{"id":275485,"date":"2022-11-26T12:31:42","date_gmt":"2022-11-26T11:31:42","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=275485"},"modified":"2022-12-16T01:07:13","modified_gmt":"2022-12-16T00:07:13","slug":"datenschutzkonferenz-2022-microsoft-365-weiterhin-nicht-datenschutzkonform","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/11\/26\/datenschutzkonferenz-2022-microsoft-365-weiterhin-nicht-datenschutzkonform\/","title":{"rendered":"Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform"},"content":{"rendered":"

[English<\/a>]Der Einsatz von Microsoft 365 (inklusive Office 365) ist weiterhin nicht mit dem europ\u00e4ischen Datenschutz konform. Wer das Produkt verwendet, handelt datenschutzwidrig – zumindest, was die von Microsoft vorgegebene Standardkonfiguration betrifft. Trotz Nachbesserungen ist es Microsoft bisher nicht gelungen, die DSGVO-Konformit\u00e4t von Microsoft 365 sicherzustellen. Das ist das Fazit der Datenschutzkonferenz 2022.<\/p>\n

<\/p>\n

\"\"Die Datenschutzkonferenz (DSK<\/a>) ist die Konferenz der unabh\u00e4ngigen Datenschutzbeh\u00f6rden des Bundes und der L\u00e4nder in Deutschland. Das Gremium befasst sich mit aktuellen Fragen des Datenschutzes in Deutschland und nimmt dazu Stellung. Deren Beschl\u00fcsse<\/a> und Kurzpapiere<\/a> sind auf dieser Webseite<\/a> abrufbar.<\/p>\n

Microsoft 365 und der Datenschutz<\/h2>\n

Es gibt ja bereits sehr lange die Diskussion, inwieweit die Microsoft-Produkte Windows 10, Windows 11 sowie Microsoft Office (365) mit der EU-Datenschutzgesetzgebung und der Datenschutzgrundverordnung (DSGVO) vereinbar sind. Speziell der Einsatz in Schulen und in Bildungseinrichtungen wurde ja durch die Datenschutzbeauftragten der L\u00e4nder verboten. Und die DSK hat auch Aussagen zu Windows 10 in Verbindung mit einem DSGVO-konformen Ansatz getroffen. Das bisherige Fazit lautet: Die Produkte sind im Auslieferungszustand (out-of-the-box) nicht DSGVO-Konform und m\u00fcssen aufw\u00e4ndig f\u00fcr den Einsatz in Firmen angepasst werden. Inzwischen b\u00fcndelt Microsoft ja seine Produkte Windows 10\/11 und Microsoft Office 365 mit weiteren Anwendungen im Cloud-affinen Produkt Microsoft 365.<\/p>\n

Der Stand 2022<\/h2>\n

Zum 25. November 2022 hat die DSK im Dokument Festlegung zur Arbeitsgruppe DSK \"Microsoft-Onlinedienste\"<\/a> (PDF) auch zur die Position der betreffenden DSK-Arbeitsgruppe zu Microsoft 365 ver\u00f6ffentlicht. Mit Stand vom 24.11.2022 nimmt die DSK den Bericht der Arbeitsgruppe DSK \"Microsoft Onlinedienste\" und dessen Zusammenfassung zur Kenntnis, hei\u00dft es im Dokument. Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest:<\/p>\n

Dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten \"Datenschutznachtrags vom 15. September 2022\" nicht gef\u00fchrt werden kann. Solange insbesondere die notwendige Transparenz \u00fcber die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung f\u00fcr Microsofts eigene Zwecke nicht hergestellt und deren Rechtm\u00e4\u00dfigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.<\/p><\/blockquote>\n

Knallharte Feststellung, die in Microsoft 365 enthaltenen Produkte k\u00f6nnen in Schulen, Bildungseinrichtungen und Firmen nicht datenschutzkonform und damit rechtskonform eingesetzt werden. Darauf weist auch der Bundesdatenschutzbeauftragte Ulrich Kelber in einer Stellungnahme hin. F\u00fcr eine vertiefte Bewertung der Gespr\u00e4chsergebnisse stellt die DSK die Zusammenfassung der Arbeitsgruppenergebnisse zur Verf\u00fcgung<\/a> (PDF).<\/p>\n

Die Entwicklung seit Sept. 2020<\/h3>\n

Bereits 2020 hatte die DSK eine Bewertung des Arbeitskreises Verwaltung zu den dem Einsatz des Cloud-Dienstes Microsoft Office 365 (jetzt: Microsoft 365) zu Grunde liegenden Online Service Terms (OST) sowie den Datenschutzbestimmungen f\u00fcr Microsoft-Onlinedienste (Data Processing Addendum \/ DPA) \u2014 jeweils Stand: Januar 2020 \u2014 hinsichtlich der Erf\u00fcllung der Anforderungen von Artikel 28 Absatz 3 Datenschutz-Grundverordnung (DS-GVO) zur Kenntnis genommen. Die damalige Bewertung des AK Verwaltung lautete, \"dass auf Basis dieser Unterlagen kein datenschutzgerechter Einsatz von Microsoft Office 365 m\u00f6glich\" sei.<\/p>\n

In der Zwischenzeit gab es wohl Gespr\u00e4che zwischen den Datenschutzbeauftragten und Microsoft im Hinblick auf die Nachbesserung der Datenschutzbestimmungen im Hinblick auf die einzelnen Verarbeitungst\u00e4tigkeiten.<\/p>\n

Der Stand von Sept. 2022<\/h3>\n

In der 104. Datenschutzkonferenz kommt die DSK, im Hinblick auf die aktuelle Datenschutzbewertung, zum bereits oben gezogenen Schluss, dass die Produkte nicht DSGVO-konform eingesetzt werden k\u00f6nnen. Zitat aus der Zusammenfassung:<\/p>\n

Zentrale und wiederkehrende Fragestellung der Gespr\u00e4chsreihe war es, in welchen F\u00e4llen Microsoft als Auftragsverarbeiter t\u00e4tig ist und in welchen als Verantwortlicher. Dies konnte nicht abschlie\u00dfend gekl\u00e4rt werden. Verantwortliche m\u00fcssen jederzeit in der Lage sein, ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachzukommen.<\/p>\n

Beim Einsatz von Microsoft 365 lassen sich hierbei auf Grundlage des \"Datenschutznachtrags\" weiterhin Schwierigkeiten erwarten, da Microsoft nicht vollumf\u00e4nglich offenlegt, welche Verarbeitungen im Einzelnen stattfinden.<\/p>\n

Zudem legt Microsoft weder vollst\u00e4ndig dar, welche Verarbeitungen im Auftrag des Kunden noch welche zu eigenen Zwecken stattfinden. Die Vertragsunterlagen sind in der Hinsicht nicht pr\u00e4zise und erlauben im Ergebnis nicht abschlie\u00dfend bewertbare, ggf. sogar umfangreiche Verarbeitungen auch zu eigenen Zwecken.<\/p><\/blockquote>\n

Den deutschen Datenschutzbeh\u00f6rden blieb also auch nach den Korrekturen Microsofts nicht anderes \u00fcbrig, als festzustellen, dass Microsoft 365 nicht datenschutzkonform einsetzbar sei. Die zusammengefasste Begr\u00fcndung lautet, dass diese Dokumente Microsofts nicht die notwendige Transparenz liefern, um zu erkennen, welche Daten von dem US-Unternehmen \"f\u00fcr eigene Zwecke verwendet werden k\u00f6nnen\". Es lasse sich an einigen Stellen nach wie vor nicht einsch\u00e4tzen, welche Informationen und Diagnosewerte noch erhoben und an Microsoft \u00fcbertragen werden, hei\u00dft es. Damit lasse sich auch nicht pr\u00fcfen, ob alle Schritte im Sinne der DSGVO rechtm\u00e4\u00dfig sind, schreiben die Datensch\u00fctzer.<\/p>\n

Datenschutzbeh\u00f6rden m\u00fcssen Einzelf\u00e4lle anschauen<\/h3>\n

Laut Golem<\/a> k\u00fcndigte Dr. Ulrich Kelber an, dass die Datenschutzbeh\u00f6rden \"in Einzelf\u00e4llen anschauen m\u00fcssen, ob es trotzdem gelingt, eine Datenschutzkonformit\u00e4t herzustellen\"<\/em>. Es dreht sich dabei um den Umgang mit Biometrie-, Diagnose und Telemetriedaten. Kelber zufolge l\u00e4sst sich der Einsatz m\u00f6glicherweise empfehlen, wenn eine Mikrovirtualisierung vorgenommen oder ein Proxyserver dazwischen geh\u00e4ngt wird, der verhindert, dass diese Daten zu Microsoft abflie\u00dfen.<\/p>\n

Kelber bezweifelt laut Golem, dass sich Microsoft 365 \"einfach mal so auf einem Rechner ohne weitere Schutzma\u00dfnahmen nutzen l\u00e4sst\"<\/em>. Das hei\u00dft, dass in Beh\u00f6rden, Bildungseinrichtungen und Firmen aktuell beim Einsatz von Microsoft 365 gegen die DSGVO versto\u00dfen wird. Das w\u00fcrde auch bedeuten, dass Privatpersonen Microsoft Office 365 nicht einfach so einsetzen sollten – auch wenn Privatleute nicht der DSGVO unterliegen.<\/p>\n

Fortschritte ja, Durchbruch nein<\/h3>\n

Der Deutsche Datenschutzbeauftragte, Dr. Ulrich Kelber, wird von heise hier<\/a> so zitiert, dass Microsoft mit der neuen Fassung seines Auftragsverarbeitungsvertrags vom September 2022 zwar \"in einzelnen Punkte Fortschritte\" erzielt habe. Im Microsoft Products and Services Data Protection Addendum<\/em> (DPA) seien zwar die Standardvertragsklauseln der EU-Kommission (im Hinblick auf den Entscheid des Europ\u00e4ischen Gerichtshofs (EuGH) im Schrems-II-Urteil) \u00fcbernommen worden. Aber am Ende des Tages ist man nicht wirklich weiter, weil der Knackpunkt des Nachweises, dass der Einsatz datenschutzkonform ist, schlicht nicht zu f\u00fchren ist.<\/p>\n

Man kann es auf den Punkt bringen: Seit zwei Jahren steht Microsoft vor dem Thema, sein Microsoft 365 und seine Datenschutzvereinbarungen so anzupassen, dass diese mit der europ\u00e4ischen Datenschutzgrundverordnung (GDPR, deutsch DSGVO) konform sind. Seit zwei Jahren hat Microsoft das nicht geschafft. M\u00f6glicherweise hat Redmond da kein Interesse dran – der Markt ist f\u00fcr diese Produkte ja noch nicht zu.<\/p>\n

Ich sch\u00e4tze, die deutsche IT-Landschaft in Beh\u00f6rden und Firmen l\u00e4uft sehenden Auges in ein Problem (in Schulen soll der Einsatz von Office 365 ja auslaufen). Frankreich geht da rigoroser vor. Die Tage hatte ich im Beitrag Kostenloses Microsoft 365 und Google Workspace an Frankreichs Schulen verboten<\/a> berichtet, dass Frankreich den Einsatz in Schulen und Beh\u00f6rden (wegen der Cloud-Anbindung) verbietet.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nSafe Harbor: EuGH erkl\u00e4rt Abkommen f\u00fcr ung\u00fcltig<\/a>
\nEuGH kippt EU-US-Datenschutzvereinbarung \"Privacy Shield\"<\/a>
\nKeine Karenzfrist f\u00fcr Unternehmen nach Privacy Shield-EU-Urteil<\/a>
\nDatensch\u00fctzer plant durchgreifen bei Privacy Shield-Verst\u00f6\u00dfen<\/a>
\nVorl\u00e4ufige Einigung zwischen EU und USA im Trans-Atlantic Data Privacy Framework<\/a>
\nUS-Pr\u00e4sident Biden bringt Datenschutzabkommen \"Privacy Shield 2.0\" auf den Weg<\/a>
\nEU-Kommission f\u00e4llt vorl\u00e4ufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework<\/a><\/p>\n

Zoom & Teams nicht DSGVO-konform einsetzbar<\/a>
\n\u00c4rger um Berliner Datenschutzpr\u00fcfung von Videokonferenzsoftware<\/a>
\nHamburgs Senatskanzlei von Datenschutzbeauftragten wegen Zoom-Einsatz formal \"gewarnt\"<\/a>
\nRheinland-Pfalz: Aus f\u00fcr MS Teams an Schulen ab kommendem Schuljahr<\/a>
\nZoom an Hessischen Hochschulen f\u00fcr Lehrveranstaltungen zul\u00e4ssig<\/a>
\nNiederlande: Datenschutzbedenken gegen Chrome\/ChromeOS in Schulen<\/a>
\nDatenschutz: Microsoft 365 muss ab Sommer 2022 in Baden-W\u00fcrttembergs Schulen ersetzt worden sein<\/a>
\nMicrosoft 365 an Schulen, Baden-W\u00fcrttembergs Datensch\u00fctzer sagt Nein<\/a>
\nBayern: Versagen bei Digitalisierung an Schulen \u2013 der Datenschutz hat Schuld<\/a>
\nDatenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform<\/a>
\nNachbetrachtung zur DSK-Einstufung \"Microsoft 365 weiterhin nicht datenschutzkonform\"<\/a>
\nMS 365 DSGVO-Konformit\u00e4t: Merkw\u00fcrdiger \"Meinungsartikel\" bei heise<\/a>
\nEU-Kommission f\u00e4llt vorl\u00e4ufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Der Einsatz von Microsoft 365 (inklusive Office 365) ist weiterhin nicht mit dem europ\u00e4ischen Datenschutz konform. Wer das Produkt verwendet, handelt datenschutzwidrig – zumindest, was die von Microsoft vorgegebene Standardkonfiguration betrifft. Trotz Nachbesserungen ist es Microsoft bisher nicht gelungen, die … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,270,426],"tags":[451,7377],"class_list":["post-275485","post","type-post","status-publish","format-standard","hentry","category-cloud","category-office","category-sicherheit","tag-datenschutz","tag-microsoft-365"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/275485","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=275485"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/275485\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=275485"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=275485"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=275485"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}