Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende ÜberarbeitungLetzte ÜberarbeitungBeide Seiten der Revision | ||
microsoft365 [2020/05/12 22:38] – ↷ Seitename wurde von o365 auf microsoft365 geändert genofire_cyber4edu | microsoft365 [2023/06/01 13:06] – micha_cyber4edu | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
+ | < | ||
+ | Update 2023: hier haben wir vor Microsoft Teams und Microsoft 365 gewarnt, nun wurde Microsoft mit dem wenig begehrten Negativpreis <a href=" | ||
+ | |||
+ | "Die Konferenz der deutschen Datenschutzaufsichtsbehörden hat im November 2022 nach jahrelanger Diskussion mit Microsoft einstimmig festgestellt, | ||
+ | </ | ||
+ | |||
+ | |||
**Datenschutz beim Microsoft-Produkt Teams** | **Datenschutz beim Microsoft-Produkt Teams** | ||
+ | |||
+ | //„Ein Arbeitskreis der Datenschutzkonferenz von Bund und Ländern hält einen rechtskonformen Einsatz von Microsoft 365 in öffentlichen Institutionen für unmöglich.“[1] | ||
+ | // | ||
Die Probleme beginnen bereits damit, dass Microsoft nicht transparent | Die Probleme beginnen bereits damit, dass Microsoft nicht transparent | ||
Zeile 39: | Zeile 49: | ||
* Ungeklärt ist die Zweckbindungspflicht. Während Art. 5 Abs. 1b der DSGVO fordert, dass der Zweck der Datenverarbeitung vor der Erhebung festgelegt wird, lässt die Microsoft bei den Telemetrie- und Diagnosedaten im Allgemeinen. | * Ungeklärt ist die Zweckbindungspflicht. Während Art. 5 Abs. 1b der DSGVO fordert, dass der Zweck der Datenverarbeitung vor der Erhebung festgelegt wird, lässt die Microsoft bei den Telemetrie- und Diagnosedaten im Allgemeinen. | ||
- | * Dass die Telemetrie- und Diagnosedaten außerhalb des Geltungsbereichs der DSGVO übermittelt werden | + | * Dass die Telemetrie- und Diagnosedaten außerhalb des Geltungsbereichs der DSGVO übermittelt werden |
* Völlig ungeklärt ist noch, wie sich Microsoft im Falle einer Herausgabeforderung von US-Behörden (z.B. der NSA) verhält. Der CLOUD-Act (Clarifying Lawful Overseas Use of Data Act) verpflichtet US-Firmen zur Herausgabe von bei ihnen gespeicherten Daten von Nicht-US-Bürgern. Nach US-amerikanischer Rechtsauffassung ist dies auch ohne ein Rechtshilfeersuchen an die zuständigen europäischen Sicherheitsbehörden möglich. | * Völlig ungeklärt ist noch, wie sich Microsoft im Falle einer Herausgabeforderung von US-Behörden (z.B. der NSA) verhält. Der CLOUD-Act (Clarifying Lawful Overseas Use of Data Act) verpflichtet US-Firmen zur Herausgabe von bei ihnen gespeicherten Daten von Nicht-US-Bürgern. Nach US-amerikanischer Rechtsauffassung ist dies auch ohne ein Rechtshilfeersuchen an die zuständigen europäischen Sicherheitsbehörden möglich. | ||
* Das europäische Datenschutzrecht schreibt vor, dass Daten zu löschen sind, wenn ihr Zweck erfüllt wurde oder eine gesetzliche Aufbewahrungszeit abgelaufen ist. Die Aufbewahrungsdauer der Diagnosedaten verstößt deshalb gegen die Löschpflicht aus Art. 17 Abs.1 der DSGVO. | * Das europäische Datenschutzrecht schreibt vor, dass Daten zu löschen sind, wenn ihr Zweck erfüllt wurde oder eine gesetzliche Aufbewahrungszeit abgelaufen ist. Die Aufbewahrungsdauer der Diagnosedaten verstößt deshalb gegen die Löschpflicht aus Art. 17 Abs.1 der DSGVO. | ||
+ | |||
+ | * Die Datenschutzerklärungen von Microsoft sind auf mehr als 400 Seiten niedergelegt.[2] Eine informierte Entscheidung wird somit allen Beteiligten - Schulleitungen, | ||
Mit erhöhtem Datenschutzrisiko ist auch die Nutzung der Web-Version von Microsoft 365 verbunden, da die Cloud-Dienste von OneDrive womöglich auch nicht sicher sind. Auf die Speicherung von vertraulichen Informationen dort sollte verzichtet werden. | Mit erhöhtem Datenschutzrisiko ist auch die Nutzung der Web-Version von Microsoft 365 verbunden, da die Cloud-Dienste von OneDrive womöglich auch nicht sicher sind. Auf die Speicherung von vertraulichen Informationen dort sollte verzichtet werden. | ||
Zeile 66: | Zeile 78: | ||
aufgeführten Bedingungen nicht erfüllen, darunter Microsoft, Skype | aufgeführten Bedingungen nicht erfüllen, darunter Microsoft, Skype | ||
Communications und Zoom Video Communications." | Communications und Zoom Video Communications." | ||
+ | |||
+ | Neben dieser klaren datenschutzrechtlichen Einschätzung stellt sich die Frage, ob man Kinder und Jugendliche auf ein Produkt prägen möchte. | ||
+ | |||
+ | [1] [[https:// | ||
+ | |||
+ | [2] [[https:// | ||
+ | |||
+ | Ergänzung: | ||
+ | |||
+ | * der stets lesenswerte Kuketz-Blog hat das [hier](https:// | ||
+ | |||
+ | * [EU-Datenschützer warnt vor unüberlegtem Einsatz von Microsoft-Produkten](https:// | ||
+ | |||
+ | * [Rechtsanwalt Peter Hense im Interview in der Süddeutschen](https:// | ||
+ | |||
+ | * [aktueller Stand im August 2020 auf Heise](https:// | ||
+ | |||
+ | * [Warum Datenschutz nicht der einzige Grund ist](https:// | ||
+ | |||
+ | * [Seit Monaten Datenschutzprobleme bei Schulen in Potsdam-Mittelmark ](https:// | ||
+ | |||
+ | * [Backup-Strategie? | ||
+ | |||
+ | * [Wenn die Lizenz ausläuft...](https:// | ||
+ | |||
+ | Einzelne Datenschutzbeauftragte hierzu: | ||
+ | |||
+ | * Nordrhein-Westfalen: | ||
+ | |||
+ | * Hessen: „Der Einsatz von Microsoft Office 365 an Schulen ist datenschutzrechtlich unzulässig, | ||
+ | |||
+ | * Berlin: „Leider erfüllen auch einige der Anbieter, die technisch ausgereifte Lösungen bereitstellen, | ||
+ | Teams, Skype, Skype for Business Online und zoom zu. Mit NETWAYS Web Services Jitsi, sichere-videokonferenz.de, | ||
+ | |||
+ | "Das Grundproblem liegt darin, dass Microsoft aufgrund der Beauftragung durch eine Behörde Kenntnis von Daten erhält, die auch für eigene Zwecke des Unternehmens genutzt werden, ohne dass hierfür eine Rechtsgrundlage ersichtlich wäre. Bei den Daten handelt es sich neben den Inhalten, die die Behörde verarbeitet, | ||
+ | |||
+ | * Baden-Württemberg: | ||
+ | |||
+ | * Bremen: „Sie [die Bremer Datenschutzbeauftragte] rate dringend davon ab, das MicrosoftPaket 365, so wie es aktuell konfiguriert sei, in der bremischen Verwaltung einzusetzen, | ||
+ | nicht in einem Rechenzentrum, | ||
+ | Zugriff hätten." | ||
+ | |||
+ | |||
+ | |||
+ |