EU-Maßnahmen zur DSGVO-Konformität von MS-Produkten

Nächster Schlenker in Sachen Microsoft und Datenschutzgrundverordnung. Die EU-Datenschützer haben nun erneut ihre Bedenken im Hinblick auf Konformität der Microsoft Produkte im Hinblick auf die DSGVO (GDPR) geäußert. Der EU-Datenschützer arbeitet darauf hin, dass für alle Behörden und auch Anwender innerhalb des europäischen Wirtschaftsraums (EWR) die gleichen Datenschutzregeln beim Abschluss von Verträgen mit Microsoft gelten sollten. Das gilt auch für die Verarbeitung von Daten in der Cloud.


Anzeige

Konkret hat sich der EU-Datenschützer (European Data Protection Supervisor, EDPS) in einer Pressemitteilung mit dem Titel EDPS investigation into IT contracts: stronger cooperation to better protect rights of all individuals zum Thema geäußert.

Der Hintergrund

Die EU sorgt sich darum, dass Microsoft die einzelnen Behörden der Mitgliedstaaten datenschutzmäßig über den Tisch zieht. Die Sicht des EU-Datenschützers: Die Zusammenarbeit zwischen Behörden der Mitgliedstaaten, den EU-Institutionen und anderen internationalen Organisationen ist unerlässlich, um sicherzustellen, dass vertragliche Vereinbarungen und Maßnahmen mit Microsoft ein gleiches Schutzniveau für die individuellen Rechte im gesamten Europäischen Wirtschaftsraum (EWR) gewährleisten.

Geänderte Vertragsbedingungen, technische Garantien und Einstellungen, die zwischen dem niederländischen Justiz- und Sicherheitsministerium und Microsoft vereinbart wurden, um die Rechte des Einzelnen besser zu schützen, zeigen, dass es bei der Entwicklung von Verträgen zwischen der öffentlichen Verwaltung und den leistungsfähigsten Softwareentwicklern und Online-Dienstleistern erhebliche Verbesserungsmöglichkeiten gibt.

Der EDPS ist der Ansicht, dass solche Lösungen nicht nur auf alle öffentlichen und privaten Einrichtungen in der EU ausgedehnt werden sollten, was unsere kurzfristige Erwartung ist, sondern auch auf Einzelpersonen. Ein guter Ansatz, da die Datenschutzgrundverordnung genau das fordert.

Die Vorgeschichte

Im April 2019 leitete der Europäische Datenschutzbeauftragte (EDSB) eine Untersuchung über die Nutzung von Microsoft-Produkten und -Dienstleistungen durch EU-Institutionen ein. Bei der Untersuchung wurden die von den EU-Organen verwendeten Microsoft-Produkte und -Dienstleistungen ermittelt und geprüft, ob die zwischen Microsoft und den EU-Organen geschlossenen vertraglichen Vereinbarungen vollständig mit den Datenschutzbestimmungen übereinstimmen. Der EDSB prüfte auch, ob es geeignete Maßnahmen gibt, um die Risiken für die Datenschutzrechte von Einzelpersonen zu mindern, wenn EU-Institutionen Microsoft-Produkte und -Dienstleistungen nutzen.

Zwischenergebnisse liegen vor

Obwohl die Untersuchung noch nicht abgeschlossen ist, zeigen vorläufige Ergebnisse ernsthafte Bedenken hinsichtlich der Einhaltung der einschlägigen Vertragsbedingungen mit den Datenschutzbestimmungen und der Rolle von Microsoft als Verarbeiter für EU-Institutionen, die ihre Produkte und Dienstleistungen nutzen.

Ähnliche Risikobewertungen wurden vom niederländischen Justiz- und Sicherheitsministerium durchgeführt, wobei bestätigt wurde, dass die Behörden in den Mitgliedstaaten mit ähnlichen Problemen konfrontiert sind.


Anzeige

Gemeinsam mit dem niederländischen Justiz- und Sicherheitsministerium organisierte der EDSB am 29. August 2019 in Den Haag das erste EU software and cloud suppliers customer council (EU-Kundenrat für Software- und Cloud-Lieferanten). Dort gründeten die Teilnehmer das Haager Forum. Der Rat soll sowohl darüber diskutieren, wie die Kontrolle über die von den großen IT-Dienstleistern angebotenen IT-Dienste und -Produkte wiedererlangt werden kann. Er soll aber auch über die Notwendigkeit beraten, gemeinsam Standardverträge abzuschließen, anstatt die von diesen Anbietern festgelegten Bedingungen zu akzeptieren.

Der EDSB ermutigt alle betroffenen Parteien, dem Forum beizutreten und den EU-Datenschutzbeauftragten dabei zu helfen, faire Vertragsbedingungen für die öffentliche Verwaltung festzulegen. Es soll vor allem synergetisch gearbeitet und bewährte Praktiken bei der Auslagerung von Diensten, insbesondere in Cloud-Umgebung angewandt werden.

Erwartung: Einhaltung der Datenschutzvorschriften

Wojciech Wiewiórowski, stellvertretender EDSB, sagte: “Wir erwarten, dass die Einrichtung des Haager Forums und die Ergebnisse unserer Untersuchung dazu beitragen werden, die Einhaltung des Datenschutzes durch alle EU-Institutionen zu verbessern. Aber wir sind auch entschlossen, positive Veränderungen außerhalb der EU-Institutionen voranzutreiben, um einen maximalen Nutzen für möglichst viele Menschen zu gewährleisten. Die zwischen dem niederländischen Justiz- und Sicherheitsministerium und Microsoft erzielte Einigung über geeignete vertragliche und technische Garantien und Maßnahmen zur Risikominderung für Einzelpersonen ist ein positiver Schritt nach vorn. Durch das Haager Forum und die Stärkung der Zusammenarbeit im Regulierungsbereich wollen wir sicherstellen, dass diese Schutzvorkehrungen und Maßnahmen für alle Verbraucher und Behörden gelten, die im EWR leben und tätig sind”.

Bei der Nutzung der Produkte und Dienstleistungen von IT-Dienstleistern lagern die EU-Institutionen die Verarbeitung großer Mengen personenbezogener Daten aus. Dennoch bleiben sie für alle in ihrem Namen durchgeführten Verarbeitungstätigkeiten verantwortlich. Sie müssen die Risiken bewerten und über angemessene vertragliche und technische Garantien verfügen, um diese Risiken zu minimieren. Gleiches gilt für alle im EWR tätigen Controller.

Wie der verstorbene EDSB Giovanni Buttarelli in einem Blog-Beitrag im April 2019 betonte, ist Transparenz entscheidend für die Gewährleistung von Daten- und Verbraucherschutz in vertraglichen Vereinbarungen. Sie trägt nicht nur dazu bei, Praktiken aufzudecken, die darauf abzielen, Menschen dazu zu bringen, eine übermäßige Verarbeitung personenbezogener Daten zu akzeptieren oder in Kaufentscheidungen zu stürzen, sondern auch, wenn sie sich für eine Dienstleistung anmelden, sollten sie nicht gezwungen werden, die Verarbeitung personenbezogener Daten zu akzeptieren, mit der sie nicht einverstanden sind. (via)

Ähnliche Artikel:
Windows 10: Datenschutz-Infosplitter …
EU-Datenschutzbeauftragter untersucht Microsoft-Produkte
BSI-Einstufung: Windows 10 ist ein ‘Datenschutz-Unfall’
Windows 10 sendet trotz Deaktivierung Aktivitäten an MS
Datenschützer fordert: Microsoft muss die Windows 10 Datenübertragung abschalten
Open Source, Windows 10, der Bundesclient und Europas fatale Abhängigkeit von Microsoft …
l Windows 10: Microsoft legt gesammelte Daten offen
Schweizer Datenschützer akzeptieren Windows 10-Anpassung
Windows 10 Enterprise: Updates und die Telemetriefalle
Windows 10: Telemetrie für Update-Steuerung zwingend?
Windows 10 und das Datenschutzproblem in Firmen
Windows 10: Neues von der Datenschutzfront
Office: Bevorzugtes Angriffsziel, und Microsoft bessert wegen DSGVO nach
Privacy: Microsoft steht mit Windows 10/Office 365 unter Druck
Microsoft will Office Pro Plus DSGVO-konform nachbessern
Microsoft Office spioniert Nutzer aus, kollidiert mit DSGVO
Windows 10 erneut im Fokus der EU-Datenschützer


Anzeige
Dieser Beitrag wurde unter Allgemein, Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu EU-Maßnahmen zur DSGVO-Konformität von MS-Produkten


  1. Anzeige
  2. Herr IngoW sagt:

    Werden die Fragen auch an “Alphabet/Google” gestellt oder nur MS, oder doch allen Software-Firmen?

    • Günter Born sagt:

      Mir ist nicht bekannt, dass Alphabet/Google da signifikante Verträge mit EU-Behörden hat. Außer bei AI (GSuite) ist Google ziemlich außen vor, was Betriebssysteme und Office-Software betrofft. Ergp gibt es dort auch keinen Grund, da wegen Verträgen vorrangig nachzuhaken. Man zieht immer erst die dicken Fische mit der Angel an Land ….

  3. Andres Müller sagt:

    Das Problem bei Microsoft wie auch bei Google und Apple sind die betroffenen Infrastrukturen der Konzerne welche im jeweiligen Hoheitsgebiet von Staaten liegen welche über offene oder geheime nationale Verordnungen zur (geheimen) Herausgabe von Daten verfügen und deshalb mit entsprechend mächtigen Abhörvorrichtungen ausgestattet wurden.

    So ist bekannt das zum Beispiel Microsoft nach Anweisung des Staates (Routine-Prozesse) in allen privaten Daten nach bestimmtem Bildmaterial scannen muss, vorgeblich um privat begangene Verbrechen wie Kinderpornografie aufzudecken. Seit spätestens Snowden sind aber auch geheime Abhörprogramme und staatlich geheime Verordnungen durchgesickert die seitdem unter Trump (vermutlich gemäss Prinzip “american first”) weiter ausgebaut wurden.

    Wenn man nun mit Microsoft oder anderen Konzernen Datenschutz -Verträge abschliesst, so sind deren Produkte trotzdem von zum Bespiel dem US-“Heimatschutz” betroffen.

    Das bedeutet in diesem Fall das z.B. im geheimen abgehaltene Gerichtsverfahren die Verträge der Konzerne mit anderen Staaten und Privatpersonen ausser Kraft gesetzt werden können um dem “Heimatschutz” Zugriff auf sämtliche Daten zu ermöglichen.

    Es ist auch bekannt das auch politische Motive genügen um in den USA Zugriff auf eine Firmen -Cloud zu erlauben oder um die Internetverbindungen betreffender Konzerne in Echtzeit abhören zu können. Seit Snowden wissen wir zudem dass dies auch gegenüber “(Merkel) Freunden” praktiziert wird.

    Anmerkung: Selbstverständlich machen das auch die Chinesen, die riesigen Datenverarbeitungsanlagen in Shenzhou und Umgebung werden automatisch gescannt und daraus zum Beispiel das Verhalten der Bürger verfolgt um individuelle Profile zu erstellen, oder auch um Gruppenverhalten zu erfassen. In China geschieht das nicht einmal im Geheimen, ich habe dies bereits in deren staatlichen Medien nachgelesen, man ist sogar stolz darauf.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.