Richtlinien/Registry
    4. Die Konfigurationsparameter können sich mit jedem Update inhaltlich ändern.
    5. Massiver Zeitlicher Aufwand notwendig zur sicheren Konfiguration.

    Somit ist praktisch keine Möglichkeit gegeben Sicherzustellen das Windows/Office dauerhaft DSGVO-Konform ist und bleibt.

    Selbst wenn man sich einmal über mehrere Tage hinweg mit allen Einstellungen beschäftigt hat, kann jederzeit eine neue Konfiguration wieder Datenübermittlungen erlauben.

    Da jeder DSGVO-Vorfall einzeln über Jahre durch alle Instanzen geprüft werden muss, und im Zweifel eine Einzelkorrektur seitens Microsoft nach Jahren vorgenommen wird, und in der zwischenzeit 1000 weitere Änderungen vorgenommen werden konnten – ist das ganze IST-Prozedere auf DSGVO bezogen praktisch nicht händlebar.

    Das o.g. Verhalten wurde seitens Microsoft planvoll entworfen, programmiert, getestet/ausgerollt – und genauso planvoll gegenüber Behörden kommuniziert.

    ================

    Meines erachtens sollte man daraus folgendes Fazit ableiten:

    Da wo hoher Datenschutz erforderlich ist, z.B. Kitas, Schulen, Unis, Behörden, Krankenbereich, Versicherungen etc. sollte Office365 verboten sein. EU-Weit.

    Dieses Verbot sollte erst aufgehoben werden wenn Microsoft ***deutliche*** Schritte hin zur mehr Transparenz und DSGVO-Konformität unternimmt. Diese Schritte müssten übergebühren erfolgen, um das beschädigtre Vertrauen wieder herzustellen.

    Ein Office365 Verbot dient mehreren Zwecken:
    1. Datenschutz, Datensouveränität, Handlungsbereitschaft klarstellen.
    2. Förderung von OpenSource-Alternativen, Gimp etc.
    3. In der Jugend: Forcierung von unabhängigen Alternativen

    Fehlende Funktionalitäten wie Cloud, Skype/Teams sind entweder lokal durch NAS/Synonologie etc. oder andere unabhängige Systeme kostengünstig abzubilden.
    Hier kann die heimische IT unterstützend eingreifen. Das ganze sollte als "Infrastruktur-Notwendig" seitens des Staats gefördert werden.

    Die eingesparten Lizenzgebühren sollten zwingend zu 30% in die verwendeteten OpenSource-Alternativen investiert werden.

    Fehlende Funktionen sind staatlich nachzuprogrammieren und/oder in die bestehenden OpenSource-Lösungen zu implementieren. Keine Städtischen Einzelfrickeleien, sondern staatlich geförderte OpenSource-Projekte.

    So wird man mittelfristig IT-Souveränität, Datenschutz etc. stärker forcieren.

    Das wird Microsoft, Apple, Google und Co mittelfristig dazu zwingen DSGVO-Konform zu werden, oder hilflos dabei zuzusehen wie freie Alternativen immer besser werden.

    • 1ST1 sagt:

      Ja, Datenschutz/Sicherheit ist ein Opt-In. Der BSI stellt eine Liste der Gruppenrichtlinien zur Verfügung, die man setzen muss. Das ist nur ein "Point & Click", ein Nachmittag Arbeit und fertig. Der Link dahin findet sich in einem anderen Beitrag von mir weiter unten.

      • McAlex777 sagt:

        >> ein Nachmittag Arbeit und fertig.

        Bei Cookie-Bannern erfordern wir auch einfaches "Ja, Nein" keine 10min Wegklicken von dutzenden Optionen.

        Gleiches darf auch für Ofice365 erwartet werden.

        Und zwar so, das Richtlinienänderungen seitens Microsoft auch *deutlich* in der Applikation angezeigt werden.

      • McAlex777 sagt:

        Abgesehen davon ist das keine Sache von "einem" Nachmittag, da die praktischen Auswirkungen und ggf. zukünftige Fehlerbilder gegen diese 116 Settings geprüft werden.

        Wer sagt das Microsoft nicht morgen eine der Settings als Depricated markiert und dann ein 5 Weitere Settings einführt mit denen die bestehenden Nachgebildet werden können. Alles schon passiert.

        Wie soll so bitte so DSGVO-Konformität sichergestellt werden?! Monatlich 4h Abstellen dafür das Windows/Edge/Office DSGVO-Konform bleiben?!

        Und was ist mit Lieschen Müller Daheim mit Windows-Home? Soll sie sich erst alle Registry-Keys dazu ausarbeiten und sicherhestellen das Benutzerkonfigurationen auch bei ihren 3Kids-Accounts richtige geladen wurden?!

        Sorry: hier hat ein starker Staat "schützend" einzugreifen – und das kann er bestmöglich indem er Schulen, Unis, Behörden, Krankenbereichen das Arbeiten mit solchen Produkten unterbindet – und in diesen nicht kritischen Bereichen Offene Alternativen bestmöglich fördert.

        Es obliegt Microsoft die IST-Situation jederzeit erheblich zu verbessern – tun sie aber nicht.

  2. Peter sagt:

    Zum Glück sehen das die Unternehmen anders und sind weitsichtiger. Wem das nicht passt soll Alternativen nehmen. Unsere Regierungen schaffen uns noch ab.

  3. A.J. sagt:

    Warum wird MS nicht mal mit einem EU-weiten Verkaufsverbot und exorbitanten Strafzahlungen belegt? Anders scheint es nicht zu gehen.

    Zwei große Probleme sehe ich: Viel zu spätes und lasches, konsequenzloses Handeln der Behörden und Dreistigkeit von MS.

    Wenn man sich bzgl. der Verstöße mal informiert (ich kann den Kuketz-Blog als lesenswert empfehlen), ist es im Grunde haarsträubend, dass nahezu alle Anbieter erstmal schwerwiegende Datenschutzverletzung betreiben – frei nach dem Motto: Wo kein Kläger, da kein Richter. Und schlimmstenfalls wird halt per Update nachgebessert.

    Wir sind hier nur Hampelmänner, die sich alles gefallen lassen.

  4. 1ST1 sagt:

    "zumindest, was die von Microsoft vorgegebene Standardkonfiguration betrifft"

    Das ist der Kern der Aussage. Es gibt online genug Anleitungen, nachdem Unternehmen das (machen lassen) können, sowohl im Tenant, als auch die lokale Installation auf Unternehmens-PCs per Gruppenrichtlinie. Es gibt auch genügend spezialisierte Systemhäuser, die einem Unternehmen das sicher einstellen. Im Unternehmen schließt das auch die Verschlüsselung aller Daten im Tenant mit einem vom Kunden vergebenen Schlüssel ein, da kommt also auch jemand, der irgendwie Zugriff auf die Microsoft-Infrastruktur hat, nicht so leicht dran. Und der Tenant eines europäischen Kunden liegt auch in einem MS-Rechenzentrum in Europa.

    Es ist nichts anderes, wie ein frisch lokal installiertes Windows oder Linux, die muss man auch erstmal härten, da ist auch nichts "Out of the Box" sicher.

    Und wer sich darüber aufregt, darf auch kein Smartphone mit iOS oder Android verwenden, ist genau der selbe Cloud-Mist, lang lebe das Nokia 6310 zusammen mit einer Olivetti Valentine als wirklich (?) sichere Alternative!

    • Bernd B. sagt:

      Olivetti Valentine?
      …wenn Sie sich da mal nicht täuschen…
      https://www.heise.de/security/meldung/Spionage-So-hoerten-die-Sowjets-Schreibmaschinen-ab-2260408.html

      Und das Nokia 6310 war schon gar nicht abhörsicher, nutzte es doch unsicheres GSM.

      Aber zum Thema MS / Office / Datensicherheit:
      a) auch als Datensensibler kann man Twitter/Facebook/… und selbst TikTok nutzen, wenn man z.B. dedizierte (virtuelle) Maschinen und z.B. Tor nutzt. Jeder hat da ein eigenes Bedrohungsszenario/Threatlevel und muss die entsprechenden Massnahmen ergreifen.
      b) es ist ein Unterschied, ob ich ein Risiko eingehe ob ich es von einem Dritten (z.B. Mitarbeiter) verlange, oder ihn gar zwinge (Schüler) es einzugehen.

      • Fancy sagt:

        Was hat Spionageabwehr mit Datenschutz zu tun? Da liegen Welten an Schutzmaßnahmen dazwischen.

        Für Datenschutz reicht Linux, für Schutz vor Spionage muss man fast alle elektronischen Komponenten unter Blech packen um Abstrahlung EM-Felder zu reduzieren unter das Nachweislimit.

      • 1ST1 sagt:

        Bei einer Valentine ist keine mechanische 4-Bit-Kodierung pro Drehachse eines Kugelkopfes vorhanden, die man einfach als Byte übertragen könnte. Denn die Valentine ist eine rein mechanischen Typenhebelmaschine, bei der man erstmal aus jeder einzelnen Taste (ca. 50 Stück) per Multiplexer einen Bytewert generieren müsste. Elektronik in einer rein mechanischen Maschine würde sofort auffallen, auch weil man bei der Valentine überall gut reinschauen kann, die ist nicht so vollverkleidet wie eine Selectrix, außerdem braucht die Valentine keinen Strom, so eine Abhörelektronik braucht aber welchen, also entweder Kabel, oder Akku, würde beides auffallen.

        • Luzifer sagt:

          dafür reicht es vollkommen aus das bei einer mechanischen Schreibmaschine jemand nachher den Müll durchwühlt und die "leeren" Farbbänder rauskramt, um alle Nachrichten im Klartext mitlesen zu können.
          Nen Richtmikrofon ist auch optimal für mechanische Anschläge, zumal mit KI das Ganze sogar sehr komfortabel geht.

          "Abhören" ist so alt wie die Menschheit.

    • Micha45 sagt:

      Danke für den hervorragenden Kommentar! Genau so ist es nämlich. Man kann alles entsprechend anpassen wenn man unsicher ist und das ist kein Hexenwerk. Wäre schön wenn weniger mit Aluhüten rumlaufen würden.

      • netghost78 sagt:

        Und warum ist es nicht per default DSGVO-konform? Das und nur das ist die Gretchenfrage.
        Und nein, es ist keine Option, regelmäßig kontrollieren zu müssen, ob das eingesetzte Produkt noch den Datenschutz beachtet oder eine Option dazugekommen ist, die wieder alles ändert.

      • Luzifer sagt:

        darum geht es aber nicht! Alleine das man das muss, um den Datenschutz zu gewähren ist bereits der Skandal!

        Früher wurden "Spione" aufgehängt!

  5. Kfr sagt:

    gibt's zu den Empfehlung links? ich komme bei meiner Suche nur zu Tools die im System allerlei Einstellungen ändern ohne das man transparent sieht was sie wirklich machen. Ggf GPO Vorlagen?

    Dankeschön.

  6. Blupp sagt:

    Im Grunde stimmt das mit der Standardkonfiguration so.
    Fragt sich aber wie viele, meist kleinere, Firmen sich leisten können ein eigentlich fertiges Produkt absichern zu lassen. Besonders kleine Firmen haben meist keine IT-Abteilung. Einmal sicher konfigurieren und dann vergessen reicht eben nicht, notwendige ständig wiederkehrende Arbeiten sind ein Kostenfaktor den man nicht unterschätzen sollte.

    Ja das 6310 war super.

  7. Martin B. sagt:

    das Thema DSGVO lenkt m.M. nach vom eigentlichen Problem ab, dem wird zu viel Bedeutung beigemessen.

    1. Analysiert MS die Daten in erheblichem Maße u.a. um die „Produktqualität" zu verbessern. Was darüber hinaus passiert, kann man teilweise erahnen

    2. durch den Patriot Act muss MS auch in hiesigen RZ den US Behörden Zugriff gewähren

    Was Daten privater Nutzer bzw. personenbezogene Daten von Angestellten Cloudworkern betrifft, geht es um Profilerstellung und im Fall der Fälle um Risikobewertung durch Behörden. Wer das ignoriert oder nicht wissen will, macht sich etwas vor. Es geht genau darum: Wissen, wie die Menschen ticken, das ist der Kern von Nachrichtenorganisationen.

    Dann geht es um Firmengeheimnisse: genau das ist die Krux, Unternehmen müssen sich fragen, ob sie ihr geistiges Eigentum und Wissen über ihre geschäftliche Tätigkeit einfach einem Cloudanbieter (und auch den US Behörden) freiwillig zur Verfügung stellen wollen. Um nich eins drauf zu setzen: dafür sogar ordentlich bezahlen und nich mit einer gesteigerten Komplexität leben.

    Das Thema DSGVO ist doch eine Farce, das interessiert nicht und ist ein Scheingefecht.

    Keiner soll sagen, man hätte es vorher nicht können.

    • 1ST1 sagt:

      Das ist zwar das, was Geheimdienste wissen wollen, ja. Aber die Frage ist, ob sie das auch bei 100% der O365-Benutzer tun wollen und können. Und ob man aus einem im OneDrive liegenden geschäfltlichen Kundenbrief herauslesen kann, wie der Mitarbeiter so tickt, ist auch noch so eine Frage. Realistisch gesehen wird es wohl eher um einzelne verdächtige Firmen (handelt mit Russland, Nordkorea, …) oder einzelne verdächtige Mitarbeiter (wurde als GRU-Agent identifiziert, hat schonmal im großen Stil mit Drogen in den USA gehandelt) gehen, so jedenfalls meine gutgläubige romantische Verklärung. Ein "Full-Take" mit Indizierung aller Daten aller großen amerikanischen Clouds (Microsoft, AWS, Google, …) halte ich kapazitiv für ziemlich unrealistisch.

      • Dolly sagt:

        Sehr naive Sichtweise.

      • Martin B sagt:

        Information at your fingertips – das ist das, was Sicherheitsbehörden wünschen.

        Und bekommen.

        Einfach Snowden lesen, am besten wiederholt.

        Wenn dann US Konzerne Informationen zusätzlich benötigen, braucht man auch dazu nicht viel Phantasie.

      • bytemaster sagt:

        Oha, das ist wirklich ziemlich krass einfach und naiv gedacht. Meinen Sie das ernst, 1ST1?

        Auch bei Ihren sonstigen Post betreiben Sie hier munter TäterOpfer Umkehr. Vielleicht einfach mal einen IT Grundlagenkurs besuchen und dann wiedderkommen?

  8. Rene sagt:

    Wenn ich sehe, wie lasch Behörden mit personenbezogenen Daten umgehen, ist das, was MS macht, noch harmlos.
    Es soll jetzt keine Entschuldigung sein, aber das Problem mit der DSGVO ist, dass sich irgendwie kaum einer dran hält.
    Gerade wenn es um persönliche Daten geht, wird der Person, der diese Daten eigentlich gehören, die Daten vor dem eigentlichen Eigentümer "geschützt".

  9. R.S. sagt:

    In meiner Firma gibts keine Cloudanwendungen, alles läuft lokal auf eigenen Servern.
    Und was z.B. Makros angeht:
    Mailanhänge, die ausführbaren Code enthalten (Exe, COM, VBS, js, jar, etc. etc. und auch Ofiice-Dateien mit Makros) werden vom Mailserver aus den Mails entfernt.
    Wer uns Office-Dokumente zusenden will, muß vorher die Makros aus den Dokumenten entfernen, damit die vom Mailserver zugestellt werden.
    Das wissen inzwischen auch unsere Geschäftspartner.

    Und aus einem einzelnen Brief kann man sicherlich noch nicht viel herauslesen, aber wenn man die alle sammelt und zusammen auswertet, dann kann man daraus schon sehr viel herauslesen.

    Im Übrigen ist Linux auch nicht sicherer als Windows.
    Es ist nur seltener Angriffsziel für Hacker, aber für staatliche Organisationen macht es keinen Unterschied, ob die Zielperson nun Windows oder Linux nutzt.

  10. Wilfried Reiners sagt:

    Für 2 Jahre verhandeln mit 14 mehrstündigen Besprechungen ist das Ergebnis für beide Verhandlungspartner keine Lobeshymne.

    • McAlex777 sagt:

      Es offenbart das die IST-Situation kein Zufall ist.
      Es offenbart den unbedingten Willen Microsofts diese Praxis zu leben.

      Es offenbart somit das Verhandlungen keine Option sind, sondern Konsequenzen gezogen werden müssen.

  11. G. D. sagt:

    Ich finde es sehr spannend, dass alle EU-Staaten kein Problem sehen mit den Informationen, die Microsoft zur Verfügung stellt und ihnen die Einhaltung der DSGVO bescheinigen, nur die deutschen Datenschützer meinen, Microsoft wäre nicht transparent genug. Wie transparent sollen sie denn noch werden? Zuviel Transparenz gefährdet die Sicherheit der Daten genau so viel wie zu wenig.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.