antenope
Goto Top

M365 (O365) Business nun DSGVO konform oder nicht?

Hallo,
es gab ja in der Vergangenheit einige Schlagzeilen um das Thema. In der letzten Zeit ist es aber recht ruhig diesbezüglich geworden.

https://www.borncity.com/blog/2024/03/11/eu-datenschtzer-eu-kommission-v ...

Wenn ich das richtig verstehe, ist DER Kritikpunkt immer die mögliche Übertragung der Daten nach außerhalb der EU.
Seit geraumer Zeit bietet aber MS aber EU-internes Hosting an und betitelt sich selbst als DSGVO konform:

https://www.microsoft.com/de-de/microsoft-365/business/data-security-pri ...

Was ist denn da jetzt der aktuelle Stand? Die Datenschutzbehörde war mir jetzt auch keine große Hilfe dabei ...

Oder begeht jede Firma die M365 nutzt per se einen Datenschutzverstoß?

Content-ID: 44004776905

Url: https://administrator.de/contentid/44004776905

Printed on: December 6, 2024 at 17:12 o'clock

erikro
erikro May 08, 2024 at 13:15:53 (UTC)
Goto Top
Moin,

ein Anwalt hat das mal in etwa so ausgedrückt: "Im Zweifel muss sich Microsoft entscheiden, ob sie gegen europäisches oder gegen US-amerikanisches Recht verstoßen. Wie die Entscheidung ausfällt, sollte jedem klar sein. So viel zu dem Versprechen Microsofts, sich an europäisches Recht zu halten."

Liebe Grüße

Erik
Platypus
Platypus May 08, 2024 updated at 13:20:45 (UTC)
Goto Top
Hallo,

ich denke du hast es richtig zusammengefasst.

Man muß halt der Firma das nötige Vertrauen schenken, um beruhigt schlafen zu können. Über ZeroTrust solltest du dann besser nicht nachdenken.

Ich sehe es so, dass jeder! der MS365 nutzt, nicht DSGVO konform handelt. Ist aber meine persönliche Interpretation.

Grüße

p.s Rechtschreibung ..!
Lochkartenstanzer
Lochkartenstanzer May 08, 2024 at 13:28:29 (UTC)
Goto Top
Zitat von @anteNope:

Wenn ich das richtig verstehe, ist DER Kritikpunkt immer die mögliche Übertragung der Daten nach außerhalb der EU.
Seit geraumer Zeit bietet aber MS aber EU-internes Hosting an und betitelt sich selbst als DSGVO konform:


Ja. Und gag-orders gibt es auch nicht und US-Firmen können nicht gezwungen werden Daten, egal wo sie liegen an die Homeland Security auszuliefern.

Träum weiter.

Solange die Rechtssituation sich in den USA sich nicht wesentlich ändert und alle außer US-Amerikanern als rechtlos gelten, solange sie sich außerhalb der USA aufhalten, sind solche Versprechen von us-amerikanischen Firmen nichts Wert.

lks
firefly
firefly May 08, 2024, updated at May 13, 2024 at 20:33:21 (UTC)
Goto Top
Im März 2024 hat die Europäische Datenschutzbehörde (EDSB) festgestellt, dass die EU-Kommission gegen Datenschutzregeln verstößt, weil sie selbst Microsoft 365 nutzt. Das betrifft mehrere Teile der EU-Datenschutzverordnung für Institutionen (Verordnung 2018/1725).

Siehe dazu auch:

Microsoft 365 ist laut EU-Datenschutzbehörde aktuell nicht DSGVO-konform.

Der EDSB hat beschlossen, dass die EU-Kommission ab dem 9. Dezember 2024 keine Daten mehr an Microsoft und seine verbundenen Unternehmen in Ländern außerhalb der EU/des EWR schicken darf, ohne dass es dafür einen Beschluss gibt.

Microsoft hat bis Dezember 2024 Zeit, um DSGVO-konform zu werden.

Andernfalls wird der Einsatz von Microsoft 365 innerhalb der EU-Grenzen in Verwaltungen, Agenturen, Kommunen, Schulen etc. sehr schwierig, wenn nicht gar unmöglich.

face-smile
mbehrens
mbehrens May 08, 2024 at 13:54:17 (UTC)
Goto Top
Zitat von @anteNope:

Oder begeht jede Firma die M365 nutzt per se einen Datenschutzverstoß?

Das kommt meiner Meinung nach auf die genutzten Dienste und auf das Ergebnis der durchgeführten DSFA an. Es ist immer eine Einzelfallbetrachtung.

Allgemein dürfte es wohl trotz EU Data Boundary, EU-U.S. Data Privacy Framework, ... eher schlecht aussehen.
firefly
firefly May 08, 2024 updated at 14:02:59 (UTC)
Goto Top
Das kommt meiner Meinung nach auf die genutzten Dienste und auf das Ergebnis der durchgeführten DSFA an. Es ist immer eine Einzelfallbetrachtung.

Grundsätzlich betrifft dies alles, was mit Microsoft 365 zu tun hat, einschließlich des Betriebssystems Windows 10 oder 11. Denn dort lässt sich die Übertragung von Metadaten (Microsoft nennt sie Diagnosedaten) nicht komplett abschalten. Dabei werden personenbezogener Daten übertragen.
dertowa
dertowa May 08, 2024 updated at 14:53:04 (UTC)
Goto Top
Also soweit mir bekannt ist der aktuelle Zustand wieder auf "alles böse".
Unsere Datenschutzaufsicht urteilt aktuell aber noch nicht, da sich der Zustand gefühlt alle paar Monate zwischen "akzeptabel" und "böse" ändert.

Aber selbst wenn es bei "böse" bleibt, so kann der Datenschutz nur eine Empfehlung abgeben, verantwortlich sind andere.

P.S.: Wenn die Amis wieder einen raushauen beim nächsten Präsidenten, dann gibt's sowieso wieder ein paar aufregende Jahre.
Ganz unabhängig von MS365 und der DSGVO.

Grüße
ToWa
DivideByZero
DivideByZero May 08, 2024 updated at 18:05:09 (UTC)
Goto Top
Moin,

Zitat von @anteNope:
Wenn ich das richtig verstehe, ist DER Kritikpunkt immer die mögliche Übertragung der Daten nach außerhalb der EU.
Genau. Und das verbleibt so lange, wie ein US-amerikanisches Unternehmen von den USA aus Zugriff auf Daten in Europa hat, weil es nach amerikanischem Recht zum Datenabgreifen und Weiterleiten an amerikanische Behörden gezwungen werden kann. Sprich: ein Rechenzentrum in Europa hilft da kein bisschen.

Zitat von @anteNope:
Oder begeht jede Firma die M365 nutzt per se einen Datenschutzverstoß?
Ja, tatsächlich ist das so. Es wird nur nicht geahndet, weil es "jeder" nutzt, v.a. aber auch die Staaten selbst.

Zitat von @firefly:
Andernfalls wird der Einsatz von Microsoft 365 innerhalb der EU-Grenzen in Verwaltungen, Agenturen, Kommunen, Schulen etc. sehr schwierig, wenn nicht gar unmöglich.
Nein, nicht wird, sondern ist.

Zitat von @dertowa:
Unsere Datenschutzaufsicht urteilt aktuell aber noch nicht, da sich der Zustand gefühlt alle paar Monate zwischen "akzeptabel" und "böse" ändert.
Aber selbst wenn es bei "böse" bleibt, so kann der Datenschutz nur eine Empfehlung abgeben, verantwortlich sind andere.
Meiner Meinung nach sieht das anders aus. Der Zustand ändert sich nicht. Es gibt schlicht kein Akzeptabel. Das spricht nur niemand aus (jedenfalls niemand mit Änderungsmacht).

Was es aber gibt, ist eine rein faktische Machtpolitik. Die Datenschutzbehörden verweigern ihre Arbeit, denn sie sind zwar auch für Beratung zuständig, v.a. für Sanktion. An dieses Thema wagt sich nur niemand heran. Würde konsequent durchgegriffen, hätten zu viele mächtige Personen - siehe oben, z.B. die Kommission - keine Mails mehr.

Es ist seit Beginn der DSGVO einhellige Meinung, dass ein Transfer von Daten außerhalb des EU-Gebiets allenfalls dann erlaubt sein kann, wenn am "Zielort" ein vergleichbares Datenschutzniveau herrscht. Das gab es in den USA nicht, das gibt es in den USA nicht und das wird es dort genau so wenig geben, wie eine Abschaffung des Rechts auf Waffenbesitz. Dafür sind die Strukturen schon zu festgefahren.

Die USA waren daher für eine Datenverarbeitung von Beginn an raus. Aber weil amerikanische Unternehmen eben gezwungen werden können, Daten in ihrer Zugriffsmacht (aber außerhalb des US-amerikanischen Staatsgebietes) "heimzuholen" und weiterzuleiten, kann es auch keinen DSGVO-konformen Betrieb mit amerikanischen Cloudunternehmen geben.

Weil aber niemand die Phantasie hat, wie man die - als unverzichtbar bei den meisten eingestuften - amerikanischen Dienste ersetzen oder DSGVO-konform einbinden kann, werden schlicht irgendwelche Krücken (safe harbor und Nachfolger) geschaffen, die mit Blick auf das Ergebnis ("wir wollen aber die Dienste nutzen können") zusammengezimmert werden - und bisher richtigerweise vom EuGH ein um das andere Mal verworfen wurden.

Dass Microsoft selbst sich als "DSGVO-konform" einstuft, vermag nicht zu wundern. Dabei wäre ein DSGVO-konformer Betrieb von vielen MS-Diensten ja unproblematisch - einfach alle Verbindungen zur Cloud kappen, fertig. Doch auch das ist nicht gewollt, hier von der Wirtschaft. Und da ist Microsoft leider nicht alleine... Und die EU als großer Wirtschaftsraum wiederum ist den wirtschaftlichen Teil selbst schuld. Es verbietet ja niemand, richtig gute Alternativen zu beispielsweise den Office-Produkten oder Teams zu schaffen (bei Exchange wird die Luft da schon dünner, wenn es um richtig große Organisationen geht...).

Und dass dann die vielen Anwender draußen die Cloud-Produkte nutzen, wenn es keine Sanktion gibt (sondern nur ab und zu aufflammende Diskussionen), vermag auch nicht zu wundern (aus Anwendersicht gibt es ja auch wirklich viele interessante, arbeitserleichternde Dienste). Das führt dann zu einer selbstverstärkenden Wanderung in die Cloud. Je mehr Cloud-Produkte eingesetzt werden, umso schwieriger wird der Weg zurück und zugleich steigt die Masse an Usern an. Das wiederum führt dazu, dass Politiker es als problematisch und wählerfeindlich empfinden, die doch so arg wichtigen Produkte und Dienste zu sanktionieren, weil dann die eigene Wirtschaft betroffen ist....

Gruß

DivideByZero
jsysde
jsysde May 08, 2024 at 21:11:54 (UTC)
Goto Top
Moin.

Das es MS technisch relativ problemlos möglich sein dürfte, die in Europa oder gar explizit in DE gehosteten Daten einzusehen und im Zweifel auch in ein anderes Land zu transferieren, sollte jedem klar sein. Viel schlimmer finde ich jedoch, dass die Buben in Redmond ihren Laden nicht mehr im Griff und komplett den Überblick über ihre Online-Welt verloren haben.

Allein die drei bekannt gewordenen Einbrüche in Azure, M365/O365 und ein offen im Internet erreichbarer SharePoint, auf dem u.a. auch Zugangsdaten _im Klartext!_ abgelegt waren, lassen nur einen Schluß zu: Selbst wenn die Daten in EU/DE gehostet werden und dort verbleiben - irgendwer liest seit geraumer Zeit mit. Das komplette MS-Cloud-Universum ist m.M.n. als kompromittiert zu betrachten.

Cheers,
jsysde
MysticFoxDE
MysticFoxDE May 09, 2024 at 04:20:11 (UTC)
Goto Top
Moin @firefly,

Grundsätzlich betrifft dies alles, was mit Microsoft 365 zu tun hat, einschließlich des Betriebssystems Windows 10 oder 11. Denn dort lässt sich die Übertragung von Metadaten (Microsoft nennt sie Diagnosedaten) nicht komplett abschalten. Dabei werden personenbezogener Daten übertragen.

das geht sehr wohl, also die komplette Abschaltung der Übertragung von Metadaten, aber nur bei den Enterprise Versionen von W10 und W11. 😔

Gruss Alex
PeterGyger
PeterGyger May 09, 2024 at 08:25:58 (UTC)
Goto Top
Hallo

Ein anderer Aspekt ist, dass der Admin der MS 365 "betreibt" für die Rechtsverstösse von MS "haftet".
Auch wenn der Mitarbeiter nicht in der IT arbeitet. D.h. als Fachmann bestimmte Aufgaben in MS 365 übernommen hat. Wir haben das Anfang Jahr in einer Firma mit gegen 10'000 Ma mit der Rechtsabteilung diskutiert. Bis jetzt ist IMO noch kein solcher Fall bekannt. Aber die Rechtsabteilung hatte diese Möglichkeit nicht ausgeschlossen.

www.dr-datenschutz.de/folgen-von-datenschutzverstoessen-im-angestelltenverhaeltnis/
www.rosenthal.ch/downloads/Rosenthal-M365-Anwaltskanzlei.pdf

Wenn das in der Praxis geschehen sollte, ohne das der Mitarbeiter bewusst / nicht geschult / etc. gegen den Datenschutz verstossen hat, dann hat MS in Europa ein Problem...

Beste Grüsse
11020714020
11020714020 May 09, 2024 at 09:04:01 (UTC)
Goto Top
Solange das EU-U.S. Data Privacy Framework aus 2023 durch ein neues "Schrems-Urteil" nicht als unzureichend aufgehoben wird, solange besteht für die Unternehmen Rechtssicherheit und „Arbeitsruhe“ (passende Implementierungen vorausgesetzt).

Das bedeutet natürlich nicht, dass ggf. SVK, TIAs und weitere Risikoabwägungen obsolet sind.
PeterGyger
PeterGyger May 09, 2024 at 10:06:58 (UTC)
Goto Top
Hallo

Alles ist solange sicher, bis es zu einer Anklage kommt und ein Richter ein Urteil fällt.
Siehe Facebook in Irland.

Ich habe nur das geschildert, was mein aktueller Kenntnisstand dazu ist.

Beste Grüsse
DivideByZero
DivideByZero May 09, 2024 updated at 10:09:09 (UTC)
Goto Top
Zitat von @11020714020:
Solange das EU-U.S. Data Privacy Framework aus 2023 durch ein neues "Schrems-Urteil" nicht als unzureichend aufgehoben wird, solange besteht für die Unternehmen Rechtssicherheit und „Arbeitsruhe“ (passende Implementierungen vorausgesetzt).

Für die reine Datenübermittlung (sozusagen "Storageort"=USA) kann das in Betracht kommen, für eine komplexe Anwendung wie MS365 nicht, denn der sog. Anwendungserlass und das Privacy Framework regeln Fragen der reinen Datenübermittlung, also die Frage, ob überhaupt Daten dahin fließen dürften (und solange der EuGH nicht wieder eine Kehrtwendung macht, wie gerade bei der Speicherung von IP-Adressen, ist eigentlich absehbar, dass ein Schrems III-Urteil folgen wird...). Es regelt nicht, ob eine Grundlage für den Inhalt und die Art der Erhebung der Daten gegeben ist, und gibt in diesen Bereichen auch keine Rechtssicherheit.

Sprich: Tracking durch den Hersteller, Auswerten der in die USA übermittelten Daten in den USA durch Dritte - solche "Anwendungsfälle" sind datenschutzrechtlich mit den USA nicht machbar, auch nicht mit Privacy Framework.

Aber genau das Privacy Framework ist halt ein wunderbares Beispiel dafür, warum wir im Alltag bei "kleinen" Datenschutzverstößen von Strafen hören, bei den wirklich großen Anbietern und deren Kunden aber nicht: denn die Kommission will auf Biegen und Brechen mit Blick auf das Ergebnis den vollen Datenaustausch mit den USA. Und daher gibt es auch keine flächendeckenden Sanktionen.

Man könnte ja noch diskutieren, ob man das will, oder eine Mehrheit entscheidet sich dafür (Kommission+Parlament) und die Minderheit hat das hinzunehmen. Aber es ist halt paradox, in der EU eine gesetzliche Regelung zu schaffen, die im transatlantischen Bereich einfach ignoriert wird.

Zum Thema Tracking ergänzend: da würden auch keine Einwilligungen aller Mitarbeitenden und Geschäftspartner helfen. Denn eines der großen Fragezeichen bei Microsoft sind Art und Umfang der Telemetriedaten, die nicht dokumentiert und veröffentlicht sind. Selbst die europäischen Staaten erhalten darauf keine vollständige Antwort (jedenfalls, soweit man das in der Presse lesen kann). Damit ist auch keine geeignete Einwilligung denkbar.

Gruß

DivideByZero
C.R.S.
C.R.S. May 09, 2024 updated at 13:27:33 (UTC)
Goto Top
Quote from @anteNope:

Oder begeht jede Firma die M365 nutzt per se einen Datenschutzverstoß?

Die praktisch relevantere Frage für Unternehmen ist, ob ihre zuständige Aufsichtsbehörde einen Datenschutzverstoß feststellen würde. Das kann bei richtigem Vorgehen praktisch ausgeschlossen werden, da Microsoft bislang ein zu bewegliches Ziel ist. Der dem Beschluss der DSK von 2022 zugrundeliegendeSachverhalt hat keine zwei Monate gehalten.
Es ist auch keine Motivation der Datenschutzbehörden erkennbar, Anwender zu sanktionieren, sondern man möchte offensichtlich die besagte Bewegung vorantreiben und steuern.

Neben der Vereinbarung des aktuellsten AVV ist nach der derzeitigen Beschlusslage bzgl. des Cloud-Act auch eine TFA bzw. ein Äquivalent vorzuhnehmen. In dem steckt die eigentliche Arbeit für den Verantwortlichen, weil Microsoft als Zuständiger für eine solche TFA wenig trasparent ist. Angesichts des von der DSK geforderten Prüfungsmaßstabs spielt das formell zwar keine Rolle - der Verantwortliche führt de facto eine TFA durch. Aber die Ergebnisse lesen sich aufgrund der nötigen Annahmen und Spekulationen meist nicht allzu überzeugend.
PeterGyger
PeterGyger May 12, 2024 at 11:27:49 (UTC)
Goto Top
Hallo

Ich bin kein Jurist, habe jedoch wie so viele ab und an damit zu tun.
Wenn 2024 ein Office 365 Verantwortlicher einer grösseren Firma von der eigenen Rechtsabteilung in einem offiziellen Hearing erfährt, dass die Rechtssicherheit nicht 100% geben ist, dann nehme ich das Ernst.
Unabhängig wie viele "Copy & Paste" Infos hier eingebracht werden.

Ein Artikel von 19. April 2024 einer Fachsite fasst es wie folgt zusammen
Wer glaubt, mit dem Data Privacy Framework (DPF) sei nun alles im Datenschutz bei Nutzung von Microsoft 365 und vergleichbaren Diensten geklärt, der irrt sich. Das zeigt auch eine aktuelle Entscheidung des Europäischen Datenschutzbeauftragten (EDSB).
Quelle

Dieser FAZ Artikel"Ein gallisches Dorf gibt es noch" von 20.2.2024 ist hinter der Paywall.

Speziell unter Berücksichtigung, dass die
- USA in den letzten Jahren immer unberechenbarer agiert
- Thierry Breton EU steht den US Präsidenten im Streben nach Macht in Nichts nach
- KI Entscheide automatisch fällt
-- überprüft von schlechtbezahlten Externen aus der dritten Welt

Der Jurist Max Schrems hat mit einer Klage vor dem EuGH erreicht, dass das Safe Harbor Abkommen aufgehoben wurde. Es gibt weitere Beispiele, wo eine erfolgreiche Klage die Rechtssituation plötzlich änderte.
Ein vergleichbare rechtliche Diskussion ist ja bei LLM Modellen und den Trainingsdaten am laufen. "Sicher" ist da - IMO - gar nichts. Erst Recht nicht in europäischen Ländern ausserhalb der EU. Das als Antwort auf die Frage des TN.

Nur zur Erinnerung: EU ist nicht Europa. Europa hat es und wird es noch lange geben, nachdem die EU als Notiz in den Geschichtsbüchern abgelegt ist...

Beste Grüsse
-WeBu-
-WeBu- May 13, 2024 at 10:57:49 (UTC)
Goto Top
Das nächste Problem könnte sich auch aus den beiden Ausdrücken "gesichert" und "nicht gesichert" ergeben.

Wenn wir mal unterstellen, dass "vermutlich" die Daten in den USA unsicher sind, bedeutet dieses "vermutlich" eben automatisch auch noch nicht "rechtlich gesichert unsicher".
PeterGyger
PeterGyger May 13, 2024 at 12:15:17 (UTC)
Goto Top
Hallo -WeBu-

Da hast Du Recht. Gerade bei Juristen ist die Wortklauberei Pflichtfach.

Persönlich finde ich es einfach unangenehm, dass Menschen Ihre Arbeit gemäss Weisungen erledigen. Jedoch nicht zu 100% sicher vor einer massiven Anklage stehen. Datenschutz Verletzungen ziehen empfindliche Strafen nach sich.

Zweitens ist es auch hier eine Frage der Bürokratie, die Geld und Nerven hat. Für kleinere Betriebe eine laufend erhöhte Belastung. Auch in der Schweiz, die weniger unter Bürokratie leidet als in der EU / DE kenne ich persönlich Betriebe / Bauern / etc. die auf Grund der zunehmenden Formulare und Anforderungen irgendwann entnervt aufgaben. In der Region haben in den letzten 22 Jahren mehrere Bäckerei Betriebe aufgegeben bzw. haben fusioniert.

Wenn Betrieb mit geringer Marche jetzt auch noch umfassende Anwaltsmandate stemmen müssen, nur um Word / Excel / Outlook zu betreiben, ist das nicht wünschbar. Hier macht es aus meiner Sicht Sinn auf "MS 365" zu verzichten und einmalige Lizenzen zu nutzen.

Last but not least:
Es ist die Unsicherheit ("Damklos Schwert") die belastet...

Beste Grüsse
11020714020
11020714020 May 13, 2024 updated at 20:37:48 (UTC)
Goto Top
@PeterGyger
Wichtig ist mE zuallererst zwei Unterscheidungen zu treffen:

a) Ist ein Gesetz / Verordnung "rechtwidrig", sprich, ist das was die EU / der jeweilige Gesetzgeber als Gesetz beschlossen hat mit einem übergeordneten oder einem kollidierenden Recht nicht vereinbar. Solange dies nicht festgestellt wurde ist jeder diesem Recht Unterworfene "haftungsfrei", sofern er dieses Gesetz befolgt.

b) Setze ich als einem Gesetz Unterworfener dieses nicht vollständig in dem Sinne um, dass es in meinem Kontext (Scope) als erfüllt betrachtet werden kann.

Durch das nach dem Schrems II-Urteil neu aufgelegte Abkommen zwischen EU-USA kann zumindest auf dieser Basis im Sinne von a) und b) davon ausgegangen werden, dass einem Unternehmen keine schuldhafte Verletzung des Datenschutzrechts unterstellt werden kann, solange kein neues Schrems-Urteil ergeht und das Unternehmen sich an den aktuell gültigen Rechtsrahmen hält.

Es ist und bleibt keine Aufgabe von Unternehmen den Rechtsrahmen selbst in Frage zu stellen, sondern nur insofern, wie dieser für einen selbst umgesetzt werden muss und sich dafür ggf. zusätzlicher fachlicher juristischer Beratung zu bedienen.

Es ist auch mir kein Fall bekannt, dass ein Unternehmen vor den Schrems-Urteilen zu einer Strafe verdonnert wurden, da sie sich an das geltende Gesetz gehalten haben. Nach den Schrems-Urteilen gab es in der Tat eine Unsicherheit, ob daraus quasi adhoc ein Rechtsverstoß gegeben sei, da der Rechtsrahmen in Teilen aufgehoben wurde. Gleichzeitig wurde im Urteil betont, dass durch zusätzliche Maßnahmen sehr wohl ein angemessenes Schutzniveau erreicht werden konnte.

Im Grunde also genau das, was auch der Bundesdatenschutzbeauftragte dazu ausführt:
https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Europa-Internationales/Au ....
PeterGyger
PeterGyger May 13, 2024 updated at 22:59:06 (UTC)
Goto Top
Hallo MayBeSec

Bist Du ein Bot oder ein Uni Referent?
Deine Antworten lassen nur eine der zwei Möglichkeiten offen.

Ich habe Dir die u.a. die offizielle Einschätzung einer relevanten Fachzeitschrift vom 19. April 2024 zitiert.
Darüber hinaus habe ich in einem Beispiel gezeigt, wie ein richterliches Urteil ein fundamentales Rechtskonstrukt wie "Safe Harbor" eliminiert hat.

Wenn ich in der Rolle des Fragenden wäre, würde mich Dein dozieren keinen Schritt weiter bringen.

Kann ich Dich wie z.B. Morpheus (Online Präsenz) offiziell zitieren und den Rechtsexperten als seriöse Quelle weiter empfehlen? Für den TN der diese Frage hier stellt ist die Verlässlichkeit Deiner Info sicher ein wichtiger Faktor.

Beste Grüsse
11020714020
11020714020 May 14, 2024 at 04:31:08 (UTC)
Goto Top
Ich zitiere Deinen zitierten Artikel in der Fachschrift:

"Nach seiner Untersuchung hat der EDSB festgestellt, dass die Europäische Kommission bei der Nutzung von Microsoft 365 gegen mehrere wichtige Datenschutzvorschriften verstoßen hat. In seiner Entscheidung legt der EDSB Korrekturmaßnahmen, die die EU-Kommission umsetzen muss, fest."

Was genau verstehst Du denn nicht an "Korrekturmaßnahmen", damit die vom EDSB festgestellten Mängel behoben werden?

Was genau ist denn jetzt der Widerspruch zu Deinem zitierten Artikel und meiner oben geäußerten Feststellung, dass nämlich bei korrekter Umsetzung des aktuell gültigen Rechts sehr wohl ein auf die USA bezogener datenschutzkonformer Betrieb möglich ist?

Der ganze Artikel listet ja geradezu die Themenfelder auf, die beachtet werden müssen um eine aus Sicht der Datenschützer sauber Implementierung hinzubekommen.

Vielleicht wäre es also angebrachter anstatt ad hominem mich anzugreifen, den Artikel und die darin genannten Handlungsfelder schlicht umzusetzen. Dann klappt's auch mit der DSGVO und M365.
MysticFoxDE
MysticFoxDE May 14, 2024 at 05:45:41 (UTC)
Goto Top
Moin Zusammen,

folgend ein meiner Ansicht nach sehr interessanter Artikel zu diesem Thema.

https://www.security-insider.de/veraenderungen-im-datenschutz-bei-micros ...

Gruss Alex
anteNope
Solution anteNope Sep 05, 2024 updated at 17:57:34 (UTC)
Goto Top
Heute wurde meine Anfrage ans LDI vom Mai diesen Jahres beantwortet:

... ich komme zurück auf Ihre Anfrage. Zunächst bitte ich um Nachsicht für die durch hohen Arbeitsanfall bedingt verlängerte Bearbeitungsdauer.
Sie erkundigten sich nach der datenschutzrechtlichen Zulässigkeit des Einsatzes von Microsoft365 Business / Office365 Business in einem Pflegedienst.

Zunächst ist anzumerken, dass die LDI NRW selbst keine Genehmigungs- und Zertifizierungsstelle ist. Mit Blick auf die Zulässigkeit des Einsatzes von MS 365 für Pflegedienste weise ich Sie auf die Prüfungen der Datenschutzkonferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hin. Eine Arbeitsgruppe der DSK hat sich mit der Datenschutzkonformität der MS365-Produkte in einem umfangreichen Bericht auseinandergesetzt und die hier verlinkte Festlegung erlassen. Eine Kurzfassung der Ergebnisse ist ebenfalls veröffentlicht. Diesen Veröffentlichungen können Sie entnehmen, dass jedenfalls auf Basis des von Microsoft standardmäßig angebotenen Data Processing Agreement (DPA) derzeit nicht von einer datenschutzkonformen Nutzung dieser Produkte für die Verarbeitung personenbezogener Daten ausgegangen werden kann – losgelöst vom konkreten Einsatzbereich.

Eine Gruppe deutscher Datenschutzaufsichtsbehörden unter Beteiligung der LDI NRW hat daher eine Handreichung erarbeitet, aus der sich ergibt, an welchen Punkten Anpassungen des standardmäßig von Microsoft veröffentlichten Dokuments erforderlich sind. Derartige Anpassungen müssen individuell mit Microsoft verhandelt werden, wenn MS 365-Produkte eingesetzt werden sollen. Nur wenn es gelingt, hier entsprechende Lösungen umzusetzen, ist ein datenschutzkonformer Einsatz überhaupt denkbar.
Weiterhin ist zu beachten, dass bei Pflegediensten u. a. besonders geschützte Gesundheitsdaten (Art. 9 Datenschutz-Grundverordnung – DS-GVO) verarbeitet werden. Daher müssen geeignete technisch-organisatorische Maßnahmen getroffen werden, um ein dem Risiko angemessenes Schutzniveau zu erreichen (Art. 32 DS-GVO). Eine diesbezügliche Prüfung ist durch die verantwortliche Stelle vorzunehmen.

Bericht: https://datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_ ...
Festlegung: https://datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_ ...
Zusammenfassung: https://datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_ ...

Ist sogar noch recht aktuell.
-WeBu-
-WeBu- Sep 05, 2024 updated at 16:39:35 (UTC)
Goto Top
... dass jedenfalls auf Basis des von Microsoft standardmäßig angebotenen Data Processing Agreement (DPA) derzeit nicht von einer datenschutzkonformen Nutzung dieser Produkte für die Verarbeitung personenbezogener Daten ausgegangen werden kann...

Quelle surprise...
C.R.S.
C.R.S. Sep 06, 2024 at 00:28:45 (UTC)
Goto Top
Und wirst Du diese Auskunft beachten? Falls ja, bereitet das praktischen Schwierigkeiten?
anteNope
anteNope Sep 06, 2024 at 05:33:50 (UTC)
Goto Top
Zitat von @c.r.s.:
Und wirst Du diese Auskunft beachten? Falls ja, bereitet das praktischen Schwierigkeiten?

Für den Pflegedienst hatte ich zwei Angebote erarbeitet. Eines wo alles lokal liegt und eins mit M365-Nutzung mit dem Hinweis, dass dies ggf. nicht so ratsam ist. Der Pflegedienst bevorzugte aber unbedingt die M365-Nutzung, da die Kosten für "alles lokal" nochmal deutlich höher waren.

Ich hatte dann gefordert, dass der Datenschutzbeauftragte das Szenario mal durchspielt und bewertet. Eine Umsetzung würde ich nur zustimmen / durchführen wenn dieser grünes Licht gibt und die gesamte Verantwortung explizit übernommen würde. Hierzu war der ernannte DSB aber ganz offensichtlich nicht ausreichend qualifiziert ... bzw. hoffnungslos überfordert.

Im Endeffekt war es dem Kunde eh alles zu teuer und mir zu heikel. Das Projekt wurde eingestellt.

Seither fahren die weiter auf Server 2012, inkl. RAS-VPN-Einwahl über diesen, mit einem Rechtemanagement aus der Hölle (sprichwörtlich jede Freigabe mit "Jeder" im Vollzugriff). 👍


Bei anderen Firmen, die keine besondere personenbezogene Daten im Kernfokus haben, birgt es tatsächlich praktische Probleme. Teams, Office, Exchange usw. sind einfach zu etabliert um auf diese großflächig zu verzichten. Die Aufsplittung der M365 Komponenten kann sich die EU meiner Meinung nach schenken, die sollten ihre Energie eher auf die Durchsetzung der DSGVO-Konformität bei Microsoft fokussieren. Die monieren das ja immerhin seit Jahren an ...
C.R.S.
C.R.S. Sep 06, 2024 at 10:19:19 (UTC)
Goto Top
Zitat von @anteNope:

Ich hatte dann gefordert, dass der Datenschutzbeauftragte das Szenario mal durchspielt und bewertet. Eine Umsetzung würde ich nur zustimmen / durchführen wenn dieser grünes Licht gibt und die gesamte Verantwortung explizit übernommen würde. Hierzu war der ernannte DSB aber ganz offensichtlich nicht ausreichend qualifiziert ... bzw. hoffnungslos überfordert.

Das wird der Kern des Problems sein (Firmen, die schwerpunktmäßig personenbezogene Daten verarbeiten, werden in der Regel beraten).

Die Theorie, dass aus der Festlegung der DSK von 2022 - nach zwischenzeitlich mehrfacher Änderung des DPA und der Prozesse durch Microsoft und bei laufender Neubewertung durch die DSK - "derzeit" noch auf fehlende Datenschutzkonformität geschlossen werden könne, ist kaum haltbar. Entsprechend ist auf ihrer Grundlage auch keine aufsichtsrechtliche Aktivität erkennbar.
Wenn Behörden in Auskünften und den diversen anderen Formen, in denen gerade die Datenschutzbehörden vergleichsweise mitteilsam sind, mit Meinungen operieren, die nach mutmaßlich eigener Erkenntnis dieser Behörden einen Verwaltungsakt nicht tragen, steht das grundsätzlich in Konflikt mit dem Rechtsstaatsprinzip. Deshalb hat mich interessiert, welche Lenkungswirkung das auf Betroffene ausübt, die Datenschutzbehörden direkt fragen. Vielen Dank für die ausführliche Antwort. Hat was von der Hamburger Gurkenwarnung, aber wird sich Microsoft gefallen lassen, solange es in der Frage vom Katz-und-Maus-Spiel lebt.