Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
microsoft365 [2020/08/30 09:56] – Backup-Link hinzugefügt kai_rejisutamicrosoft365 [2023/06/02 22:19] (aktuell) micha_cyber4edu
Zeile 1: Zeile 1:
 +<WRAP info>Update 2023: hier haben wir vor Microsoft Teams und Microsoft 365 gewarnt, nun wurde Microsoft mit dem wenig begehrten Negativpreis [Big Brother Award](https://bigbrotherawards.de/2023/microsoft) für sein Lebenswerk ausgezeichnet!
 +
 +"Die Konferenz der deutschen Datenschutzaufsichtsbehörden hat im November 2022 nach jahrelanger Diskussion mit Microsoft einstimmig festgestellt, dass Microsoft 365 nicht mit der DSGVO in Einklang zu bringen sei."
 +</WRAP>
 +
 +
 **Datenschutz beim Microsoft-Produkt Teams** **Datenschutz beim Microsoft-Produkt Teams**
 +
 +//„Ein Arbeitskreis der Datenschutzkonferenz von Bund und Ländern hält einen rechtskonformen Einsatz von Microsoft 365 in öffentlichen Institutionen für unmöglich.“[1]
 +//
  
 Die Probleme beginnen bereits damit, dass Microsoft nicht transparent Die Probleme beginnen bereits damit, dass Microsoft nicht transparent
Zeile 39: Zeile 48:
   * Ungeklärt ist die Zweckbindungspflicht. Während Art. 5 Abs. 1b der DSGVO fordert, dass der Zweck der Datenverarbeitung vor der Erhebung festgelegt wird, lässt die Microsoft bei den Telemetrie- und Diagnosedaten im Allgemeinen.   * Ungeklärt ist die Zweckbindungspflicht. Während Art. 5 Abs. 1b der DSGVO fordert, dass der Zweck der Datenverarbeitung vor der Erhebung festgelegt wird, lässt die Microsoft bei den Telemetrie- und Diagnosedaten im Allgemeinen.
  
-  * Dass die Telemetrie- und Diagnosedaten außerhalb des Geltungsbereichs der DSGVO übermittelt werden ist zur Zeit aufgrund des bestehenden EU-US Privacy Shields rechtens. Doch dessen Wirksamkeit etc. wird derzeit vor dem EuGH überprüft.+  * Dass die Telemetrie- und Diagnosedaten außerhalb des Geltungsbereichs der DSGVO übermittelt werden wurde mit dem EU-US Privacy Shields erklärt - diesen hat der Europäische Gerichtshof jedoch für rechtswidrig erklärt.
  
   * Völlig ungeklärt ist noch, wie sich Microsoft im Falle einer Herausgabeforderung von US-Behörden (z.B. der NSA) verhält. Der CLOUD-Act (Clarifying Lawful Overseas Use of Data Act) verpflichtet US-Firmen zur Herausgabe von bei ihnen gespeicherten Daten von Nicht-US-Bürgern. Nach US-amerikanischer Rechtsauffassung ist dies auch ohne ein Rechtshilfeersuchen an die zuständigen europäischen Sicherheitsbehörden möglich.   * Völlig ungeklärt ist noch, wie sich Microsoft im Falle einer Herausgabeforderung von US-Behörden (z.B. der NSA) verhält. Der CLOUD-Act (Clarifying Lawful Overseas Use of Data Act) verpflichtet US-Firmen zur Herausgabe von bei ihnen gespeicherten Daten von Nicht-US-Bürgern. Nach US-amerikanischer Rechtsauffassung ist dies auch ohne ein Rechtshilfeersuchen an die zuständigen europäischen Sicherheitsbehörden möglich.
  
   * Das europäische Datenschutzrecht schreibt vor, dass Daten zu löschen sind, wenn ihr Zweck erfüllt wurde oder eine gesetzliche Aufbewahrungszeit abgelaufen ist. Die Aufbewahrungsdauer der Diagnosedaten verstößt deshalb gegen die Löschpflicht aus Art. 17 Abs.1 der DSGVO.   * Das europäische Datenschutzrecht schreibt vor, dass Daten zu löschen sind, wenn ihr Zweck erfüllt wurde oder eine gesetzliche Aufbewahrungszeit abgelaufen ist. Die Aufbewahrungsdauer der Diagnosedaten verstößt deshalb gegen die Löschpflicht aus Art. 17 Abs.1 der DSGVO.
 +
 +* Die Datenschutzerklärungen von Microsoft sind auf mehr als 400 Seiten niedergelegt.[2] Eine informierte Entscheidung wird somit allen Beteiligten - Schulleitungen, Lehrer*innen, Eltern, Schüler*innen quasi unmöglich gemacht.
  
 Mit erhöhtem Datenschutzrisiko ist auch die Nutzung der Web-Version von Microsoft 365 verbunden, da die Cloud-Dienste von OneDrive womöglich auch nicht sicher sind. Auf die Speicherung von vertraulichen Informationen dort sollte verzichtet werden. Mit erhöhtem Datenschutzrisiko ist auch die Nutzung der Web-Version von Microsoft 365 verbunden, da die Cloud-Dienste von OneDrive womöglich auch nicht sicher sind. Auf die Speicherung von vertraulichen Informationen dort sollte verzichtet werden.
Zeile 68: Zeile 79:
  
 Neben dieser klaren datenschutzrechtlichen Einschätzung stellt sich die Frage, ob man Kinder und Jugendliche auf ein Produkt prägen möchte. Neben dieser klaren datenschutzrechtlichen Einschätzung stellt sich die Frage, ob man Kinder und Jugendliche auf ein Produkt prägen möchte.
 +
 +[1] [[https://www.heise.de/news/Datenschuetzer-sehen-Microsoft-365-in-Behoerden-als-nicht-rechtskonform-an-4893604.html|Heise: Datenschützer sehen Microsoft 365 in Behörden als nicht rechtskonform an]]
 +
 +[2] [[https://www.heise.de/hintergrund/Schule-digital-K-ein-Platz-fuer-Microsoft-4875272.html?seite=all|Heise: Schule digital: (K)ein Platz für Microsoft]]
  
 Ergänzung: Ergänzung:
Zeile 84: Zeile 99:
  
 * [Backup-Strategie?](https://www.theregister.com/2020/08/24/kpmg_microsoft_teams/) * [Backup-Strategie?](https://www.theregister.com/2020/08/24/kpmg_microsoft_teams/)
 +
 +* [Wenn die Lizenz ausläuft...](https://www.sueddeutsche.de/bayern/bayern-homeschooling-microsoft-teams-1.5096581)
 +
 +Einzelne Datenschutzbeauftragte hierzu:
 +
 +* Nordrhein-Westfalen: „Eine Verwendung von Microsoft Office 365 hinsichtlich der Verarbeitung personenbezogener Daten kann daher nicht empfohlen werden.“ ([[https://www.schulministerium.nrw.de/themen/recht/datenschutz-im-schulbereich/fragen-und-antworten/sonstige-fragen-zum-datenschutzrecht|Quelle]])
 +
 +* Hessen: „Der Einsatz von Microsoft Office 365 an Schulen ist datenschutzrechtlich unzulässig, soweit Schulen personenbezogene Daten in der europäischen Cloud speichern.“ ([[https://datenschutz.hessen.de/pressemitteilungen/stellungnahme-des-hessischen-beauftragten-f%C3%BCr-datenschutz-und|Quelle]])
 +
 +* Berlin: „Leider erfüllen auch einige der Anbieter, die technisch ausgereifte Lösungen bereitstellen, die datenschutzrechtlichen Anforderungen bisher nicht. Dies trifft derzeit (Stand 3. Juli 2020) z. B. auf die Dienste Blizz, Cisco WebEx, Cisco WebEx über Telekom, Google Meet, GoToMeeting, Microsoft
 +Teams, Skype, Skype for Business Online und zoom zu. Mit NETWAYS Web Services Jitsi, sichere-videokonferenz.de, TixeoCloud, Werk21 BigBlueButton und Wire stehen allerdings Alternativen bereit, die die datenschutzrechtlichen Anforderungen erfüllen.“ ([[https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2020-BlnBDI-Empfehlungen_Videokonferenzsysteme.pdf|Quelle]])
 +
 +"Das Grundproblem liegt darin, dass Microsoft aufgrund der Beauftragung durch eine Behörde Kenntnis von Daten erhält, die auch für eigene Zwecke des Unternehmens genutzt werden, ohne dass hierfür eine Rechtsgrundlage ersichtlich wäre. Bei den Daten handelt es sich neben den Inhalten, die die Behörde verarbeitet, auch um Angaben über die Nutzerinnen und Nutzer, seien es Beschäftigte oder Schülerinnen und Schüler. Dies geschieht insbesondere über die Verwendung der Software.“ ([[https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/publikationen/jahresbericht/BlnBDI-Jahresbericht-2019-Web.pdf|Datenschutz und Informationsfreiheit, Jahresbericht 2019, S. 92]])
 +
 +* Baden-Württemberg: „[Der Datenschutzbeauftragte] rügte „strukturelle Mängel des Produkts Microsoft Office 365“, darunter Abflüsse von personenbezogenen Daten an den Hersteller.'' ([[https://www.baden-wuerttemberg.datenschutz.de/microsoft-plaene-erhitzen-weiter-die-gemueter/|Quelle]])
 +
 +* Bremen: „Sie [die Bremer Datenschutzbeauftragte] rate dringend davon ab, das MicrosoftPaket 365, so wie es aktuell konfiguriert sei, in der bremischen Verwaltung einzusetzen, da die Daten
 +nicht in einem Rechenzentrum, sondern in einer Cloud verarbeitet würden, auf die zahlreiche Stellen
 +Zugriff hätten." ([[https://sd.bremische-buergerschaft.de/sdnetrim/UGhVM0hpd2NXNFdFcExjZQCm-IM3U-2aMDAOBsvGIXi4y4P0GGCbYb2XKVn9xUCH/Beschlusstext_TOP_5.1.2_-oeffentlich-_Ausschuss_fuer_Wissenschaft-_Medien-_Datenschutz_und_Informationsfreiheit_17.10.2018.pdf|Quelle]])
 +
 +
 +
 +