{"id":275711,"date":"2022-12-06T08:51:33","date_gmt":"2022-12-06T07:51:33","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=275711"},"modified":"2022-12-06T11:19:42","modified_gmt":"2022-12-06T10:19:42","slug":"microsoft-365-und-der-datenschutz-wie-geht-es-weiter","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/12\/06\/microsoft-365-und-der-datenschutz-wie-geht-es-weiter\/","title":{"rendered":"Microsoft 365 und der Datenschutz, wie geht es weiter?"},"content":{"rendered":"

Seit die Datenschutzkonferenz (DSK) Microsoft 365 als nicht DSGVO-konform eingestuft hat, ist die Unsicherheit gro\u00df. Firmen, Beh\u00f6rden, Schulen, die auf Office 365 oder Microsoft 365 setzen, handeln dem Beschluss der DSK nach (vermutlich) datenschutzwidrig. Microsoft hat eine eigene Stellungnahme herausgegeben und Juristen bringen sich in Stellung, um den DSGVO-konformen Einsatz zu begr\u00fcnden. Der Th\u00fcringer Datenschutzbeauftragte Lutz Hasse will jetzt mit Firmen \u00fcber dieses Thema reden – am Ende des Prozesses k\u00f6nnte ein Verbot drohen. Hier ein kleiner Abriss, um was es geht, wo wir stehen, und wie es weiter gehen k\u00f6nnte.<\/p>\n

<\/p>\n

Der DSK-Beschluss zu MS 365<\/h2>\n

\"\"Die Datenschutzkonferenz (DSK<\/a>) ist die Konferenz der unabh\u00e4ngigen Datenschutzbeh\u00f6rden des Bundes und der L\u00e4nder in Deutschland. Und dieses Gremium hat Ende November 2022 den Beschluss gefasst, dass Microsoft 365 nicht  DSGVO-konform zu betreiben ist. Grund sei, dass von den f\u00fcr Datenschutz Verantwortlichen die notwendige Transparenz \u00fcber die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung f\u00fcr Microsofts eigene Zwecke nicht hergestellt und deren Rechtm\u00e4\u00dfigkeit nicht belegt werden kann. <\/p>\n

Das ist das schn\u00f6de Ergebnis von Gespr\u00e4chen der Datenschutzbeauftragten mit Vertretern Microsofts, die seit 2020 gef\u00fchrt wurden. Trotz Nachbesserungen seitens Microsoft ist die geforderte Transparenz in der Verarbeitung personenbezogener Daten durch Microsoft 365 nicht gegeben, so das Urteil der Datensch\u00fctzer. Ich hatte im Blog-Beitrag Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform<\/a> \u00fcber diesen Vorgang berichtet und auch einige Aussagen vom deutschen Datenschutzbeauftragten, Ulrich Kelber, diesbez\u00fcglich aufgegriffen. <\/p>\n

Hatte zu einigen Reaktionen gef\u00fchrt. Ich hatte im Blog-Beitrag Nachbetrachtung zur DSK-Einstufung \"Microsoft 365 weiterhin nicht datenschutzkonform\"<\/a> sowohl die Stellungnahme Microsofts (die die DSGVO erf\u00fcllt sehen) als auch die Beurteilung der Juristen von Reuchlaw zum Thema aufgegriffen. Ich hatte aber auch darauf verwiesen, dass sich beide Parteien auf die Executive Order des US-Pr\u00e4sidenten zum Transatlantic Data Transfer Framework und den erwarteten Angemessenheitsbeschluss der EU-Kommission st\u00fctzen. Der Angemessenheitsbeschluss der EU-Kommission w\u00fcrde den Transfer pers\u00f6nlicher Daten in die USA dann auf rechtlich saubere F\u00fc\u00dfe stellen. Problem ist, dass dieser Konstrukt durch den Europ\u00e4ischen Gerichtshof (EuGH) m\u00f6glicherweise (in meinen Augen sogar wahrscheinlich) als unzul\u00e4ssig gekippt werden k\u00f6nnte. Die beiden Vorg\u00e4ngerabkommen hatten dieses Schicksal – und das gegenw\u00e4rtige Konstrukt hat da, aus Sicht europ\u00e4ischer B\u00fcrger, die gleichen rechtlichen M\u00e4ngel. <\/p>\n

Th\u00fcringens Datensch\u00fctzer will reden<\/h2>\n

Der Th\u00fcringener Landesdatenschutzbeauftragte Lutz Hasse will mit Unternehmerverb\u00e4nden und Beh\u00f6rden \u00fcber die Umsetzung eines Beschlusses der Datenschutzkonferenz zur Office-Software des US-Unternehmens Microsoft sprechen. Der DPA diktierte er \"Dieser Beschluss richtet sich an alle Beh\u00f6rden und alle Unternehmen\" <\/em>und schlie\u00dft als letzte M\u00f6glichkeit nicht aus, dass die Verwendung der Software k\u00fcnftig nicht mehr m\u00f6glich ist.<\/p>\n

<\/p>\n

Die Kollegen von Golem haben das Ganze in diesem Artikel<\/a> aufgegriffen. Hasse will zun\u00e4chst herausfinden, wie stark sie in der Unternehmerschaft verbreitet sei, schreibt Golem. Zudem will der Datenschutzbeauftragte unter anderem mit der Industrie- und Handelskammer \u00fcber die Auswirkungen des Beschlusses sprechen. Die Hauptgesch\u00e4ftsf\u00fchrerin der Industrie- und Handelskammer Erfurt, Cornelia Haase-Lerch wird als besorgt zitiert: Die Produkte von Microsoft 365 sind f\u00fcr die Unternehmen unverzichtbar. Gemeinsam mit der Wirtschaft m\u00fcssen L\u00f6sungen gefunden werden, damit Anwendungen von Microsoft in Deutschland und der Europ\u00e4ischen Union rechtskonform eingesetzt werden k\u00f6nnen. <\/em>In Schulen m\u00fcsste der der Einsatz der Software sogar sofort unterbunden werden.<\/p>\n

Wie geht es weiter?<\/h2>\n

N\u00fcchtern betrachtet hat sich die Branche selbst in diese Schwierigkeiten gebracht, ist das Problem doch seit Jahren in der Diskussion. Die L\u00f6sung hatte ich im Beitrag Nachbetrachtung zur DSK-Einstufung \"Microsoft 365 weiterhin nicht datenschutzkonform\"<\/a> skizziert. Microsoft passt Microsoft 365 so an, dass es DSGVO-konform ist und fertig. Hier zielt das Unternehmen in meinen Augen schlicht auf ein Kr\u00e4ftemessen oder der deutsche Arm kann den US-Konzern nicht \u00fcberzeugen. Erst wenn ein Einsatzverbot in Europa droht, wird sich Microsoft bewegen.<\/p>\n

Interview mit Landesdatensch\u00fctzer Stefan Brink <\/h3>\n

Die Kollegen von Golem haben hier<\/a> das Thema aufgegriffen und beim baden-w\u00fcrttembergischen (BW) Landesdatensch\u00fctzer Stefan Brink nachgefragt. Dieser sieht nun nicht nur Schulen oder \u00f6ffentliche Stellen in der Pflicht. Er sagt, dass die Datensch\u00fctzer jetzt alle Verantwortlichen im Blick habe, auch die Unternehmen. Aussage von Brink: Die Botschaft an die Unternehmen ist, dass sie selbst die Verantwortlichen sind und dass sie als Verantwortlicher selbst die Datenschutzkonformit\u00e4t ihrer Prozesse nicht nur sicherstellen, sondern auch nach Artikel 5 Abs. 2 DSGVO nachweisen m\u00fcssen. Dieser Nachweis kann nicht allein durch Bezugnahme auf Unterlagen von Microsoft gef\u00fchrt werden, sondern die Verantwortlichen m\u00fcssen sich selbst von der Rechtskonformit\u00e4t aller Verarbeitungen \u00fcberzeugen und gegebenenfalls auch weitergehende Ermittlungen dazu anstellen.<\/em><\/p>\n

Sein Fazit lautet, dass die Ergebnisse der DSK absehbar waren und keiner \u00fcberrascht sein k\u00f6nne. Solange der Angemessenheitsbeschluss nichts rechtswirksam ist und h\u00e4lt, oder Microsoft nachbessert, bleibt das Ganze nicht datenschutzkonform bzw. der Nachweis kann nicht erbracht werden. Zitat: \"…wird es nochmal weitere Rechtsfragen geben, die zu kl\u00e4ren sind. So gibt es bestimmte rechtliche Bestimmungen in den USA, denen Microsoft teilweise unterliegt, wonach sie Daten auch dann an US-Beh\u00f6rden rausr\u00fccken m\u00fcssen, wenn sie ausschlie\u00dflich in Europa verarbeitet werden. Es wird daher noch weitere Schritte von Microsoft geben m\u00fcssen, wenn sie den europ\u00e4ischen Markt nicht verlieren wollen. Aber ich bin guter Dinge, dass diese positive Entwicklung bei US-Dienstleistern hin zu europ\u00e4ischen Standards noch erheblich weitergeht.\"<\/em><\/p>\n

Die Einsch\u00e4tzung des Datenschutzbeauftragten f\u00fcr BW ist, dass es jetzt ein unterschiedliches Vorgehen in den L\u00e4ndern und beim Bund geben werde. Dazu hei\u00dft es von Herrn Brink: Einige [L\u00e4nder] werden sich an Unternehmen wenden, andere an \u00f6ffentliche Stellen. Andere werden wahrscheinlich zun\u00e4chst mal nur Gespr\u00e4che suchen ohne konkrete Ma\u00dfnahmen, andere warten auf Beschwerden von Betroffenen. Was konkret getan wird, h\u00e4ngt auch ganz stark mit der Ausstattungslage zusammen und mit der Frage: Wer marschiert voran, wer marschiert hinterher?<\/em> <\/p>\n

In BW will sich der Datenschutzbeauftragte zun\u00e4chst um \u00f6ffentliche Stellen k\u00fcmmern. Sobald das abgearbeitet wurde und Erfahrungen vorliegen, kommen die Unternehmen dran – salopp gesprochen. Wie \"gehen sie weiter, es ist nichts zu sehen\", wie auch in nachstehendem Kommentar angedeutet,  sieht mir das nicht gerade aus. Vor allem die nachfolgende Aussage sollten sich Unternehmen durchlesen: Erreichen uns Aufsichtsbeh\u00f6rden konkrete Beschwerden, so kann dies nat\u00fcrlich auch Anlass zu Pr\u00fcfungen sein. Aber auch hier m\u00fcssen wir realistisch bleiben: Wir werden nicht alle Beschwerden gleichzeitig bearbeiten k\u00f6nnen, auch da m\u00fcssen wir priorisieren. Aber: Beschwerden setzen nat\u00fcrlich die Aufsichtsbeh\u00f6rde in Gang, kein Zweifel.<\/em><\/p>\n

Abschlie\u00dfende Gedanken<\/h3>\n

Ich betrachte das Thema ja als au\u00dfenstehender Beobachter, der nicht f\u00fcr den Einsatz von Microsoft 365 in Unternehmen verantwortlich zeichnet. Aber es ersch\u00fcttert schon, einige Reaktionen zu beobachten. Dieses gespielte Erstaunen in Beh\u00f6rden und Unternehmen, dass Datenschutzbeauftragte der L\u00e4nder pl\u00f6tzlich Ernst machen und konkret nachfragen k\u00f6nnten, wie ein Verantwortlicher den DSGVO-gem\u00e4\u00dfen Einsatz von Microsoft 365 nachweist. Irgendwie kommt mir vieles wie \"Vogel-Strau\u00df-Politik\" vor, Kopf in den Sand stecken und hoffen, dass es gut geht. Wahlweise wird die Alternativlosigkeit des Einsatzes betont. <\/p>\n

Auf Twitter ist mir heute ein Link auf diesen Artikel<\/a> untergekommen, in dem den Datenschutzbeauftragten der L\u00e4nder \"ein ideologischer Streit auf dem R\u00fccken der Schulen\" unterstellt wird. Laut dieser Seite<\/a> wird die Plattform News4teachers von einer Redaktion aus Lehrern und Journalisten betrieben. Gem\u00e4\u00df eigener Aussage ist News4teachers eine Nachrichten- und Diskussionsseite, die sich \"seri\u00f6se Berichte, Analysen und Kommentaren\" auf die Fahnen schreibt und sich an p\u00e4dagogische Profis und die an Bildungsthemen interessierte \u00d6ffentlichkeit richtet. Ich spitze als Blogger zwar schon mal zu. Wenn ich einen solchen Artikel hier im Blog rausgehauen h\u00e4tte, w\u00e4re mir aber mit Recht Einseitigkeit und Hetze vorgeworfen worden. <\/p>\n

Erstaunt haben mich zudem zwei Kommentare auf Facebook aus IT-Gruppen wo mir jemand bez\u00fcglich des Artikels Nachbetrachtung zur DSK-Einstufung \"Microsoft 365 weiterhin nicht datenschutzkonform\"<\/a> \"Lobbyismus gegen Microsoft\" vorwirft – irgendwie f\u00fchlte ich mich geadelt – und ein weiterer Kommentator eine neutrale Berichterstattung forderte. In beiden Kommentaren (auch der Gruppe der IT-Dienstleister und Administratoren) lese ich heraus, dass die Datensch\u00fctzer nur ein l\u00e4stiges Anh\u00e4ngsel seien, dass ignoriert und zur\u00fcckgepfiffen geh\u00f6rt. L\u00e4uft es auf \"kann nicht wahr sein, das mit dem Datenschutz, weil es nicht wahr sein darf\" hinaus?<\/p>\n

Im gestrigen Artikel Vernichtendes Urteil an elektronischer Patientenakte auf Freie \u00c4rzteschaft (FA) Kongress (3.12.2022)<\/a> ist mir ein Satz besonders im Kopf von der Vertreterin der Freie \u00c4rzteschaft, Silke L\u00fcder, h\u00e4ngen geblieben: \"Dass nur noch staatliche Datensch\u00fctzer die \u00c4rzte vor einem vollst\u00e4ndigen Verlust Schweigepflicht und des informationellen Selbstbestimmungsrecht bewahre.\" Das sollte doch Ansporn sein, die staatlichen Datenschutzbeauftragten zu st\u00fctzen und \u00fcber die Themen zu berichten – und der Stachel im Fleisch zu sein. <\/p>\n

Ich formuliere es mal so: Es bleibt noch viel zu tun, bis diese Kuh vom Eis ist und ich f\u00fcrchte, dass einige Beh\u00f6rden sowie Firmen bluten m\u00fcssen – es sei denn, Microsoft (und andere US-Konzerne) stimmen ihre Produkte endlich auf die DSGVO ab (aber das w\u00e4re ja zu einfach). Es bleibt spannend zu beobachten, wie die Datenschutzaufsicht vorgeht, und wie der EuGH mit einem erwarteten Angemessenheitsbeschluss umgeht. <\/p>\n

Eigentlich w\u00e4re es ja ganz lustig, dem zuzusehen, wenn es nicht um unsere Daten gehen w\u00fcrde, und da wird es nach meiner Beobachtung f\u00fcr viele Leute schon sehr ernst. Mal schauen, wenn erste Beschwerden gegen Firmen wegen der Verarbeitung von pers\u00f6nlichen Daten mit Abfluss in die Cloud durch MS 365 eintrudeln. <\/p>\n

\u00c4hnliche Artikel:<\/strong>
Safe Harbor: EuGH erkl\u00e4rt Abkommen f\u00fcr ung\u00fcltig<\/a>
EuGH kippt EU-US-Datenschutzvereinbarung \"Privacy Shield\"<\/a>
Keine Karenzfrist f\u00fcr Unternehmen nach Privacy Shield-EU-Urteil<\/a>
Datensch\u00fctzer plant durchgreifen bei Privacy Shield-Verst\u00f6\u00dfen<\/a>
Vorl\u00e4ufige Einigung zwischen EU und USA im Trans-Atlantic Data Privacy Framework<\/a>
US-Pr\u00e4sident Biden bringt Datenschutzabkommen \"Privacy Shield 2.0\" auf den Weg<\/a>
Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht Datenschutzkonform<\/a>
Microsoft 365 an Schulen, Baden-W\u00fcrttembergs Datensch\u00fctzer sagt Nein<\/a>
Vier Jahre DSGVO: Baustelle statt gro\u00dfer Wurf<\/a>
DSGVO, Microsoft Office und die Datenschutzprobleme<\/a>
Privacy: Microsoft steht mit Windows 10\/Office 365 unter Druck<\/a>
Microsoft will Office Pro Plus DSGVO-konform nachbessern<\/a>
Microsoft Office spioniert Nutzer aus, kollidiert mit DSGVO<\/a>
Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform<\/a>
Nachbetrachtung zur DSK-Einstufung \"Microsoft 365 weiterhin nicht datenschutzkonform\"<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Seit die Datenschutzkonferenz (DSK) Microsoft 365 als nicht DSGVO-konform eingestuft hat, ist die Unsicherheit gro\u00df. Firmen, Beh\u00f6rden, Schulen, die auf Office 365 oder Microsoft 365 setzen, handeln dem Beschluss der DSK nach (vermutlich) datenschutzwidrig. Microsoft hat eine eigene Stellungnahme herausgegeben … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[451,7377],"class_list":["post-275711","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-datenschutz","tag-microsoft-365"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/275711","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=275711"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/275711\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=275711"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=275711"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=275711"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}