Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
microsoft365 [2020/05/12 22:38] – ↷ Seitename wurde von o365 auf microsoft365 geändert genofire_cyber4edu | microsoft365 [2023/06/02 22:19] (aktuell) – micha_cyber4edu | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
+ | <WRAP info> | ||
+ | |||
+ | "Die Konferenz der deutschen Datenschutzaufsichtsbehörden hat im November 2022 nach jahrelanger Diskussion mit Microsoft einstimmig festgestellt, | ||
+ | </ | ||
+ | |||
+ | |||
**Datenschutz beim Microsoft-Produkt Teams** | **Datenschutz beim Microsoft-Produkt Teams** | ||
+ | |||
+ | //„Ein Arbeitskreis der Datenschutzkonferenz von Bund und Ländern hält einen rechtskonformen Einsatz von Microsoft 365 in öffentlichen Institutionen für unmöglich.“[1] | ||
+ | // | ||
Die Probleme beginnen bereits damit, dass Microsoft nicht transparent | Die Probleme beginnen bereits damit, dass Microsoft nicht transparent | ||
Zeile 39: | Zeile 48: | ||
* Ungeklärt ist die Zweckbindungspflicht. Während Art. 5 Abs. 1b der DSGVO fordert, dass der Zweck der Datenverarbeitung vor der Erhebung festgelegt wird, lässt die Microsoft bei den Telemetrie- und Diagnosedaten im Allgemeinen. | * Ungeklärt ist die Zweckbindungspflicht. Während Art. 5 Abs. 1b der DSGVO fordert, dass der Zweck der Datenverarbeitung vor der Erhebung festgelegt wird, lässt die Microsoft bei den Telemetrie- und Diagnosedaten im Allgemeinen. | ||
- | * Dass die Telemetrie- und Diagnosedaten außerhalb des Geltungsbereichs der DSGVO übermittelt werden | + | * Dass die Telemetrie- und Diagnosedaten außerhalb des Geltungsbereichs der DSGVO übermittelt werden |
* Völlig ungeklärt ist noch, wie sich Microsoft im Falle einer Herausgabeforderung von US-Behörden (z.B. der NSA) verhält. Der CLOUD-Act (Clarifying Lawful Overseas Use of Data Act) verpflichtet US-Firmen zur Herausgabe von bei ihnen gespeicherten Daten von Nicht-US-Bürgern. Nach US-amerikanischer Rechtsauffassung ist dies auch ohne ein Rechtshilfeersuchen an die zuständigen europäischen Sicherheitsbehörden möglich. | * Völlig ungeklärt ist noch, wie sich Microsoft im Falle einer Herausgabeforderung von US-Behörden (z.B. der NSA) verhält. Der CLOUD-Act (Clarifying Lawful Overseas Use of Data Act) verpflichtet US-Firmen zur Herausgabe von bei ihnen gespeicherten Daten von Nicht-US-Bürgern. Nach US-amerikanischer Rechtsauffassung ist dies auch ohne ein Rechtshilfeersuchen an die zuständigen europäischen Sicherheitsbehörden möglich. | ||
* Das europäische Datenschutzrecht schreibt vor, dass Daten zu löschen sind, wenn ihr Zweck erfüllt wurde oder eine gesetzliche Aufbewahrungszeit abgelaufen ist. Die Aufbewahrungsdauer der Diagnosedaten verstößt deshalb gegen die Löschpflicht aus Art. 17 Abs.1 der DSGVO. | * Das europäische Datenschutzrecht schreibt vor, dass Daten zu löschen sind, wenn ihr Zweck erfüllt wurde oder eine gesetzliche Aufbewahrungszeit abgelaufen ist. Die Aufbewahrungsdauer der Diagnosedaten verstößt deshalb gegen die Löschpflicht aus Art. 17 Abs.1 der DSGVO. | ||
+ | |||
+ | * Die Datenschutzerklärungen von Microsoft sind auf mehr als 400 Seiten niedergelegt.[2] Eine informierte Entscheidung wird somit allen Beteiligten - Schulleitungen, | ||
Mit erhöhtem Datenschutzrisiko ist auch die Nutzung der Web-Version von Microsoft 365 verbunden, da die Cloud-Dienste von OneDrive womöglich auch nicht sicher sind. Auf die Speicherung von vertraulichen Informationen dort sollte verzichtet werden. | Mit erhöhtem Datenschutzrisiko ist auch die Nutzung der Web-Version von Microsoft 365 verbunden, da die Cloud-Dienste von OneDrive womöglich auch nicht sicher sind. Auf die Speicherung von vertraulichen Informationen dort sollte verzichtet werden. | ||
Zeile 66: | Zeile 77: | ||
aufgeführten Bedingungen nicht erfüllen, darunter Microsoft, Skype | aufgeführten Bedingungen nicht erfüllen, darunter Microsoft, Skype | ||
Communications und Zoom Video Communications." | Communications und Zoom Video Communications." | ||
+ | |||
+ | Neben dieser klaren datenschutzrechtlichen Einschätzung stellt sich die Frage, ob man Kinder und Jugendliche auf ein Produkt prägen möchte. | ||
+ | |||
+ | [1] [[https:// | ||
+ | |||
+ | [2] [[https:// | ||
+ | |||
+ | Ergänzung: | ||
+ | |||
+ | * der stets lesenswerte Kuketz-Blog hat das [hier](https:// | ||
+ | |||
+ | * [EU-Datenschützer warnt vor unüberlegtem Einsatz von Microsoft-Produkten](https:// | ||
+ | |||
+ | * [Rechtsanwalt Peter Hense im Interview in der Süddeutschen](https:// | ||
+ | |||
+ | * [aktueller Stand im August 2020 auf Heise](https:// | ||
+ | |||
+ | * [Warum Datenschutz nicht der einzige Grund ist](https:// | ||
+ | |||
+ | * [Seit Monaten Datenschutzprobleme bei Schulen in Potsdam-Mittelmark ](https:// | ||
+ | |||
+ | * [Backup-Strategie? | ||
+ | |||
+ | * [Wenn die Lizenz ausläuft...](https:// | ||
+ | |||
+ | Einzelne Datenschutzbeauftragte hierzu: | ||
+ | |||
+ | * Nordrhein-Westfalen: | ||
+ | |||
+ | * Hessen: „Der Einsatz von Microsoft Office 365 an Schulen ist datenschutzrechtlich unzulässig, | ||
+ | |||
+ | * Berlin: „Leider erfüllen auch einige der Anbieter, die technisch ausgereifte Lösungen bereitstellen, | ||
+ | Teams, Skype, Skype for Business Online und zoom zu. Mit NETWAYS Web Services Jitsi, sichere-videokonferenz.de, | ||
+ | |||
+ | "Das Grundproblem liegt darin, dass Microsoft aufgrund der Beauftragung durch eine Behörde Kenntnis von Daten erhält, die auch für eigene Zwecke des Unternehmens genutzt werden, ohne dass hierfür eine Rechtsgrundlage ersichtlich wäre. Bei den Daten handelt es sich neben den Inhalten, die die Behörde verarbeitet, | ||
+ | |||
+ | * Baden-Württemberg: | ||
+ | |||
+ | * Bremen: „Sie [die Bremer Datenschutzbeauftragte] rate dringend davon ab, das MicrosoftPaket 365, so wie es aktuell konfiguriert sei, in der bremischen Verwaltung einzusetzen, | ||
+ | nicht in einem Rechenzentrum, | ||
+ | Zugriff hätten." | ||
+ | |||
+ | |||
+ | |||
+ |