Microsoft 365 an Schulen, Baden-Württembergs Datenschützer sagt Nein

Sicherheit (Pexels, allgemeine Nutzung)Es war eigentlich ein „Scheitern mit Ansage“ – Ende April 2021 wurde bekannt, dass der Landesbeauftragte für Datenschutz, Stefan Brink, gravierende Bedenken gegen den Einsatz von Microsoft 365 (samt Office 365) in den Schulen Baden-Württembergs hat. Entgegen der Planung des Kultusministeriums geht Brink nach monatelangen Prüfungen davon aus, dass Microsoft sein Produkt nicht datenschutzkonform bereitstellen kann. Etwas offizielles als Stellungnahmen gibt es aber wohl (noch) nicht.


Anzeige

Der Elefant im Raum

Das Ganze hat eine etwas längere Vorgeschichte und reguläre Blog-Leser wissen, dass ich extreme Vorbehalte gegen einen Einsatz von Windows 10 und Microsoft Office 365 in Behörden und vor allem in Schulen habe. Speziell Microsoft Office 365 ist ein Datenschutzunfall – im Beitrag DSGVO, Microsoft Office und die Datenschutzprobleme hatte ich bereits 2019 das Problem angerissen. Das niederländische Ministerium für Sicherheit und Recht wollte sichergehen, das die eingesetzte Software im Einklang mit der Datenschutzgrundverordnung und gesetzlichen Bestimmungen ist. Unter anderem kommt auch Microsoft Office in niederländischen Behörden zum Einsatz. Daher wurde die Privacy Company beauftragt, zu untersuchen, ob Produkte wie Microsoft die Privatsphärenvorgaben im Hinblick auf öffentliche oder gesetzliche Vorgaben erfüllt. Die Ergebnisse dieser Data Protection Impact Assessment (DPIA) sind alarmierend. Microsoft sammelt und speichert personenbezogene Daten über das Verhalten einzelner Mitarbeiter in großem Umfang ohne jegliche öffentliche Dokumentation.

Seit dieser Zeit dräut das Thema so vor sich hin. Microsoft „verspricht“ Nachbesserungen, die Datenschützer „wollen prüfen“, genehmigen „übergangsweise“ den vorläufigen Einsatz der Microsoft-Produkte Windows 10 und Office 365, verlustieren sich teilweise aber in den Prüfungen an Produktversionen, die so gut wie keine Relevanz in der Praxis besitzen (z.B. Windows 10 Enterprise LTSC 1809). Im Grund steht da immer ein Elefant im Raum, wenn es um den Einsatz von Microsoft-Produkten in Schulen und Behörden geht. Jeder weiß es, keiner will es laut aussprechen: Das Microsoft Zeug kann nicht DSGVO-konform eingesetzt werden. Wenn dann mal ein Datenschutzbeauftragter eine Position der Art „geht nicht“ vertritt, wird schnell glatt gebügelt „Microsoft bessert nach“ und wir Datenschützer prüfen mal wieder …

Als ich letzte Woche den Artikel Microsoft: Daten europäischer Firmen/Behörden bleiben in Europa hier im Blog gepostet habe, in dem Microsoft das Versprechen gibt, bis Ende 2022 sicherstellen zu wollen, dass Daten von Behörden und Firmen, die in der Cloud gespeichert werden, auf europäischen Servern bleiben, habe nicht nur ich sich verwundert die Augen gerieben. War doch das Credo bisher: Europäische Daten liegen auf europäischen Servern, da sorgt Microsoft für. Ich formuliere es mal so: Es gibt auch Leute, die zwei Mal heiraten, im Glauben, das hält besser. Der Datenschutzaktivist Max Schrems meint dazu „die NSA erhält weiter Zugriff auf die Daten“, wie ich die Tage hier gelesen habe.

Der Fail in Baden-Württembergs Schulen

Ich hatte es im Blog-Beitrag Ärger um Microsoft 365 an Schulen in Baden-Württemberg angesprochen. Vor der Landtagswahl 2021 in diesem Bundesland war bekannt geworden, dass das Kultusministerium um die damalige Ministerin Susanne Eisenmann Microsoft 365 an den Schulen Baden-Württembergs einsetzen möchte. Gab einen Sturm der Entrüstung. Dann gab es die Tage die Ankündigung des BelWü, Schulen aus dem Hochschulnetz rauszuwerfen (Baden-Württemberg: Belwue beendet alle Dienste für Schulen). Die Stellungnahme des Ministeriums lässt sich im Beitrag Baden-Württemberg: Belwue beendet alle Dienste für Schulen nachlesen.

Im November 2020 konnte man noch von einem Microsoft 365-Pilotprojekt an Schulen in Baden-Württemberg lesen. Der baden-württembergische Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDi), Stefan Brink, hatte einem Pilotprojekt mit Microsoft 365 an 20 bis 30 Schulen zugestimmt. Dies geschah im Rahmen seiner Prüfung der Datenschutz-Folgenabschätzung (DSFA) für eine datenschutzkonforme Nutzung von Microsoft 365-Werkzeugen als Teilbereich der Digitalen Bildungsplattform, berichtete seinerzeit das Ministerium für Kultus, Jugend und Sport.

Ende April 2021 wurde dann bekannt, dass der baden-württembergische Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDi), Stefan Brink, gravierende Vorbehalte gegen Microsoft 365 in Schulen hegt. Man kann es auch klar benennen: Microsoft 365 kann in Schulen nicht datenschutzkonform eingesetzt werden. Erstmals berichtete die Badische Zeitung über die gravierenden Bedenken Brinks. Der Zeitung lag eine schriftliche „Bewertungen und Empfehlungen“ Brinks zu einem Pilotversuch des Ministeriums zum Test des Programm-Pakets an rund 30 Schulen vor. Die Zeitung schreibt, dass der Datenschützer von einem Einsatz der Software abrate.

Die Datenschutzbehörde hatte unter der Leitung von Stefan Brinks den inzwischen beendeten Pilotversuch in den Schulen begleitet. Dabei wurden unter anderem „zahlreiche Datentransfers in die USA, die nicht unterbunden werden können“, festgestellt. Das ist aber laut der Rechtsprechung des Europäischen Gerichtshofs (Privacy Shield-Urteil) problematisch. Einige sogenannte Telemetrie- und Diagnosedaten hätten nicht deaktiviert oder reduziert werden können, zitiert die Badische Zeitung und schreibt: Microsoft verarbeite die Daten „im Wege der Beobachtung, Aufzeichnung und Auswertung des Nutzer- und Geräteverhaltens ohne erkennbare Rechtsgrundlage“ weiter. Dies sei besonders problematisch, als es sich bei Nutzern künftig um minderjährige Schüler handeln könnte, so die Einstufung der Datenschützer.

Die Kollegen von heise haben das Ganze in diesem Artikel ebenfalls aufbereitet, weshalb ich darauf aufmerksam wurde. Dort ist das Ergebnis der Tests durch den Datenschutzbeauftragten Brink in ein vernichtendes Urteil eingeflossen: Die Schulen hätten keine vollständige Kontrolle über das Gesamtsystem und den Auftragsverarbeiter in den USA. Sie könnten nicht ausreichend nachvollziehen, welche personenbezogenen Daten wie und zu welchen Zwecken verarbeitet werden. Auch könnten sie nicht nachweisen, dass die Verarbeitung auf das notwendige Minimum reduziert ist.


Anzeige

Ich zitiere mal einen Absatz aus dem heise-Artikel: Nicht komplett ausgeschlossen werden könne, dass Microsoft 365 in anderer Modifikation in Schulen rechtskonform einsatzbar sei, „es ist in den vergangenen Monaten auch nach intensiver Zusammenarbeit und mit hohem Personaleinsatz aber nicht gelungen, eine solche Lösung zu finden“, resümiert Brink. Daher erscheine es mehr als fraglich, ob es den für die Datenverarbeitungen verantwortlichen Schulen und dem Kultusministerium gelingen kann, die getesteten Produkte rechtssicher zu nutzen.

Da ist er wieder, der Elefant im Raum. Es wurde geprüft und gewogen, über Monate, herausgekommen ist „egal wie man es dreht und wendet, es klappt nicht“. Statt zu sagen „Klappe zu, Affe tot“, es hat keinen Sinn, das wird nix, eiert man wie bei der Datenschutzprüfung von Windows 10 herum: Wenn wir Microsoft genügend Zeit geben, könnte es, wenn alle wollen und können, vielleicht, möglicherweise, wenn alle Datenschützer die Augen feste zudrücken, doch noch irgendwie mit dem DSGVO-konformen Ansatz von Microsoft 365 klappen.

An dieser Stelle muss ich aber auch mal fair sein, ich habe jetzt einen Sack Kreide dazu gefressen. Schauen wir doch mal auf den Zeitstrahl, bei Windows 10 hatte Microsoft ja erst knapp 6 Jahre Zeit, das DSGVO-konform zu gestalten – und es konnte ja keiner ahnen, dass die 2016 in der EU beschlossene GDPR (in deutsch DSGVO) im Mai 2018 verpflichtend wird. Und bei Office 365 ist es ja noch schwieriger, da bastelt Microsoft all die schönen Funktionen wie Teams, Outlook, OneDrive etc. rein, die die Cloud nutzen können müssen. Und dann schauen die undankbaren Leute, denen wir das Zeugs fast schenken, nur noch auf den schnöden Datenschutz …

Ähnliche Artikel:
Privacy: Microsoft steht mit Windows 10/Office 365 unter Druck
Ärger um Microsoft 365 an Schulen in Baden-Württemberg
BW: Digitalpakt Schule und die ‘Microsoft-Ausschreibung’
Ministerium äußert sich zu Belwü-Exit an Schulen: Mir könnet nix, außer labern
Baden-Württemberg: Belwue beendet alle Dienste für Schulen
DSGVO, Microsoft Office und die Datenschutzprobleme
Datenschutzbeauftragter verkündet Aus für Teams an Hessens Schulen
Office365 an Schulen unzulässig – Microsoft-Lizenzkosten für Bund steigen
Microsoft 365 ‘Workplace Analytics’ Productivity Score: Microsoft bessert Datenschutz nach
Microsoft 365 ‚Workplace Analytics‘ – Anwender-Produktivitätsüberwachung
Datenschützer fordern digitale Souveränität und Nachbesserungen bei Office 365
Safe Harbor: EuGH erklärt Abkommen für ungültig
Safe Harbor laut EuGH-Generalanwalt ungültig
Klage gegen “EU-US Privacy Shield”
EuGH kippt EU-US-Datenschutzvereinbarung “Privacy Shield”
EU droht mit Kündigung des US-Privacy Shield-Abkommens
Microsoft: Daten europäischer Firmen/Behörden bleiben in Europa
Silicon Valley-Eliten verbannen Tablet & Co. aus Schulen
Ärger um Berliner Datenschutzprüfung von Videokonferenzsoftware
Dortmund goes Open Source
Behörden sollen unverzüglich auf Microsoft verzichten, fordern MVs Rechnungshof und Datenschutzbeauftragter
EU-Datenschutzbeauftragter untersucht Microsoft-Produkte
Microsoft und die Privatsphäre in Office 365 und sonst
Microsoft will Office Pro Plus DSGVO-konform nachbessern
Microsoft Office spioniert Nutzer aus, kollidiert mit DSGVO
BSI-Einstufung: Windows 10 ist ein ‘Datenschutz-Unfall’


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Office, Sicherheit, Windows 10 abgelegt und mit Datenschutz, Office 365, Windows 10 verschlagwortet. Setze ein Lesezeichen auf den Permalink.

29 Antworten zu Microsoft 365 an Schulen, Baden-Württembergs Datenschützer sagt Nein

  1. Stefan sagt:

    Ist das bei Apple so viel besser?
    Ich meine ich kenne einige Schulen in denen durchwegs auf Apple gesetzt wird. Ich dachte die seien auch nicht unbedingt Engel , was daten Sammlung angeht.

    Gruß

  2. Chris sagt:

    Das Problem muss auf Europa Ebene gelöst werden, ansonsten wird das nie was.

    MS bessert immer nur in dem Land nach das ein Produkt kritisiert und dann auch nur genau diese Version des Produktes. Kritisieren die Niederlande Office 2016 Enterprise, wird eine nur die Enterprise Version für die Niederlande soweit angepasst das es akzeptiert wird. Home & Business? Professional? Die Funken fröhlich weitere, wurden ja nicht beanstandet. Das selbe bei Win 10, Education und Enterprise werden nachgebessert, Pro und Home fallen unter den Tisch.

    Die DSGVO sollte immer bei allen Produkten eines Herstellers gewährleistet sein und nicht nur für die Version die mal kritisiert wurde.

    Solange da auf Europaebene nicht mal einer auf den Tisch haut und die Anbieter von Software in die Pflicht nimmt, wird das nie was. Die Pflicht der Einhaltung der DSGVO auf Softwareebene funktioniert nicht indem man dem Käufer die Einhaltung aufbürdet.

    • Anonymous sagt:

      Volle Zustimmung!

      • Max sagt:

        Das kann auch auf europäischer Ebene nicht gelöst werden und dies hat einen ganz einfachen Grund: Das nahezu nahtlose Verknüpfen diverser Microsoft-Dienste für einen „grenzenlosen“ Datenverkehr.

        Microsofts Strategie liegt momentan eindeutig darin, seine Kundschaft von Microsoft Teams und künftig auch von Microsoft Viva abhängig zu machen. Man nutzt dabei die Bequemlichkeit, wohl mehr aber den „Burggraben“-Effekt, den Microsoft Teams auslöst. Office ist schon weitestgehend in Teams integriert, zumindest, was ich bei meiner Arbeitgeberin so täglich erlebe. Jetzt kommt Microsoft Viva dazu.

        Für viele Unternehmen und Behörden scheint es lukrativ zu sein sich ausschließlich mit Microsoft-Diensten zu beschäftigen, weil eben alles aus einer Hand kommt. Wir schaffen es nicht mal uns beispielsweise mit Exchange-Alternativen wie Zimbra oder Kolab auseinanderzusetzen. Und das setzt sich bei anderen Diensten nahtlos fort.

        Das scheinbar unerschöpfliche Kapital von Microsoft und Co. ist es, die die Plattformökonomie mit seinem Lock-in- oder Moat-Effekt begünstigen. In der haben kleine Player meist schlechte Karten, schon allein finanziell. Hinzu kommt aber auch, dass gerade wir Deutschen ziemlich schlecht darin sind benutzerfreundliche Softwarelösungen zu entwickeln. Vieles wird unnötig kompliziert gestaltet, wenn ich mir entsprechende Alternativen so ansehe. Da reden wir noch nicht mal vom Design.

        Ergo ist es ein Wunschdenken, dass Europa das Problem löst, was nicht mal die USA federführend unter der Federal Trade Commission (FTC) gelöst bekommt, nämlich die wettbewerbsfeindliche Marktmacht von Microsoft und Konsorten.

        • Andy sagt:

          Exchange ist bei uns auch ein Dogma, keiner Sachdiskussion zugänglich. Ebenso wie Outlook, Word, Excel, Powerpoint, Visio.
          Für Exchange habe ich eine Anforderungs- und Kostenanalyse erstellt und Alternativen – unserer Nutzung entsprechend – aufgezeigt.
          Konkrete Einschränkungen wären Null gewesen, Kosten deutlich niedriger.
          Wurde gelesen und ohne Begründung abgelehnt, nur „keine weitere Diskussion erwünscht, Mehrkosten bewilligt“ (na immerhin…)

          Auch an anderer Stelle ist das höchst verstörend, wenn Hinweise „von oben“ zu einem Backend-Basis-Verfahren gegeben werden, mit denen niemand außerhalb der IT direkt zu tun haben wird und wo man den Hinweisen anmerkt, dass denen das Produkt völlig unbekannt ist („Microsoft-Workflow-Server kann jeder bedienen“).
          Da muss irgendwo ein Nest von Spezial-Powerpoints sein, wo man dieses profunde Entscheiderwissen tanken kann…

          • Max sagt:

            Das kenne ich allzu gut. Sich mit Alternativen auseinanderzusetzen bedeutet eben auch, dass man im Unternehmen oder in der Verwaltung Personal hat, dass die Alternativen fachgerecht instandhalten und betreuen kann. Genau daran scheitert es. Das sieht extern auch nicht besser aus.

            Meine Arbeitgeberin bietet für die Software, die wir verkaufen, keinen nativen Support für macOS an. Grund: Wir haben kein Supportpersonal, dass sich mit macOS auskennt. Also bleibt die Abhängigkeit von Microsoft und Kunden, die nicht länger warten wollen, wandern zur Konkurrenz ab.

            Bislang wurde unser Exchange bei einem Dienstleister gehostet. Jetzt wandert alles zu Microsoft 365 mit Azure AD bei einem großen IT-Dienstleister. Von Zimbra oder Kolab wollte man nichts wissen.

            Mein Vorschlag Microsoft Teams durch Wire zu ersetzen, wurde ebenfalls kommentarlos abgelehnt, obwohl es für unsere Zwecke vollkommen ausreichend ist.

            Inzwischen habe ich es aufgegeben mich für Alternativen stark zu machen.

        • Chris sagt:

          Natürlich kann Europa das regeln, ganz einfach sogar:

          Es muss dem Käufer einer Software immer zu 100% möglich sein zu bestimmen ob, welche und wohin seine Software Daten überträgt. Es darf kein unkontrollierten Abfluss von Daten geben und die Software muss diese Einstellung immer als Default Einstellung mitbringen.
          Erlaubt man der Software Telemetriedaten zu Übertragen, sind diese komplett offen zu legen und jedezeit einsehbar zu sein.

          Erfüllt eine Software diese Vorgaben nicht, wird Sie als „nicht DSGVO“ konform eingestuft und darf weder in Europa beworben, noch verkauft werden.

          Setzen Länder trotz einer Übergangsfrist weiter solche Software ein, haben Sie Strafen zu zahlen.

          Deklariert ein Hersteller seine Software als DSGVO Konform, aber kann Verbindungen und vom Käufer ungewollte Datenübertragungen nicht zu 100% erklären, hat der Hersteller Strafen zu zahlen

          Das ganze gilt natürlich sowohl für geschäftliche, als auch für private Software im EU Raum.
          Jede „Version“ einer Software hat ohne Aufpreis oder Zusatzmodul DSGVO Konform zu sein.

          Dann werden wir ja sehen wie schnell MS und auch andere Hersteller sich bewegen können damit der der europäische Markt nicht wegbricht.

          • mw sagt:

            Genau diese Prinzip wird andernorts durch die Eu erfolgreich praktiziert. Die Maschinenrichtlinie zwingt die Hersteller zu einer Risikobeurteilung. Diese ist zwar den Kunden zunächst nicht zugänglich, aber der Marktüberwachung. Der hersteller muss die Konformität mit der Richtlinie erklären und die notwendigen Unterlagen zur Prüfung bereithalten. Das könnte für Software und Dienstleistungen rund um die Datenverarbeitung auch praktiziert ewrden. Wenn dann der Verstoß noch mit empfindlichen Strafen, die sich am weltweiten Umsatz der Unternehmen bemessen geahndet wird, dann wird ein Schuh draus. Und die Marktüberwachung muss natürlich das Inverkehrbringen innerhalb der EU untersagen können.

  3. Blupp sagt:

    Es ist gut, dass es einen Blog gibt wo die Probleme so deutlich aufgezeigt werden. Leider macht diese Datenschutzatastrophe an den Schultüren nicht halt.
    Unser ehemaliger Steuerberater teilte vor einiger Zeit mit, dass wir zu Windows 10 wechseln müssen, der Client für DATEV setzt Windows 10 voraus…
    Datenschutz? Ach das ist doch alles professionelle Software..
    … wir haben die Konsequenzen gezogen.

    Es ist doch so: Man mus sicherstellen, dass die Daten nicht in falsche Hände geraten und nur zu dem Zweck verwendet werden zu dem sie erhoben wurden. Das kann man aber nur, wenn man die Daten unter vollständiger Kontrolle hat. Wenn nicht, wirds schwer weil man nicht prüfen kann was mit den Daten geschieht und man kann die Sicherheit nicht garantieren. Jedoch genau diese Garantie verlangt doch die DSGVO.
    Damit sollte die Geschichte eigentlich zu Ende sein, weil man die MS-Software in der gesamten EU nicht mehr einsetzten darf. Die Praxis sieht irgendwie anders aus und viel zu Viele machen bei dem Unsinn auchnoch mit.

  4. Olli sagt:

    Tja Schade das Trump weg ist. Trump wollte einen Handelskrieg und hat ihn auch begonnen. Das war für die EU der perfekte Zeitpunkt um gegenüber US Tech Konzernen die Zügel anzuziehen. Da hätte es gereicht zu sagen:

    Passt auf – mit Deadline zum xyz halten eure Produkte in Europa die Gesetze der EU ein und IHR weißt das technisch nach das auch so ist, oder keines eurer Produkte darf mehr in der EU veerkauft und benutzt werden und IHR erstattet den Käufern die Kosten für EURE illegalen Produkte und stellt Werkzeuge zum Umzug in legale Produkte bereit sonst hagelt es Strafen in einer Höhe, dass die Tränen eurer Investoren den Meeresspiegel ansteigen lassen.[/Traum]

  5. Paul sagt:

    Wie lang es wohl noch dauern wird bis man die de.mail-Lösung nimmt, und die Gesetze ändert?

    Man hat ja de.mail für die Kommuikation mit dem Finanzamt vorschreiben wollen.
    „leider“ ist de.mail NSA/BND-konform und entschlüsselt „nur ganz kurz zum Viren scan, Sie wissen schon“ jede eMail -nur ganz ganz- kurz mal.
    Das sprach gegen das Steuergeheimnis. Also wurde das Steuer-Gesetz geändert, und man durfte die Todgeburt de.mail benutzen…
    Das gleiche Muster beim „verschlüsselten“ „besondere elektronische Anwaltspostfach (beA)“, das den symetrischen Schlüssel auch „kurzmal“ entschlüsseln im HSM muß
    Natürlich lassen sich Faxe schlechte erfassen…
    Erkennt wer irgendwie ein Muster?

  6. Eichmeyer sagt:

    Es ist wichtig, dass ein Anbieter wie Microsoft genau betrachtet wird. Auch ich habe mir in meiner Firma den Inhalt der Telemetrie und Diagnose angeschaut, um sicherzustellen das eine Anonymisierungen erfolgt und keine Kundendaten abwandern.
    In der Schule haben wir das Problem ja zum Glück nicht, da wir ganz einfach kein Microsoft verwenden.

    Bei uns, eine Schule in NRW, mussten (!) wir Eltern den Kindes iPads kaufen, um am digitalen Unterricht teilnehmen zu können. Und ganz klare Aussage der Schulen und der Stadt: im Gegensatz zu Windows und Office können iPads nach dem geltenden Regeln in NRW und DE bereitgestellt und eingesetzt werden. Dazu gehören neben der Apple ID ebenso Telemetrie- und Diagnose- Daten von Apple und alle weiteren genutzten Apps, die aus dem Applestore geladen werden müssen. USA ist hier irrelevant, da das Management durch einen Anbieter aus DE erfolgt.
    Von dem Nutzen von privaten Cloud- Anbietern wird jedoch dringend abgeraten, da in der Schule ausschließlich der lokale Server, eine Cloud- Anbieter aus DE sowie iCloud verwendet werden kann und darf.

    Noch Fragen? Das ist doch alles nur noch ein Witz was derzeit abgeht!

  7. Herr IngoW sagt:

    Mal ganz einfach gefragt, gibt es einen Anbieter der tatsächlich den Datenschutz ohne wenn und aber einhalten. kann?

    • mw sagt:

      Ja sicher. Jeder Anbieter KANN das. Nur wollen die Anbieter das nicht, weil sie durch den Datenabfluss zusätzliche Einnahmen generieren wollen. Es handelt sich leider nicht um einen vom Kunden bestimmten Markt.

  8. Andy sagt:

    Was um die Microsoft-Produkte herum „abgeht“, ist meines Erachtens nicht mehr rational zu erklären.
    Konkret habe ich mir z.B. für beruflich angezeigte Kritik an der Datenverarbeitungspraxis im Zuge eines Vergabeverfahrens jede Menge Ärger eingehandelt. Mir wurde sehr nachdrücklich nahegelegt, intern meine Kritik maximal einmal zu formulieren und fortan zu schweigen (also ad hoc auf dem Flur, mit 1 Minute Zeit ohne Vorbereitung und danach bitte nur noch nicken). Und vom Anbieter dürfe ich schon gar keine Antworten verlangen, wenn der nicht antworten wolle.
    Da ging es um sensible Daten und deren tatsächlichen, geographischen Speicherorte, also eben nicht nur „in der Microsoft Cloud“.

    Ein Haufen Drohkulisse, nur zum Zweck der Einschüchterung. Die sich immer wieder mit kleinen Abweichungen wiederholt, weil ich meinen Job ja trotzdem machen muss und es dazu gehört, die Standardliste für den Datenschutzbeauftragten als Zuarbeit abzufragen und die Antworten technisch einzuordnen.
    Insofern erwarte ich bei den Datenschutzbeauftragten der Länder nicht viel anderes, die werden sicher auch mächtig Druck hinter den Kulissen kriegen.

    Das Thema Microsoft vs. Datenschutz oder vs. Alternativen scheint jedenfalls völlig faktenresistent zu sein und wird von mir persönlich mittlerweile als ein Krieg von Vertretern einer bestimmten Management-Kultur (die sich in meinem Umfeld gerne als „Macher“ sehen und darstellen) gegen eine faktenbasierte Entscheidungsfindung wahrgenommen.
    Die Entscheidung steht da immer schon ganz am Anfang eines Beschaffungsprozesses fest und ab da soll nur noch begründet werden, warum es Microsoft sein muss. Kritik wird mit Druck und bei Nichterfolg mit Umschiffung beantwortet. Dann erfährt man halt erst hinterher, dass da was war und Termineinladungen gehen irgendwie ständig verloren.

    Warum das so ist, bleibt mir ein Rätsel. Vielleicht die Durchsetzung eigener Vorlieben oder das Selbstverständnis der Peer-Group.

    Schulen sind aber noch ein besonderes Thema. Und da kann man „faktenresistent“ glatt von Microsoft lösen. Was ich da (sicher nicht repräsentativ..) erlebe, darf man gar nicht weitererzählen. Das reicht von Lehrern, die immer wieder ihre Rechner mit Viren bereichern, weil sie irgendwas brauchen und die nichts daraus lernen wollen, bis hin zur Nutzung vom Outlook-Postfach als dauerhafte Vorgangsablage. Von Diskussionen (ja, Mehrzahl) über jahrelang nicht aktualisierte Betriebssysteme und darüber, warum man nachweislich mit Viren infizierte Rechner nicht mehr nutzen sollte („funktionieren ja noch“) und total überraschten Reaktionen, als das dann ein Rechner nach dem anderen ausfällt und der DSL-Anbieter die Leitungsabschaltung androht.
    Man wollte es halt nicht hören und nicht lesen, dutzende Male nicht.
    Hat irgendwie doch was von der Microsoft-Diskussion im Allgemeinen, die an den Schulen dann ja noch dazu kommt. Und warum sollten hier plötzlich Sachargumente eine Rolle spielen.

    Meine privaten Erfahrungen als Elternteil sind auch verstörend, aber ich belasse es mal bei den beruflichen…
    Und in dieses Will-nicht-hören-und-nicht-lernen-Umfeld wird jetzt ein Berg Technik gekippt, damit die Kinder dort den verantwortungsvollen Umgang mit datenverarbeitender Technik lernen.
    Das ist es also, was unsere Bildung voran bringen soll.

    Ich bitte, den Rant zu entschuldigen.
    Muss an dem Thema liegen, bei dem mit den Füßen aufstampfen und „ich will aber“ das Maß der Dinge zu sein scheint.

    • Günter Born sagt:

      Danke für die Insights.

    • Anonymous sagt:

      Ach das kenne ich nicht nur bei Microsoft Produkten. Im privaten habe ich auch schon lange aufgegeben über Whatsapp zu diskutieren. Ich bin der einzige in der Familie mit IT Hintergrund trotzdem wissen es alle besser und müssen einen ständig missionieren.

      Ich habe letztes Jahr im März auf die schnelle eine Lösung fürs HomeOffice aus dem Boden stampfen müssen. Jeder wirklich jeder meinte da mitreden zu müssen. Warum ich nicht einfach Citrix nehme ist doch so toll. War auch total easy das mal schnell noch nebenher aus dem Boden zu stampfen als Einzelkämpfer im Unternehmen mit 130 Clients und ca. 30 virtuellen Servern im Hyper-V Cluster! Ach ja Teams sollte ich natürlich auch schnell einführen, blöd nur das unser Office in der Telekom Cloud lag, also kein Teams :) Ich habe dann die Kündigung eingereicht und mir einen Job außerhalb der IT gesucht!

      Hauptgrund für meine Entscheidung waren die ständigen Diskussionen auf die ich einfach keinen Bock mehr hatte.

    • Karel sagt:

      Das deckt sich mit meinen privaten Erfahrungen mit Lehrkräften im Bekanntenkreis: deren beruflich genutzte private EDV-Ausstattung besteht in einem Fall noch noch aus WinXP Home (SP1!) mit Office 2000, einem vermutlich damals vorinstallierten und nie verlängerten McAfee, einem Yahoo-Mailkonto, Dropbox und einem Android7-Smartphone, im anderen immerhin Win7 Home, ein älteres OpenOffice, Dropbox und GMX. In beiden Fällen werden Zeugnisdateien, Klausuren usw. auch auf unverschlüsselten USB-Sticks „archiviert“, die immer mitgeführt werden und auch für Urlaubsfotos und deren Ausdruck im Drogeriemarkt um die Ecke und sonstige Dateitausche herhalten.
      Und immer die gleiche Argumentation: für mich reicht das noch. Läuft doch. Passiert doch nichts.
      Gibt es da keine Richtlinien oder Datenschutzschulungen, oder kann man die in der Schule ignorieren?

      • Niels sagt:

        Aus dem privaten Umfeld weiß ich von einer Schulleiterin die Ihre Entscheidung kund getan hat das es in Ordnung ist wenn die Lehrer mit den Eltern WhatsApp Gruppen bilden, Sie gibt das frei.

        Schulungen gibt es in Schulen eigentlich nahezu nie, im Bezug auf Datenschutz erst recht nicht.

        Ignorieren kann man es überall, solange nichts passiert. Selbst ein Auto ohne Bremsschreiben lässt sich eine gewisse Zeit bewegen…

  9. mw sagt:

    BTW: in BaWü wird gerade der Hundeführerschein heiß diskutiert. Wäre es nicht sinnvoll, einen Datenschutzführerschein zu verlangen, bevor jemand ein Datenverarbeitungsgerät wie Smartphone, Tablett oder PC benutzen darf?

    Und wenn wir gerade bei Datenschutz und sicherer IT sind, dann farge ich maich schon, warum dieser Blog WordPress benutzt.

    • Niels sagt:

      Ich bin nicht so im Bilde mit WordPress, hast du Infos (oder Quellen) was daran bei einer default Installation ein Problem darstellt?

      • Günter Born sagt:

        Das würde ich dann auch zu gerne wissen … oder lebt der OP noch in der Welt, dass alles in HTML auf einem Apache Server gestrickt wird? Vor allem: Was wäre die Alternative – bei einem Blog braucht es ein CMS, wenn es halbwegs flexibel gehandhabt werden soll.

        Ein WordPress sauber betreut, mit entsprechenden Sicherheitsfunktionen ausgestattet, sehe ich nicht so als das Problem – wobei ich nie sagen würde: Mein WP kann nicht gehackt werden.

        Bisher ist der WP-Auftritt die letzten 14 Jahre aber ohne SEO-SPAM und Hacks durchgekommen (täglich versuchen Bots oder Nutzer einzudringen, laufen aber ins Leere oder werden geblockt). Durch bestimmte Entscheidungen habe ich zudem dafür gesorgt, dass bestimmte Angriffsmethoden per se hier im Blog nicht funktionieren können. Da ist also längst keine Standard WP-Installation mehr am werkeln.

        • Niels sagt:

          Ein lokaler Apache mit HTML kann auch gehackt werden, mag schwerer sein aber auszuschließen ist es in meinen Augen nie.

          Betrachtet man die Möglichkeit eines Hacks schon als ausschluß Kriterium bezüglich DSGVO dürfte man meiner Ansicht nach weder eine Webpräsenz betreiben noch einen Internetanschluss buchen.

          Problematisch wäre WP nur dann, wenn es in den default Settings irgendwelche Drittanbieter nutzt oder Daten im größeren Stiel sammelt

  10. Blubmann sagt:

    Das eigentlich schlimme daran ist ja es wird immer Privacy-by-default und privacy-by-design vermittelt, aber letztlich ist das die Aufgabe des Verantwortlichen. Das kann das Microsoft schön abschieben….Wenn es aber keine Möglichkeit gibt die zwei Prinzipien vom Verantwortlichen durchzusetzen, weil es der Hersteller nicht ermöglicht, dann kommen wir in einen Konflikt. Microsoft stellt es natürlich sehr geschickt an alles so zu vernetzen und die Werbetrommel so zu schwingen, dass alles vollintegriert ist und die Leute drauf abfahren. Wobei das ja auch mit dem quasi Monopol von Microsoft zusammenhängt.
    Lösungen wie OnlyOffice z.B. gehen unter der ganzen Last von Microsoft unter.

  11. kOOk sagt:

    Das größte Problem in meinen Augen ist, dass nicht der Betreiber, hier Microsoft, vor den Datenschutzbehörden dafür haftete, dass eine Cloud-Lösung DSGVO-konform betrieben wird, sondern die nutzende Firma oder Behörde. Solange das so ist, besteht keinerlei Druck auf MS irgendwelche Änderungen herbeizuführen.

    • Zocker sagt:

      Du kannst einen Dienstleister nicht vorwerfen, dass sein Kunde die Gesetze nicht einhält. Es mag nämlich noch Fälle geben, wo der Einsatz DSGVO-Konform ist. Daher muss der Kunde spürbar bestraft werden. Und der wird sich dann schon nach Alternativen umsehen. Oder der Dienstleister passt seine Lösung an die DSGVO an, wenn er sie noch verkaufen will.

  12. Daniel S. sagt:

    Jetzt mal ganz ketzerisch gefragt: was ist die KONKRETE Gefahr bei der Geschichte? Vielleicht hat mir jemand 2-3 Beispiele. Ich sehe sie nicht oder bin Betriebsblind. Da macht Vater Staat einen auf Schützer des Datenabendlandes, bei uns in der FW werden aber munter (intimste) Einsatz(patienten)daten unverschlüsselt durch den Äther geschickt. Sei es per DME, Fax, E-Mail oder Funk. Oder weiß jemand mit wem das Einwohnermeldeamt so eure Daten teilt?!

    • Andy sagt:

      Ganz zufällig weiß ich, mit wem ein spezielles Meldeamt seine Daten so „teilt“. Das ergibt sich aus dem Melderechtsrahmengesetz (MRRG), datenübermittlungsverordnungen (die BMeldDÜVs) des Bundes, denen der Länder und innerhalb der Behörde danach, was der Hauptverwaltungsbeamte abgesegnet hat. Konkretere Auskunft zu Ihrem Meldeamt gibt es bei ihrem Meldeamt, bei Problemen einfach auf § 8 MRRG (Auskunft an den Betroffenen) verweisen.
      Es verstimmt mich immer wieder, das solche Rechte so gut wie gar nicht wahrgenommen werden, wurde doch vielerorts eine Menge Arbeit reingesteckt, solche Fragen transparent und auf Knopfdruck beantworten zu können.

      Die angefragte, konkrete Gefährdung liefere ich mal passend zum Thema:
      Bei der Passbeantragung kommt weitläufig Word als Vehikel vor, worüber Erklärungen des Antragstellers auf die Unterschriftspads und dann in die Akte kommen.
      Landen diese Daten in der Cloud und nach Cloud Act z.B. beim amerikanischen Zoll oder durch ein Leck bei einem anderen Akteur, so kann das z.B. bei einem Zweitpassbesitz oder „interessanten“ Antragserklärungen z.B. bei der Einreise sehr .. ich nenne es mal „spannend“ werden. Wo waren Sie denn mit dem anderen Pass und was ist da mit der Staatsangehörigkeit? Sachbearbeiter machen in Deutschland keine Fehler…
      Und zur Schule: wenn ich die genauen Daten kennen würde, die da anfallen, könnte ich was dazu sagen. In jedem Falle sind die Kinder nicht einwilligungsfähig und das wäre zu beachten.

      Und bei Firmen schreibt sich das von selbst: Schön, dass sie mir die Forschungsunterlagen in so einem toll formatierten Word zugeschickt haben, das wäre der Durchbruch zu kritischen Aufträgen geworden, wenn (eins aussuchen)
      – die Daten nicht bei einem Kollegen im geknackten Konto in der Cloud gelegen hätten, statt auf unseren internen Systemen
      – Firma XY gerade zufällig gerade ein Patent dafür eingereicht hätte
      – unser geplanter Handelspartner nicht auf einer Sanktionsliste der USA gestanden hätte
      – der Großkunde im Verteiler höchste Diskretion erwartet hätte und keinen Link in die Cloud

      Das Wort „Geschäftsgeheimnisse“ hätte man nicht erfinden müssen, wenn es egal wäre, ob da dritte (und sei es nur Microsoft) drankommen können. Und die ganzen Tresore und bewachten Lager lassen sich irgendwie nicht durch eine unklar geregelte Datenverarbeitung durch Dritte ersetzen.
      Das finden die Kunden traditionell vertrauenswürdiger Unternehmen meist nicht so gut.

      Aber, es steht jedem Erwachsenen natürlich frei, seine eigenen Daten zu speichern, wo es ihm Spaß macht. Da wird sich auch niemand beschweren.

  13. Der Personaler sagt:

    Ich sage nur herzlichen Glückwunsch. Die Schüler*Innen beschweren sich darüber, dass sie nicht praxisnah und auf die Zukunft vorbereitend unterreichtet werden und die Politik tut ihr übriges dazu, dass an dem Zustand sich nichts ändert.

    In der freien Wirtschaft, beim Studium etc. wird auf Microsoft Office Produkte zurückgegriffen, bei der späteren beruflichen Zukunft wird der routinierte Umgang mit MS Office Produkten vorausgesetzt. Aber wir alle voran verteufeln MS Office als Datenkrake und legen unseren Schüler*Innen einen Stein nach dem anderen in den Weg.
    Wir sagen dann „Open Source Software wie Libre Office muss eingesetzt werden weil es datenschutzkonform ist“ und ärgern uns dann darüber, dass Schulabgänger bestimmte Funktionalitäten nicht beherrschen.
    Wir sagen „Datenschutz ist mega wichtig“ und verweisen dann auf eine Konferenzsoftware wie Big Blue Button, die laut Bericht von Golem.de massive Sicherheitslücken in Schulen und private Haushalte einbringt.

    Liebe „Gutmenschen“, macht gerne so weiter und das Leben für unsere Kinder noch schwerer. *applaus*

    Und an alle, die sagen, das sie später die Software freiwillig einsetzen und so eine Datenhoheit hätten:
    Träumt weiter, wenn ihr so naiv denkt, dass nach der Geburt eure Daten nicht mit Microsoft-Produkten verarbeitet werden und somit nicht abfließen. Viele Rechner sind mit Microsoft-Betriebssystemen ausgestattet, in Krankenhäusern wird mit Excel und Word der Dienstplan bearbeitet oder die Krankenakte gepflegt. Eure Daten sind ab Geburt bereits bekannt und wer es drauf anlegt, bekommt die Daten über euch.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.