Es sind zwei Informationssplitter, die mir untergekommen sind, die perfekt das Desaster staatlicher IT beschreiben. Da gibt es einmal den Bericht zur Cybersicherheit in der Justiz in Nordrhein-Westfalen, in dem massive Personalprobleme offenbart werden. Und die EU-Kommission, die 2018 die Datenschutzgrundverordnung als geltendes Recht in Kraft gesetzt hat, klagt gegen ihren eigenen Datenschutzbeauftragten. Dieser hatte sich nämlich erdreistet, der EU-Kommission in der Art, wie Microsoft 365 genutzt wird, einen Verstoß gegen die DSGVO nachzuweisen und dann verlangt, dass die rechtswidrige Praxis bis Ende 2024 beendet wird.
Anzeige
Cybersicherheit in der NRW-Justiz
Momentan ist es ja recht ruhig in deutschen Gerichten, was Cyberangriffe betrifft. Aber IT-mäßig liegt da vieles im Argen – uralte Systeme, unterbesetzte und ausgelastet IT, sind Stichworte, die die dort Tätigen sicherlich kennen. Professor Dennis Kipker weist in nachfolgendem Tweet auf den Bericht zur Cybersicherheit in der Justiz (PDF) hin, der vom Justizministerium von Nordrhein-Westfalen veröffentlicht wurde.
Es geht im Bericht um einen ganze Menge Themen. Interessant: Auf die Fragen, wie Digitalisierungsprojekte wie "Mein Justizpostfach" genutzt werden, liegen der Landesregierung von NRW keine Erkenntnisse vor – die segeln im Blindflug. Auf Seite 4 des Berichts wurde gefragt, wie sich die Anzahl der IT-Mitarbeiter beim Zentralen ITDienstleister der Justiz des Landes NRW (ITD) seit dem 01.07.2022 entwickelt haben. Von den zugewiesenen Planstellenanteilen (um die 552) konnten in den Jahren seit 2022 nur rund 451 bis 472 Stellenanteile besetzt werden. Sprich: Die haben Personalprobleme und sind chronisch unterbesetzt. Vielleicht kann die KI was reißen, dann könnte man sogar Stellen abbauen.
EU-Kommission klagt gegen den Datenschutzbeauftragten
Es ist wohl ein einmaliger Vorgang, den sich die EU-Kommission da gerade leistet. Der scheidende Europaabgeordnete "der Piraten", Dr. Patrick Breyer, weist in nachfolgendem Tweet darauf hin, das die die EU-Kommission, unter Führung von Kommissionspräsidentin Von der Leyen, die EU-Datenschutzbeauftragten verklagt, weil sie die datenschutzwidrigen Microsoft-Produkte Office und Cloud Suite weiter nutzen will.
Anzeige
Den Hintergrund hatte ich im Blog-Beitrag EU-Datenschützer: EU-Kommission verstößt mit Microsoft 365 gegen DSGVO; Korrektur bis Dez. 2024 erläutert. Die Europäischen Datenschutzbeauftragten (EDSB) haben am 11. März 2024 in einem Bericht festgestellt, dass die Europäische Kommission bei der Nutzung von Microsoft 365 nicht mit den eigenen (Datenschutz-)bestimmungen im Einklang ist. Das Gremium der EDSB hat die EU-Kommission angewiesen, ab dem 9. Dezember 2024 keine Daten mehr aus der Nutzung von Microsoft 365 an Microsoft und seine Tochtergesellschaften in Nicht-EU/EWR-Ländern ohne Angemessenheitsbeschluss zu übermitteln.
Die EU-Kommission hat bereits am 17. Mai 2024 wegen der Aufforderung, das rechtswidrige Verhalten bei der Nutzung von Microsoft 365 bis Dezember 2024 einzustellen, Klage gegen die Europäischen Datenschutzbeauftragten (EDSB) eingereicht. Das Ganze ist im Amtsblatt der EU veröffentlicht worden. Gemäß dieser Veröffentlichung beantragt die Klägerin (die EU-Kommission), den Beschluss des Europäischen Datenschutzbeauftragten vom 8. März 2024 betreffend seine Untersuchung der Nutzung von Microsoft 365 durch die Europäische Kommission im Fall 2021-0518 für nichtig zu erklären und dem Beklagten die Kosten des Verfahrens aufzuerlegen. In der Klageschrift werden einige Klagegründe aufgeführt – unklar ist mir, vor welchem Gericht die Klage eingereicht wird.
Ähnliche Artikel:
Neuer Vorfall: Datenabfluss bei "Mein Justizpostfach" möglich
EU-Datenschützer: EU-Kommission verstößt mit Microsoft 365 gegen DSGVO; Korrektur bis Dez. 2024
Anzeige
Und dann wundern sich die Politiker über Politikverdrossenheit?
Ich hoffe, die Klage wird abgewiesen und die Verantwortlichen zur Rechenschaft gezogen. ich weiß, wird beides nicht passieren.
Sieht so die "Demokratie" und sehen so unsere Werte aus, die wir gegen Rechts verteidigen müssen?
An dieser Stelle auch ein Gruß an die Fussballfans in der Politik. EM 2024 SPONSORED BY KATAR. Boykott war gestern. ;)
Das heißt nicht Demokratie, es muss "unsere Demokratie" heißen.
Zwei drei Informationssplitter zu der Unterbesetzung von IT Stellen allgemein, aber mit Sicherheit auch für die NRW Justiz zutreffend:
1) Mit "IT Stelle" wird landläufig leider alles aufgefasst, was Tastatur und Maus hat. Häufig sind damit leider auch "normale" Informationworker gemeint. Also alles von Callcenter-Agenten und Druckertoner-Techniker bis hin zum NOC Betreiber. Daher sehe ich das entspannter.
2) Nominal ist da von 81 und paar Zerquetschten die Rede. Bei 550 Planstellen sind das rund 15%. Attribute wie "erheblich" oder "drastisch" halte ich da für übertrieben.
3) Viele IT-Stellen sind für mich Heuristik für kaputte Infrastrukturen und Technologiestacks. Je mehr eine Infrastruktur, eine Software, das Operations von Rechnern und Anlagen an Planstellen benötigt, desto weniger automatisiert und als vergammelt können diese bezeichnet werden. Klar, kann man 500 Server mit 10 Vollzeitadmins manuell klick-bunti irgendwie betreiben. Für die gleiche Anzahl und mehr nutze ich im Operations Ansible, alleine.
4) "Im Blindflug segeln" meiner Einschätzung gefühlt 80% der typischen Windows Netzwerke. Ich brauche nur zu fragen, ob EventID 1102 monitored wird oder mir jetzt sofort gesagt werden kann, wann der externe Dienstleister X zuletzt auf welchen Rechner aufgeschaltet hat? Administrative Mindest-Standards, das wer, was, wo, wann, bleibt von den typischen WWW (Wald-Wiesen-Windows) Admins und Verantwortlichen offen. Die Folgefrage nach SRPs in GPOs kann ich mir dann meist auch schenken.
5) Es ist erschreckend wie GF, Entscheider und Verantwortliche IT immer noch als "Kostenstelle" verstehen. Die strategische Relevanz immer noch nicht verstanden. Da wünsche ich mir nur noch, dass die nächste Ransomware alles abfackelt. Mehrfach, bis der Groschen fällt.
Aber wer bin ich schon…
"Nominal ist da von 81 und paar Zerquetschten die Rede. Bei 550 Planstellen sind das rund 15%. Attribute wie "erheblich" oder "drastisch" halte ich da für übertrieben."
Der BGH hat einmal eine Grenze für "unerheblich" zu 14% festgelegt. Dann sind 15% eindeutig "erheblich". Als "drastisch" würde ich das nicht einschätzen.
Aber die allermeisten und besonders die staatlichen IT haben drastisch verkackt. Insofern gehe ich mit den letzten beiden Sätzen aus 5) konform.
ehm… Sorry besagtes BGH Urteil ging um Rückabwicklung eines Kaufvertrags. Die Begriffe "erheblich" oder "unerheblich" standen in einem komplett anderen Kontext. Läuft in der IT "a bissl" anders.
Wer bei 15% Deviation von einem Limit oder Planwert "drastische" oder "erhebliche" Probleme bekommt, der hat von Anfang zu gut deutsch "kacke" geplant und entschieden. Der oder die gehört von der nächsten Ransomware ebenfalls irgendwohin verfrachtet, wo keine Tastatur und kein Rechner in Reichweite sind.
das läuft alles bei nicht-Windows RZ bestimmt viel besser, so OHV, Strato und Konsorten, nicht wahr? Die wissen auf Knopfdruck was da läuft und Instant Restore nach Brand ist natürlich Standard!
1) Aber Tonerwechsler und Callcenterboys (and -girls) sind bedeutend leichter zu besetzen. Also kann man davon ausgehen, dass die Fachkräfte vor allem "am oberen" Ende fehlen – was deutlich schmerzhafter ist…
2) 15% Mehrarbeit für die Übrigen sind fast ein Arbeitstag pro Woche extra. Nicht lustig. Im Übrigen ähnlich unlustig wie 15% weniger Gehalt…
5) Da bin ich dabei….
wundert einem nicht, Pfizer- und Flintenuschi tauscht mit den großen dieser Welt nun mal gerne SMS aus.
Ist doch bekannt das Politiker & Co. von den Gesetzen ausgenommen sind… gilt immer nur für die anderen.
Wie kann sich so ein Datenschützer auch erdreisten die Eigene Institution anzufahren…. hängen und vierteilen!
Die EU ist wie die Kirche – Wasser predigen und Wein saufen.
NRW? Ist das nicht ein Destrikt von Sizilien oder Kalabrien? Meine Erfahrungen mit den Behörden und Staatsanwaltschaften in diesem Destrikt sind durchweg katastrophal. NRW ist pures Staatsversagen (kann auch sein, dass das so gewollt ist). Dieses Land kann man nicht mit Bayern oder BW vergleichen.
Meine persönlichen Erfahrungen eines langen Berufslebens.
Amen und jawohl!
Dieses Land kann man in der Tat nicht mit Bayern oder BW vergleichen.
Warum?
Aus diesem Bundesland bzw. NRW kamen in den letzten Jahren bisher auch keine Verkehrsminister :-)
Da könnte ich jetzt seitenweise Beispiele liefern, warum NRW vor allem Bayern, aber auch BW Jahre, wenn nicht Jahrzehnte voraus ist: Eklantante Beispiele wären da die Polizeiaufgabengesetze, Informationsfreiheit oder Kennzeichnung von Polizisten im Dienst… Generell aber auch gerne die komplexe Schule oder Jugendhilfe. Alles ein Alptraum und gerade in NRW sind da viele, wahrscheinlich die meisten Regelungen deutlich moderner, bürgerfreundlicher, demokratischer.
Vielleicht eine dumme Frage aber:
Wenn die EU jetzt quasi die EU verklagt (also zumindest Teilorgan A verklagt Teilorgan B) und das ganze geht durch . Schaffen die Microsoft Produkte und ab und kündigen alle Cloud Vereinbarungen?
Nicht das ich das nicht begrüßen würde aber ohne wirkliche Alternativen evaluiert zu haben wird das doch auch nur ein Kampf gegen Windmühlen oder?
Mal in Blinde getippt: Klassisches OnPremise fahren, eine Cloudfreie Version ausrollen. Im Prinzip die Abos auslaufen lassen und auf Office2024 umsteigen. Hängt im Detail an den Vorwürfen in der Klage zusammen, aber vielleicht lassen die sich mit dem Umstieg beheben…
Wie war das mit dem Bock und dem Gärtner?
Oder die Schafe und die Herde?
Profit geht halt vor.
Zitat im Artikel: "Die haben Personalprobleme und sind chronisch unterbesetzt. Vielleicht kann die KI was reißen, dann könnte man sogar Stellen abbauen."
Wie kann man das Problem lösen? Ganz einfach, nicht KI teuer einkaufen, sondern einfach mehr Ventilatoren kaufen und in die Büros stellen. Ruckzuck sind alle Planstellen besetzt. Und die Produktivität steigt sogar dabei.
Nein nein nein, Kompressoren. Es müssen mehr Kompressoren eingekauft werden, weil alle IT Sicherheitsspezialisten angeblich mit "Hochdruck" an der Digitalisierung, Cybervorfall whatever arbeiten ;-)
Wenn eine Kommissions-Präsidentin den eigenen Datenschützer verklagt um selber weiter fragwürdige Software nutzen zu können. Ist das doch ein schönes Beispiel dafür, wie ernst es Politik generell mit den eigenen Aussagen/Anliegen meint … Politik ist alles nur Lug und Trug, alles nur Luft und Schaum, schon immer so gewesen. "Nichts Neues"
Es könnte aber auch ein klares Zeichen dafür sein, dass der DSB irrt. Der DSB muss jetzt seine Behauptungen untermauern und beweisen. Darauf bin ich sehr gespannt. Vielleicht ist dann endlich mal Schluss mit dem Spuk, auf die eine oder andere Weise.
Irrtum, der EU Datenschutzausschuss muss gar nichts beweisen. Der Anwender von Office muss bei einer Prüfung darlegen, dass er die DSGVO einhält. Bei den EU-Behörden wurde m.W. ein Verstoß gegen die eigenen Vorgaben festgestellt.
Ansonsten plädiere ich dafür, a) die Klage der EU-Kommission (die eine Abweisung der Anordnung der Datenschützer beantragt hat) abzuwarten und b) zu schauen, wie die Klage von noyb gegen das Transatlantic Framework ausgeht. Dass der Verzicht auf Software von US-Techriesen, speziell im öffentlichen Bereich angesagt wäre, steht auf einem anderen Blatt.
Mich interessiert, was der gute Datenschützer herausgefunden hat. Was wird übermittelt, wie wir das übermitteln, wer missbraucht die Daten und wie. Anders gesagt – ich will Beweise/Fakten sehen und keine Vermutungen und Annahmen. Ohne diese Antworten lässt ich hier nichts beurteilen.
Genau, außer Behauptungen ist da bisher nichts zu lesen gewesen. Wir haben hier in Europa recht strenge Gesetze was Produkthaftung betrifft. Wenn auf einer Verpackung etwas versprochen wird, was nicht in der Verpackung drin ist, ist her Hersteller entschädigungspflichtig. Die Microsoft-Webseite mit ihrer sehr genauen Beschreibung des Produkts (M365) ist diese Verpackung, und da sind ganz klipp und klare "Zugesicherte Eigenschaften" zu lesen, die genau das versprechen, was diese Datenschützer fordern und am Ende nicht das Gegenteil beweisen können. Ich bin auch schon seit Jahren auf diesen Nachweis der DSBs gespannt.
Auch wenn Du das Framing wiederholst, es bleibt falsch. Einfach mal die Prüfergebnisse der Deutschen Datenschutzkommission (DSK) lesen. Aussage war: Auch nach mehrfachen Nachfragen bei Microsoft über 18 Monate konnte nicht belegt werden, welche Daten wohin gehen. Die DSK schrieb aber auch: Stellen können Office 365 einsetzen, wenn sie nachweisen können, dass das DSGVO-konform ist. Und der Nachweis gelingt zur Zeit schlicht nicht. Die Aussagen auf den Microsoft Verpackungen oder auf den Webseiten sind Schall und Rauch.
Es wäre für Microsoft ein Leichtes gewesen, gegenüber der DSK genau offen zu legen, welche Daten in Office erfasst und transferiert werden. Wollte man nicht.
Soll der DSK doch nachweisen, dass O365 nicht konform ist und wohin die Daten gehen. Beweislastumkehr wäre hier mal angebracht. Stellen sollen nachweisen… ist lächerlich.
Noch Mal: Du hast die DSGVO nicht verstanden. Die Datenschutzkommission ist nicht für den Einsatz von Office 365 in den Unternehmen verantwortlich. Derjenige, der einsetzt ist für die Einhaltung der DSGVO verantwortlich und muss das sicherstellen. Dazu muss er darlegen können, welche Daten erhoben werden und wer Verarbeiter ist.
Kann er dies nicht, weist die Datenschutzaufsicht berechtigt darauf hin, dass es ein Problem gibt. Und genau das ist auch das Thema das die EDSB angemahnt und auf Abstellung gedrängt haben. Die EU-Kommission hat Microsoft in ihren Verträgen zu viel Spielraum gelassen, was die Erhebung der Daten betrifft.
Ich finde es in diesem Kontext äußerst merkwürdig, dass hier ein Framing "die DSK soll doch nachweisen" versucht wird. Europa hat um die 740 Millionen Einwohner, also ein großes Kundenportal. Da sollte es für Microsoft doch ein leichtes sein, die Verträge so zu gestalten, dass die gesetzlichen Regeln eingehalten werden. Stattdessen wird ausgelotet, wie weit man dehnen kann und das wird oft genug überdehnt. Und die Nutzer haben nichts besseres zu tun, als das auch noch zu verteidigen – bekomme ich persönlich schlecht auf die Reihe.
Und wir reden an der Stelle nicht mal darüber, ein Produkt wie Microsoft 365 zu bannen und sich aus der Abhängigkeit von Microsoft zu befreien. Vielleicht auch mal diesbezüglich den Kommentar Kommentar: Deutschland muss raus aus der Abofalle der US-Techriesen von Prof. Dennis-Kenji Kipke bei heise lesen und verinnerlichen.
Da werden wir uns nicht einig. Ich verstehe den Datenschutz durchaus, aber mir hat der Datenschutz deutlich zu viel Macht.
Prof. Dennis-Kenji – das ist Wunschdenken und blanke Theorie. Die Welt spricht Windows und die überwiegende Zahl der Softwarehersteller entwickelt für Windows. Daran wird sich nichts ändern. Linux ist in Unternehmen kaum ein Thema (Ausnahmen – aktive Komponenten, Virtualisierung etc.).
Ich würde eher sagen, dass Kollege TBR oder 1ST1 nicht verstanden haben, was Prüfungen sind.
Hier wird doch nicht verstanden der Zusammenhang "wer so ein Produkt einsetzt, muss bei einer Prüfung nachweisen können, welche Daten wie abließen". Wenn darauf die Aussage folgt "der Prüfer muss die festgestellten Mängel erst mal selber belegen", dann zeigt das doch, dass nicht verstanden wurde, wer die Belege vorlegen muss.
Was auch immer diese beiden Personen zu sein scheinen, hier versagt doch schon grundlegendes Wissen, wobei wild mit Worthülsen um sich geworfen wird.
Kleines Veto!
"Stellen können Office 365 einsetzen, wenn sie nachweisen können, dass das DSGVO-konform ist. Und der Nachweis gelingt zur Zeit schlicht nicht."
Für meinen Hauptkunden aus der Stahlbranche betreibe ich seine InHouse-Windows HyperV Cluster aus etlichen Terminalservern komplett offline. Da fliesst kein Bit an meinen Proxy vorbei ohne dass ich das mitbekommen würde. Der DSGVO-konforme Nachweis ist hier sehr einfach.
Und dem Windows und Office 365 ist es völlig egal, dass es seine Lizenzen nicht periodisch prüfen kann?
Updates?
Den Fall mit der EU-Kommission kann ich so nicht nachvollziehen. Da heißt es seitens des Datenschutzes, dass die M365 Cloud der EU-Kommission außerhalb der EU liegt. Das ist schlicht falsch. Denn die EntraID-Tenands europäischer Kunden sind vertraglich auf RZs in Europa gebunden. Das geht so weit, dass wir damals (anhand der Performance) bei Vollzug des Brexit quasi live verfolgen konnten, wie unser Tenant von einem RZ bei London ohne Betriebsunterbrechung in den Großraum Frankfurt migriert wurde. So wichtig die DSBs sind, diese hier schießen über das Ziel hinaus.
"Tenands" statt richtigerweise Tenants entwertet Deinen Post drastisch…
Er hat sich verschrieben, und? Der Inhalt ist entscheidend!
Stimme ich zu.
Ah, 1ST1 und TBR treten immer als Paar auf und bestätigen sich gegenseitig, wobei der Grundtenor immer ähnlich ist, aber irgendwo etwas keinen Sinn ergibt. Interessant, wie man vom Sofa aus den Fall hier bewerten kann, indem man auf den Brexit verweist und behauptet, wie es da abgelaufen wäre, ohne aber zeigen zu können, wieso eine Aussage der Prüfung falsch sein sollte. Außer natürlich der Grund soll sein, weil es beim Brexit anders gelaufen ist, was man beim Brexit auch nachweisen konnte; was aber im Fall hier eben nicht möglich war, was das Problem ist, was die Prüfung ansprach. Aber die Aussagen in den Kommentaren müssen keinen Sinn ergeben bei diesen beiden Personen, wie ich aus deren anderen Kommentaren lese.