Datenschutz
Jede Firma, die Microsoft 365 einführen will, muss sich auch mit dem Thema "Datenschutz in der Cloud" auseinandersetzen. Mit dieser Seite versuche ich aus IT-Sicht das Thema aufzubereiten:
Diese Seite ist keine Rechtsberatung oder gesichertes Wissen sondern eine technische Beschreibung der Problemstellung mit vielen Links zu anderen Quellen.
Schon die unterschiedlichen Einschätzungen der verlinkten Artikel zeigt sehr schnell, dass es bei dem Thema aktuell keine zuverlässige Aussage geben kann, solange weder hohe Gerichte noch Gesetzgeber klare Antworten liefern.
Siehe dazu auch KI/Copilot und Datenschutz
Einführung
Der Schutz privater Informationen und insbesondere personenbezogener Daten wird angeblich besonders in Deutschland sehr hoch gehalten. Das ist im Grunde auch gut, wenn die gleichen Maßstäbe für alle datenverarbeitenden Instanzen gelten würden. Das Internet ist aber international und wir wissen alle, dass Sie bei den meisten "kostenfreien Apps und Webseiten" mit ihren "Daten" bezahlen. Glauben Sie nicht, dass ihre Nutzung von Facebook, Google, Twitter, TikTok, Netflix oder sogar die Nutzung von Fernsehern mit HbbTV-Funktion ohne Tracking erfolgt?
Gehen Sie davon aus, das solange ein Gerät in ihrem Haushalt authentifiziert auf einen Dienst zugreift und der Service damit eine Verbindung von der Person zur einer IP-Adresse herstellen kann, dieses Wissen auch zu Geld gemacht wird. Sichtbar ist dies z.B. an der Veränderung der Werbeeinblendung abhängig vom in ihren vergangenen Käufen oder Suchanfragen. Denken Sie an den Spruch "There is no free lunch" und selbst wenn etwas auf den ersten Blick kostenfrei ist, zahlen Sie mit ihren Daten.
Microsoft 365 ist aber nicht kostenfrei, denn als Firma schließen Sie einen Vertrag ab, in welchem die Pflichten und Rechte des Lieferanten (Service Descriptions, Product Usage Rights, SLAs) und ihre Pflichten und Rechte (z.B. Zahlung)festgelegt sind. Das ist aber noch keine Garantie, dass der Anbieter auch einen zum Datenschutz verträglichen Dienste anbieten kann. Dafür müssen Sie immer eine Datenfolgeabschätzung durchführen.
Datentöpfe
Ein wesentlicher Aspekt sind dabei die gespeicherten und verarbeitete Daten, die sie irgendwie beim Dienstleister ablegen. Ich versuche mich an einer Einordnung:
- Identitäten und Zugangsdaten
Fast alle Zugriffe auf Daten in der Microsoft Cloud erfolgen authentifiziert. Microsoft benötigt also zumindest einen Anmeldenamen und eine Möglichkeit zur Verifikation der Anmeldung. Der Anmeldename ist meist mit der Mailadresse identisch und damit "kennt" Microsoft quasi ihre Mitarbeiter und über die Gruppen und Manager auch die Zugehörigkeit und Hierarchie. Mit ADFS-Federation verhindern Sie komplett dass Microsoft ihre Credentials sieht. Mit PTA prüft der lokale DC die Daten und mit PHS werden die Hashwerte der Kennworte in die Cloud synchronisiert.
Wenn Sie hier schon ein Problem sehen, dann brauchen Sie erst gar nicht daran denken, auch Daten in die Cloud abzulegen - Zugriffsprotokolle
Die Aktivitäten der authentifizierten Benutzer werden natürlich auch meist 30 Tage protokolliert. Dies hilft ihnen beim Betrieb zur Fehlersuche und Missbrauchserkennung aber es sind natürlich auch Daten - Eigene Dateien
Ein Teil der Nutzdaten in der Cloud sind von ihnen selbst geschaffene Daten, die aber noch nichts mit Kunden zu tun haben, z.B. interne Arbeitsabläufe, Personalverwaltung etc. Für diese Informationen ist natürlich eine Risikoabschätzung vorzunehmen. - Kundendaten
Das gilt noch umso mehr für die Verarbeitung und Speicherung von Kundendaten in der Cloud. Der Kunde "weiß" nicht automatisch, dass Informationen über ihn durch ihre Firma in einer Cloud abgelegt werden. Beachten Sie hier die Informationspflichten und ggfls. muss der Kunde sogar zustimmen. - "InTransit" Daten
Neben "gespeicherten" Daten gibt es auch flüchtige Informationen, die über die Infrastruktur der Cloud gehen. Das kann der Mailtransport über Exchange Online Protection sein, obwohl das Postfach weiter On-Premises liegt. Aber auch Audio/Video-Daten in Microsoft Teams werden über die Cloud zu den Teilnehmern verteilt aber ohne Aufzeichnung nicht dauerhaft gespeichert. Dennoch könnte Microsoft natürlich diese Daten aufzeichnen oder mitschneiden. - Sonderfälle
Noch ein Punkt sind besonders zu schützende Personen, die nicht nur Kunde oder Mitarbeiter sind. Dazu zählen u.a. minderjährige Auszubildende oder Schüler, die z.B. keine Wahl haben, wenn die Schule einen Cloud-Service nutzt. Aber auch besonders sensible Daten eines Krankenhauses, einer Versicherung oder Bank ist gesondert zu betrachten und VSNfD/Geheim-Dokumente von Ministerien, Justiz, Forschung, Militär werden wohl besser nicht in eine Cloud abgelegt. Auch Daten aus der eigenen Forschungsabteilung und andere Kronjuwelen einer Firma sind gesondert zu betrachten.
Denken Sie auch daran, dass es nicht immer nur die "böse Microsoft" oder die US-Geheimdienste sind, die vielleicht Zugriff begehren. Es gibt durchaus Umgebungen, die sehr genau bei der Cloud hinschauen aber für die lokale IT deutlich schwächere Maßstäbe anlegen. Wenn Sie einen Microsoft 365 Tenant sicher konfiguriert haben (Starten Sie bei Checkliste Tenant Einrichtung), dann sind die Daten in der Cloud meist deutlich besser geschützt, als lokale Server. Das ist aber für das Thema "Datenschutz" und "Datenschutzfolgeabschätzung" mit dem Blick auf Microsoft 365 kein Freibrief für die Cloud, nur weil es lokal noch unsicherer sein könnte.
Zwischenstand
Ich werde ihnen keine Baupause für das Thema Datenschutz mit Microsoft 365 liefern. Das streifen sich viel mehr Richter, Anwälte, Datenschutzbeauftrage vor unterschiedlichsten Gerichten und letztlich verändern sich die Randbedingungen kontinuierlich. Daher kann ich für sie und mich nur Links zu verschiedenen Quellen sammeln, um sich ein eigenes Bild zu schaffen. Es gibt Anwälte, die sich hier weiter aus dem Fenster lehnen.
Ausgehend von unserer rechtlichen Analyse, einem intensiven
Austausch mit Microsoft und den Datenschutzaufsichtsbehörden ist ein
datenschutzkonformer Einsatz von Microsoft 365 möglich. Der ungeprüfte oder
undokumentierte Einsatz von Microsoft 365 ist jedoch ein Risiko für Unternehmen
und kann Bußgelder und Schadensersatzklagen zur Folge haben.
Quelle: DatenschutzCompliance bei Microsoft 365
https://www.reuschlaw.de/wp-content/uploads/2022/09/220831-reuschlaw-Onepager-CS-365-Microsoft.pdf
Allerdings gibt es natürlich auch das ein wirtschaftliches und werbliches Interesse solcher Aussagen. Am Ende wird es ein Gericht entscheiden, was Kläger und Verteidigung auffahren und wie letztlich ein Richter darüber richtet. Viele Gutachten großer Anwaltskanzleien und de verschiedenen Prüfinstitute machen viel her aber die Urteile Schrems 1 und Schrems 2 zeigen, dass quasi auch David Erfolge vorweisen kann,
BAFIN, KRITIS, VSNfD
Besondere Betrachtungen gelten für Umgebungen, die z.B. von der BAFIN überwacht werden (Banken, Versicherungen etc.) oder zu kritischen Infrastrukturen zählen (Energie, Logistik, Health etc.) oder Verschlusssachen bearbeiten (Verteidigung, Rüstung, Geheimdienste u.a.).
- „Doch, die BaFin erlaubt das!“
https://www.bafin.de/ref/19711506
https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Fachartikel/2024/fa_bj_2402_Interview_Kosche_Steinbrecher_Kleinknecht_Dennert.html - BaFin veröffentlicht Aufsichtsmitteilung zu Auslagerungen an Cloud-Anbieter
https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Meldung/2024/meldung_2024_02_01_Cloud_Anbieter.html - Aufsichtsmitteilung zu Auslagerungen an Cloud-Anbieter
https://www.bafin.de/SharedDocs/Downloads/DE/Anlage/Aufsichtsmitteilung/dl_aufsichtsmitteilung_2024_02_01_Auslagerungen_Cloud_Anbieter.html?nn=19659504 - Aufsichtsmitteilung zu Auslagerungen an Cloud-Anbieter: Alle Änderungen
gegenüber der Orientierungshilfe vom November 2018
https://www.bafin.de/SharedDocs/Downloads/DE/Anlage/Aufsichtsmitteilung/dl_2024_02_01_Aenderung_Orientierungshilfe_Cloud.html?nn=19659504
Schulen
Auch Schulung und Bildungseinrichtungen sind hier besonders, denn Schüler sind oft minderjährig und die "Schulpflicht" zwingt quasi zur Nutzung der gestellten Plattform.
Prüfen Sie auf jeden Fall, ob ihre Umgebung neben den allgemeinen Datenschutz-Belangen noch besondere Randbedingungen zu beachten gilt
-
Teams Datenschutz
Teams, Schulen, Cloud, DSGVO, Datenschutz - Wie geht das zusammen ? - Teams für Schulen
- https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Meldung/2018/meldung_181108_orientierungshilfe_cloud_anbieter.html
- https://www.bafin.de/SharedDocs/Downloads/DE/Merkblatt/BA/dl_181108_orientierungshilfe_zu_auslagerungen_an_cloud_anbieter_ba.pdf;jsessionid=6988F531D32BE07DC3FCE92A14A65ECE.2_cid501?__blob=publicationFile&v=4
- Datenschutz im Schulbereich (NRW)
https://www.schulministerium.nrw.de/docs/Recht/Datenschutz/index.html
§§ 120 bis 122 Schulgesetz - Stellungnahme des Hessischen
Beauftragten für Datenschutz und
Informationsfreiheit zum Einsatz von
Microsoft Office 365 in hessischen Schulen
https://datenschutz.hessen.de/pressemitteilungen/stellungnahme-des-hessischen-beauftragten-f%C3%BCr-datenschutz-und
Nur der hessische Datenschutz hat sich bislang zu Nutzung in Schulen geäußert. Die Aussage betrifft aber alle Cloud-Dienste - Bericht über angebliche Untersagung des
Schulunterrichts per Skype durch den HmbBfDI
ist eine Falschmeldung
https://datenschutz-hamburg.de/pressemitteilungen/2020/03/2020-03-26-falschmeldung-skype - Bayern: Neues Kommunikationswerkzeug
Microsoft Teams für bayerische Schulen
https://www.otv.de/bayern-neues-kommunikationswerkzeg-microsoft-teams-fuer-bayerische-schulen-431320/ - Best Practice in Corona-Zeiten: IBB
Ganztagsgrundschule Dresden
https://cloudblogs.microsoft.com/industry-blog/de-de/education/2020/05/12/best-practice-in-corona-zeiten-ibb-ganztagsgrundschule-dresden/ - CIO Bund: Microsoft-Konditionenverträge
https://www.cio.bund.de/Webs/CIO/DE/digitale-loesungen/it-beschaffung/microsoft-konditionenvertraege/microsoft-konditionenvertraege-node.html
Eventuell müssen Sie zur Datenschutzbetrachtung und Datenschutzfolgeabschätzung auch noch eine Risiko-Analyse machen.
Links von Microsoft
Microsoft behauptet natürlich, dass ihr Produkt alle Anforderungen erfüllt und auch die US-Geheimdienste keinen Zugriff hätten. Allerdings hat auch Microsoft die letzten Jahre ihre Dokumente immer weiter aktualisiert. Ob das immer nur juristische Umformulierungen waren oder im Hintergrund tatsächlich Änderungen den Schutz verbessert haben, kann ich nicht beweisen.
- Liste der eingesetzten Unterauftragsverarbeiter
https://servicetrust.microsoft.com/DocumentPage/6471c92a-d274-4188-914a-033aa3efb296
Azure IT-Grundschutz
https://news.microsoft.com/wp-content/uploads/prod/sites/40/2023/03/Azure_IT-Grundschutz_Workbook_DE.pdf
https://news.microsoft.com/wp-content/uploads/prod/sites/40/2023/03/Azure_IT-Grundschutz_Workbook_EN.pdf
Dynamics 365
https://news.microsoft.com/wp-content/uploads/prod/sites/40/2023/03/Dynamics-365_IT-Grundschutz_DE.pdf
https://news.microsoft.com/wp-content/uploads/prod/sites/40/2023/03/Dynamics-365_IT-Grundschutz_EN.pdf
Office 365
https://news.microsoft.com/wp-content/uploads/prod/sites/40/2023/03/Office365_IT-Grundschutz_Workbook_DE.pdf
https://news.microsoft.com/wp-content/uploads/prod/sites/40/2023/03/Office365_IT-Grundschutz_Workbook_EN.pdf
Ergänzend gibt es Fachartikel und Meinungen dazu:
- Products and Services Data Protection Addendum (DPA)
https://www.reuschlaw.de/news/datenschutz-bei-ms-365/ - EU Data Boundary for the Microsoft Cloud
https://www.reuschlaw.de/news/microsoft-365-mehr-datenschutz-durch-das-eu-data-boundary/
Ich denke mir halt auch, dass ein staatlicher Angreifer auch eine On-Premises-Umgebung kompromittieren kann und Microsoft wohl seine Kunden und den Datenschutz mit allen Möglichkeiten verteidigt, da letztlich ihr wirtschaftlicher Erfolg davon abhängt. Das Risiko wäre einfach hoch, dass ein nicht legitimer Zugriff doch bekannt wird und der wirtschaftlicher Schaden immens wäre.
Dokumente anderer Stellen
Auch diverse staatliche Stellen veröffentlichen immer wieder Meldungen, Vorträge und Fachartikel zur Nutzung von Microsoft 365.
- BSI IT Grundschutz
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html - IT Kompendium
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/IT-Grundschutz-Kompendium/it-grundschutz-kompendium_node.html - Stellungnahme zu Microsoft 365
https://www.datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365_zusammenfassung.pdf - Festlegung der Datenschutzkonferenz
https://datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365.pdf - Abschlussbericht der Arbeitsgruppe DSK
„Microsoft-Onlinedienste“
https://datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365_abschlussbericht.pdf - Dienstvereinbarung über die Nutzung der Software Microsoft
Teams bei den Gerichten und Staatsanwaltschaften im
Geschäftsbereich des Bayerischen Staatsministeriums der Justiz
https://www.gesetze-bayern.de/Content/Document/BayVV_2003_4_J_12599 - Das Schrems II-Urteil des Europäischen Gerichtshofs und
seine Bedeutung für Datentransfers in Drittländer
https://lfd.niedersachsen.de/startseite/themen/internationaler_datenverkehr/das_schrems_ii_urteil_des_eugh_und_seine_bedeutung_fur_datentransfers_in_drittlander/das-schrems-ii-urteil-des-europaischen-gerichtshofs-und-seine-bedeutung-fur-datentransfers-in-drittlander-194085.html - Praktische Auswirkungen der Rechtsprechung des EuGH auf den
internationalen Datentransfer (Rechtssache C-311/18 „Schrems
II“)
https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Europa-Internationales/Auswirkungen-Schrems-II-Urteil.html
Datenschutz in Zeiten von MS Teams, Videoverhandlungen & Home
Office
https://www.justiz.bayern.de/media/pdf/veranstaltungen/datenschutz_in_zeiten_von_ms_teams__videoverhandlungen___home_office.pdf
- Public DPIA Teams OneDrive SharePoint and Azure AD
https://www.rijksoverheid.nl/documenten/publicaties/2022/02/21/public-dpia-teams-onedrive-sharepoint-and-azure-ad - Public DPIA Teams OneDrive SharePoint and Azure AD
https://open.overheid.nl/repository/ronl-06f045ed745d9540ec4262a6079e8e73ad262a43/1/pdf/Public%20DPIA%20Teams%20OneDrive%20SharePoint%20and%20Azure%20AD%2016%20Feb%202022.pdf
Links zum Datenschutz bei Microsoft 365
- Datenschutz-Folgenabschätzung zum Einsatz von Microsoft 365
- Kostenlose Vorlage für öffentliche Bildungseinrichtungen
https://www.reuschlaw.de/news/datenschutz-folgenabschaetzung-zum-einsatz-von-microsoft-365/ - Update: Mehr Datenschutz bei Microsoft 365
https://www.reuschlaw.de/news/datenschutz-folgenabschaetzung-zum-einsatz-von-microsoft-365/
https://www.reuschlaw.de/news/update-mehr-datenschutz-bei-microsoft-365/ - 5 Tipps für den datenschutzkonformen Einsatz von Microsoft
365 durch öffentliche Stellen
https://www.reuschlaw.de/news/5-tipps-fuer-den-datenschutzkonformen-einsatz-von-microsoft-365-durch-oeffentliche-stellen/ - Kein hohes Datenschutzrisiko bei Microsoft 365: Wichtiges
Urteil des LAG Rheinland-Pfalz zur Notwendigkeit von
Datenschutz-Folgenabschätzungen
https://www.linkedin.com/pulse/kein-hohes-datenschutzrisiko-bei-microsoft-365-wichtiges-hessel/
Kritisch sehen Datenschützer auch den
Messenger-Dienst der landesweiten Lernplattform Logineo NRW.
Im August eingeführt, verspricht er laut Landesregierung
eine „einfache, schnelle und sichere digitale Kommunikation“
zwischen Lehrern und Schülern. Über 1200 Schulen nutzen das
kostenfreie Angebot bereits. Betreut wird es aber vom
Subunternehmen Amazon Web Services (AWS) – einer
Tochterfirma des US-Internetriesen mit Sitz in Luxemburg.
Demnach unterliegt der AWS dem Cloud Act: Ein Gesetz, das es
US-Behörden erlaubt, auf personenbezogene Daten im Internet
zuzugreifen, also auch auf sensible Schülerdaten wie Noten.
Quelle: Westfalenblatt Nr. 287 vom 8. Dez 2020, Bereich
OWL/NRW,
Zitiert aus der Antwort der Landesregierung NRW auf eine
Anfrage der Grünen-Fraktion. Drucksache 17/11713
https://www.landtag.nrw.de/portal/WWW/dokumentenarchiv/Dokument/MMD17-11713.pdf
Die Landesregierung hat dabei keine Bedenken hinsichtlich des Datenschutzes: „Das Risiko einer Herausgabe von Daten nach dem Cloud-Act würde überhaupt nur dann bestehen, wenn gegen Nutzende des Messenger ein Ermittlungsverfahren einer amerikanischen Strafverfolgungsbehörde eröffnet worden ist.“ Zudem verweist die Regierung auf AWS-Referenzprojekte: die Deutsche Bahn, Europol und die TU München.
Quelle: Westfalenblatt Nr. 287 vom 8. Dez 2020, Bereich
OWL/NRW,
Zitiert aus der Antwort der Landesregierung NRW auf eine
Anfrage der Grünen-Fraktion. Drucksache 17/11713
https://www.landtag.nrw.de/portal/WWW/dokumentenarchiv/Dokument/MMD17-11713.pdf
- Datenschutz RLP: FAQs zu Microsoft
Office 365
https://www.datenschutz.rlp.de/de/themenfelder-themen/microsoft-office-365/ - Bewertungen und Empfehlungen des LfDI zu
Office 365 an Schulen
https://fragdenstaat.de/anfrage/bewertungen-und-empfehlungen-des-lfdi-zu-office-365-an-schulen/
https://fragdenstaat.de/dokumente/118410-2021-04-23_empfehlung_lfdi/
Schade, dass solche Informationen nicht aktiv vom LfDI veröffentlicht werden sondern man sie erst "anfordern" muss. - #DSGVO wirkt: Microsoft passt sich
europäischem Datenschutz an
https://www.baden-wuerttemberg.datenschutz.de/dsgvowirkt/ - Microsoft’s Unwavering Commitment to
Digital Safety
https://blogs.microsoft.com/eupolicy/2020/12/21/microsoft-commitment-to-digital-safety/ - Datenschutzbehörden stimmen Bewertung
„Microsoft Office365 sei nicht
datenschutzgerecht einsetzbar“ mehrheitlich
zu | Ist damit der Einsatz von Office365 in
jedem Fall klar rechtswidrig? Spoiler: Nein.
https://diercks-digital-recht.de/2020/10/datenschutzbehoerden-stimmen-bewertung-microsoft-office365-sei-nicht-datenschutzgerecht-einsetzbar-mehrheitlich-zu-ist-damit-der-einsatz-von-office365-in-jedem-fall-klar-rechtswidrig-spoiler-n/ - Anlage 1 Beschluss der Konferenz der
unabhängigen Datenschutzaufsichtsbehörden
des Bundes und der Länder
Datenschutzrechtliche Bewertung der Auftragsverarbeitung bei Microsoft Office 365
https://fragdenstaat.de/dokumente/7571-beschlussentwurf/ - Handreichung zur Nutzung von Office 365
an Schulen
https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE3Hbby - Microsoft: (6. Mai 2021) Unsere Antwort
an Europa: Microsoft ermöglicht Speicherung
und Verarbeitung von Daten ausschließlich in
der EU
Deutsche Übersetzung https://news.microsoft.com/de-de/unsere-antwort-an-europa-microsoft-ermoeglicht-speicherung-und-verarbeitung-von-daten-ausschliesslich-in-der-eu/
Original: https://blogs.microsoft.com/eupolicy/2021/05/06/eu-data-boundary/ -
Äußerungen der Landesdatenschutzbehörden zu
den Neuerungen von Microsoft
https://www.rakoellner.de/2020/11/aeusserungen-der-landesdatenschutzbehoerden-zu-den-neuerungen-von-microsoft/
Vorträge auf der 2020 RC3
Ein Jahr cyber4EDU: Rückblick und der Versuch eines
Ausblicks (Steini & Michael Merz)
https://media.ccc.de/v/rc3-189237-cyber4edu_infra_run
Digitales Klassenzimmer so geht freie Schulsoftware (Jessica
Wawrzyniak)
https://media.ccc.de/v/rc3-11591-digitales_klassenzimmer
Geplante Einführung MS365 an Schulen in BaWü (Leibi and Inga
Klas)
https://media.ccc.de/v/cccs-rc3-ms365bw
Rückblick auf ein turbulentes Jahr digitale Schule (Thomas ‚advi‘
Brandt)
https://media.ccc.de/v/rc3-11343-ruckblick_auf_ein_turbulentes_jahr_digitale_schule
- Fernunterricht bei Schulschließungen &
Quarantäne
https://news.microsoft.com/de-de/covid-19-fernunterricht/ - Office 365 Plattformbeschreibungen:
Office 365 Education
https://docs.microsoft.com/de-de/office365/servicedescriptions/office-365-platform-service-description/office-365-education - Fernunterricht mit Office 365: Leitfaden
für Eltern und Erziehungsberechtigte
https://support.office.com/de-de/article/fernunterricht-mit-office-365-leitfaden-f%C3%BCr-eltern-und-erziehungsberechtigte-89d514f9-bf5e-4374-a731-a75d38ddd588?ui=de-DE&rs=de-DE&ad=DE - Microsoft hostet Office 365-Daten in
neuen Rechenzentren in Deutschland.
https://products.office.com/de-de/business/microsoft-office-365-local-data-center
Root Cause
Das grundlegende Problem beim Thema Datenschutz sind die unterschiedliche Interessen des Anbieters, des Käufers, des Nutzers und des Staats gepaart mir einem sehr volatilen Themenumfeld und entsprechend unscharfen Ausdrucksweisen. Als Nutzer finde ich das Tracking von Webseiten und die Cookie-Banner extrem widerwärtig aber natürlich haben Anbieter ein Interesse ein Einkommen zu erzielen. Auf der anderen Seite kann der Gesetzgeber gar nicht schnell genug auf neue Entwicklungen reagieren, deren Auswirkungen erst langsam bekannt werden. Im Jahr 2023 dürfte ChatGPT noch für einige Überraschungen sorgen.
Aber warum sollte das bei der IT anders sein als im Finanzwesen. Nach meiner Auffassung kann ich mir nicht etwas zurückerstatten lassen, was nie bezahlt wurde und dennoch hat das CumEx-System Milliarden Euro umverteilt. Es war sicher nicht "anständig" aber ohne entsprechendes Gesetz wohl nicht strafbar. Die DSGVO enthält anscheinend auch keine klaren Aussagen, was Anbieter von Cloud-Lösungen auf jeden Fall umsetzen müssen und damit bleibt es auch hier bei Einzelentscheidungen.
Was hilft es einem Rektor einer Schule oder Geschäftsführer einer Firma, wenn er auf Teams, Webex, Zoom in Zeiten der Corona-Pandemie in vorauseilendem Gehorsam verzichtet hätte und der Unterricht wäre ausgefallen oder die Firma wäre insolvent gegangen? Das Strafrecht konnte sich über Jahrhunderte entwickeln und Mord, Totschlag, Körperverletzung etc. sind ziemlich gut in Gesetzen definiert. Bei Fahrzeugen gibt es eine Straßenverkehrsordnung, die Zulassungen regelt. Was in den letzten Jahrzehnten an "Lichtdesign" bei Blinkern und Standlicht danke LED alles möglich ist, geht weit über den nicht zugelassenen Ochsenblinker an meinem Mofa um 1983 hinaus. Für IT-Sachverhalte müssten Regelungen viel schnelle aktualisiert werden.
Solange es keine klaren Regeln und allgemein Urteile gibt, werden wir mit Unsicherheiten leben müssen.
Weitere Links
- KI/Copilot und Datenschutz
- Datenschutzerklärung der MSXFAQ
- Teams und Datenschutz
- Teams für Schulen
- DSGVO und GDPR
- Polly und Datenschutz
- DDSGVO Fail - So kann man sich doch nicht über das Gesetz stellen, oder?
- Checkliste Tenant Einrichtung
- Firma zu kaufen gesucht?
-
Microsoft 365: Microsoft bewegt sich, die Datenschützer mauern
unverhältnismäßig
https://www.heise.de/meinung/Microsoft-365-Microsoft-bewegt-sich-die-Datenschuetzer-mauern-unverhaeltnismaessig-7370920.html -
Kommentar zu MS365: Wenn Fakten nicht mehr ausreichen
https://www.kuketz-blog.de/kommentar-zu-ms365-wenn-fakten-nicht-mehr-ausreichen/ -
Neue Leitlinien zum IT Grundschutz des BSI von Microsoft April
2023
https://www.rakoellner.de/2023/04/neue-leitlinien-zum-it-grundschutz-des-bsi-von-microsoft-april-2023/ -
Golem: Länder verheimlichen Rechtsgutachten zu Microsoft 365
https://www.golem.de/news/datenschutz-laender-verheimlichen-rechtsgutachten-zu-microsoft-365-2305-173916.html -
Bundesländer verweigern Einsicht in Rechtsgutachten zur
DSGVO-Einstufung von Microsoft 365
https://www.borncity.com/blog/2023/05/09/bundeslnder-verweigern-einsicht-in-rechtsgutachten-zur-dsgvo-einstufung-von-microsoft-365/