Nachbetrachtung zur DSK-Einstufung "Microsoft 365 weiterhin nicht datenschutzkonform"

Vor zwei Wochen hatte ich hier im Blog die Einschätzung der Datenschutzkonferenz (DSK) zu Microsoft 365 wiedergegeben. Die DSK ist nach weiteren Prüfungen zum Schluss gekommen, dass Microsoft 365 auch weiterhin nicht ohne datenschutzkonform eingesetzt werden kann. Schlug einige Wellen, Microsoft hat sich erklärt, dass man die DSGVO "übererfülle", Anwälte veröffentlichen Einschätzungen und der gemeine Nutzer sitzt zwischen allen Stühlen. Ich habe in dieser Nachbetrachten noch einige Informationen und Einordnungen zum Thema zusammen getragen.


Anzeige

Microsoft 365 nicht DSGVO-kompatibel

Es war eine klare Feststellung der deutschen Datenschutzkonferenz (DSK) zu Microsoft 365, die ich im Blog-Beitrag  Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform aufgegriffen hatte. Die DSK kam am 25. November 2022 auf Basis einer Arbeitsgruppe zum eindeutigen Entschluss, dass Microsoft 365 (beinhaltet Office 365) auf der Grundlage des von Microsoft bereitgestellten "Datenschutznachtrags vom 15. September 2022" nicht datenschutzrechtskonform zu betreiben sei. Verantwortliche für den Datenschutz könnten nicht den geforderten DSGVO-Nachweis erbringen, weil die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt werde.

Hintergrund war, dass es seit 2020 wohl Gespräche zwischen den Datenschutzbeauftragten und Microsoft zur Nachbesserung der Datenschutzbestimmungen im Hinblick auf die einzelnen Verarbeitungstätigkeiten gab. Aber bis zum September 2022 konnte oder wollte Microsoft die geforderten Informationen nicht vorlegen. Und sein Produkt Microsoft 365 für den Einsatz in der EU so konfigurieren, dass dieses die DSGVO erfüllt, wollte man wohl auch nicht. Unter diesem Aspekt konnte die DSK in meinen Augen keine andere Entscheidung fällen.

Microsoft nimmt Stellung

Als ich den Beitrag verfasste, war mir klar, dass das Wellen schlagen und ich mal wieder Sturm ernten würde. In diversen Facebook-Gruppen regten sich MS-Berater und Nutzer darüber auf, dass die DSK keine Ahnung habe und man Office 365 bzw. Microsoft 365 für alternativlos halte. Es gab auch Stimmen, die meinten "Die DSK beschließt, aber die Unternehmen machen und kümmern sich nicht um die DSK-Beschlüsse".

Microsoft selbst hat zum 25. November 2022 die Stellungnahme Microsoft erfüllt und übertrifft europäische Datenschutzgesetze (PDF-Dokument) veröffentlicht und verspricht (imho vollmundig):

Wir teilen die Position der DSK nicht. Wir stellen sicher, dass unsere M365-Produkte die strengen EU-Datenschutzgesetze nicht nur erfüllen, sondern oft sogar übertreffen. Unsere Kunden in Deutschland und in der gesamten EU können M365-Produkte weiterhin bedenkenlos und rechtssicher nutzen.

Microsoft meint weiterhin, dass die von der DSK geäußerten Bedenken die von Redmond vorgenommenen Änderungen nicht angemessen berücksichtigen und auf mehreren Missverständnissen hinsichtlich der Funktionsweise der Microsoft Dienste und der von Microsoft bereits ergriffenen Maßnahmen beruhen. Microsoft ist zudem der Meinung, dass der Bericht der DSK wichtige rechtliche Änderungen nicht berücksichtigt, die einen größeren Schutz der Privatsphäre für den Datenverkehr zwischen der EU und den USA bieten werden. Hier stellt Microsoft wohl auf das nachfolgend erwähnte EU-US Data Privacy Framework und die Executive Order des US-Präsidenten ab.

Von Microsoft kam dann die Forderung, dass der vollständige Bericht mit den an die DSK von Microsoft übermittelten detaillierten Antworten und Kommentierungen, aber mit angemessenen Schwärzungen, veröffentlicht würde. Interessant wird die folgende Ausführung:

Microsoft unterstützt auch das EU-US Data Privacy Framework, das unseren Kunden wichtige Rechtssicherheit und mehr Klarheit über den Datenschutz bei der transatlantischen Übermittlung von Daten bieten wird. Die Vereinigten Staaten haben ihre Gesetze in Bezug auf die Überwachung von Daten geändert, sind wichtige neue Datenschutzverpflichtungen eingegangen und haben einen neuen Rechtsbehelfsmechanismus geschaffen. Wir sehen einem positiven Angemessenheitsbeschluss der Europäischen Kommission im Rahmen der DS-GVO im Jahr 2023 entgegen.

Zu diesem Passus schreibe ich weiter unten noch etwas. Kollege Martin Geuß hat das Thema bei Dr. Windows in diesem Beitrag aufgegriffen – Mike Kuketz, der sich intensiv mit Datenschutz befasst, bringt es in nachfolgendem Tweet auf den Punkt:

MS 365 datenschutzkonform?


Anzeige

Verlinkt ist in obigem Tweet dann die Meldung an die Presse mit der Stellungnahme Microsofts, die ich weiter oben in Auszügen zitiert habe.

Anwälte gehen in Stellung

Ein Blog-Leser hat mir über Facebook dann noch eine weitere Information zur Thematik zukommen lassen (danke dafür). Reuschlaw Legal Consultants, eine Anwaltskanzlei mit Büros in Berlin und Saarbrücken, die sich mit Beratung in Fragen des Datenschutzes aus juristischer Sicht befassen, haben sich auch zu diesem Thema ausgelassen. Von deren Kanzlei gab es auf deren Webseite bereits folgende Dokumente:

Einsatz von Microsoft 365 durch öffentliche Stellen
Neue Rechtslage in den USA

Inzwischen ist das Dokument Aufsichtsbehörden und Microsoft äußern sich vom 29. November 2022 hinzugekommen. Spannend fand ich die als PDF-Dokument veröffentlichte Gegenüberstellung der Aussagen der Datenschutzkonferenz und der Einschätzung der Reuschlaw-Juristen. Ich habe diese Gegenüberstellung überflogen. Es dreht sich um die Frage, wie weit Microsoft Auftragsdatenverarbeiter ist, wenn Telemetriedaten abgezogen und in die USA übermittelt werden, und ob dies gemäß DSGVO statthaft sei. Die juristische Stellungnahme ist in meinen Augen klar darauf abgestellt, den Einsatz von Microsoft 365 im Sinne Microsofts in Unternehmen und Behörden als legitim einzustufen.

Konkret schreiben die Juristen: Wir kommen darin zu dem Ergebnis, dass weiterhin ein datenschutzkonformer Einsatz von Microsoft 365 möglich ist. Spannend finde ich in diesem Kontext: Die DSK schreibt, dass "es nicht so einfach sei, MS 365 datenschutzkonform zu betreiben". Die Aussagen liegen also nicht wirklich so weit voneinander. Die Frage ist halt: Kann die DSGVO-Konformität nachgewiesen werden, wie viel Aufwand ist das, falls die erste Prämisse zutrifft, und kann das dann für alle künftigen Updates des Microsoft 365-Produkts sichergestellt werden.

Knackpunkt Executive Order des US-Präsidenten

Beim Überfliegen der Stellungnahmen von Microsoft und Reuschlaw wird immer wieder darauf abgehoben, dass US-Präsident Joe Biden am 7. Oktober 2022 eine neue Executive Order unterzeichnet habe, die den Datenaustausch zwischen EU und den USA regele. Das sei von der DSK überhaupt noch nicht berücksichtigt worden. Und überhaupt werde die EU-Kommission 2023 einen Angemessenheitsbeschluss verabschieden, der dann den Datentransfer persönlicher Daten in die USA regele. Das Schrems II-Urteil des Europäischen Gerichtshofs (EuGH) sei damit geheilt, der Rechtsprechung sei Genüge getan.

Ich bin nun kein Jurist – vielleicht übersehe ich etwas – aber mir klingt es wie pfeifen im Wald. Zum Mitschreiben: In der EU liegt bisher kein Angemessenheitsbeschluss vor – was da als "nicht in die Bewertung einbezogen" beschworen wird, ist Voodoo in Reinkultur – es soll ein böser Zauber beschworen werden. Erst wenn der Angemessenheitsbeschluss der EU-Kommission vorliegt, kann man meines Erachtens überhaupt erst daran denken, das in die DSGVO-Abwägung einzubeziehen. Die EU könnte ja (rein theoretisch) in ihrem Beschluss Restriktionen einfließen lassen.

Aber die Geschichte hat noch einen zweiten Aspekt, der in obiger Botschaft der Juristen und Microsofts unterschlagen wurde. Ich hatte ja hier im Blog die beiden Urteile des EuGH thematisiert (siehe Links am Artikelende) und vor allem das Schrems II-Urteil im Beitrag EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield" aufgegriffen. Der Europäische Gerichtshof hat also zwei Mal, nach Klagen von Max Schrems und seiner Organisation noyb, die Vereinbarungen zwischen der EU und den USA bezüglich des Transfers persönlicher Daten als unzulässig erklärt und die Abkommen gekippt. Zwei fette Klatschen für die EU-Kommission!

Wie schaut es beim Trans-Atlantic Data Privacy Framework, so heißt das neue Abkommen, aus. Es ist korrekt, dass der US-Präsident mit seiner Executive Order für die USA den Weg für ein Datenschutzabkommen bereitet hat. Ich hatte im Blog-Beitrag US-Präsident Biden bringt Datenschutzabkommen "Privacy Shield 2.0" auf den Weg darüber berichtet. Dem geneigten Leser empfehle ich die Lektüre der Anmerkungen, die ich im Artikel von Max Schrems und US-Datenschützern zu dieser Executive Order zusammen getragen habe.

Kurzfassung: Die USA haben einen anderen Begriff für Angemessen im Hinblick auf Datenschutz, im Vergleich zum europäischen Recht. Beide Rechtssysteme sind nicht kompatibel – insbesondere der Cloud Act gibt der US-Administration weitgehende Rechte, und die "Beschwerdemöglichkeiten von EU-Bürgern" in den USA existieren nur auf dem Papier. Sobald die EU einen Angemessenheitsbeschluss veröffentlich, wird Max Schrems mit noyb vor dem EuGH dagegen klagen und zeigt sich überzeugt, dass die Richter auch das Trans-Atlantic Data Privacy Framework als nicht mit der DSGVO vereinbar kassieren. Schrems hat dies in meinen Augen auch nachvollziehbar begründet, wie ich in meinem Blog-Beitrag darlege.

Zum Mitschreiben: Die Juristen von Reuschlaw und Microsoft argumentieren, dass mit dem Trans-Atlantic Data Privacy Framework und dem EU-Angemessenheitsbeschluss alles im grünen Bereich sei. Wenn Schrems aber mit einer Klage vor dem EuGH gewinnt – ich gehe davon aus – fällt die oben angesprochene Argumentation wie ein Kartenhaus zusammen. Der Volksmund kennt dafür einen treffenden Begriff "Auf Sand gebaut".  Endgültig werden wir es wissen, wenn ein Urteil des EuGH vorliegt – bis dahin hängen Firmen und Behörden, die Micosoft 365 einsetzen, imho juristisch in der Schwebe und können nur hoffen, dass niemand eine Klage wegen der Datenverarbeitung durch zieht.

BW-Datenschutzbeauftragter zu MS365-Pilotprojekt

Abschließend für interessierte Leser noch eine kleine Lektüre, auf die mich Mike Kuketz über nachfolgenden Tweet aufmerksam gemacht hat. Nachdem dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI), der für Datenschutz Baden-Württemberg zuständigen Aufsichtsbehörde, zahlreiche Beschwerden von Schülerinnen und Schülern, Eltern sowie Lehrerinnen und Lehrern über die Nutzung des Cloud-Dienstes Microsoft 365 an Schulen vorlagen, hat sich der Datenschutzbeauftragte im Dokument Hinweise des LfDI zur Nutzung von Microsoft 365 durch Schulen geäußert.

LfDI BW zur Datenschutzkonformität von MS365

Dazu schreibt Stefan Brink, dass der LfDI das Kultusministerium Baden-Württemberg über einen langen Zeitraum in einem intensiven und umfangreichen Verfahren zum eventuellen Einsatz von Microsoft 365 (im Folgenden: MS 365) an Schulen begleitete und beraten habe. Für einen Pilotbetrieb zwischen Herbst 2020 und Frühling 2021 wurde vom Kultusministerium in Zusammenarbeit mit den beteiligten Dienstleistern und hochrangigen Vertretern von Microsoft eine funktionell eingeschränkte und möglichst datenschutzkonforme Konfiguration von MS 365 gewählt.

Datenschutzrechtlich besonders bedenkliche Funktionen von MS 365 waren abgeschaltet bzw. wurden soweit möglich deaktiviert, wie z.B. die Erfassung von Telemetrie- und Diagnosedaten. Weiterhin wurden zusätzliche Sicherheitsfunktionen implementiert und Accounts nur für Lehrkräfte vergeben, nicht jedoch für Schülerinnen und Schüler.

Die getroffenen Maßnahmen stellen zwar signifikante Verbesserungen im Vergleich zu einer Standard-Installation dar, reichten aber nach der Bewertung des LfDI nicht aus, um zu einem datenschutzkonformen Einsatz zu kommen. Im Dokument führt der LfDI dann die von ihm ermittelten Knackpunkte an. Wenn also eine abgespeckte Variante, die speziell auf einen datenschutzkonformen Einsatz getrimmt wurde, schon nicht DSGVO-kompatibel ist, wie sieht es mit einem Standard Office 365 bzw. Microsoft 365 (wie es heute heißt) denn aus?

Meine 2 Cents

Nur zum Mitschreiben: Wir haben seit Mai 2018 die Datenschutzgrundverordnung (DSGVO), die für die Verarbeitung von personenbezogenen Daten gilt. Und wir haben inzwischen zwei EuGH-Urteile, die den Transfer solcher Daten in die USA als unzulässig im Sinne der DSGVO ansehen und Beschlüsse der EU-Kommission gekippt haben.

Wir haben seit 2020 Einstufungen der Datenschutzkonferenz (der Datenschutzbeauftragten der Länder), die auf das Problem der fehlenden DSGVO-Konformität bei Microsoft-Produkten hinweisen. Es hat seit 2020 zahlreiche Gespräche der deutschen Datenschutzbeauftragten mit Microsoft gegeben – aber im September 2022 musste die DSK feststellen, dass der Nachweis der DSGVO-Konformität bei Microsoft 365 weiterhin nicht gegeben ist.

Das ist doch eine Bankrotterklärung im Hinblick auf die Durchsetzung der DSGVO, bzw. da haben einige "den Schuss" immer noch nicht gehört. Obwohl es seit Jahren nicht gelingt, Microsoft-Produkte als DSGVO-konform zu deklarieren und es immer wieder Gespräche gab, lässt sich feststellen: Microsoft USA hat sich wohl keinen Millimeter bewegt. Die Cloud-Integration und die Telemetrie werden weiterhin im entsprechenden Umfang in den Produkten genutzt. Datenschützer und Administratoren in Firmen versuchen sich ggf. darin, die größten Auswüchse in Sachen ungewollten Datenabzug zu verrammeln, aber jedes Update Microsofts kann das ans Wackeln bringen. Bei Windows 10/11 lässt sich z.B. die Telemetrie nur in bestimmten Versionen weitgehend deaktivieren – und es gibt im Blog erste Kommentare, dass diese Funktionalität seit den neuesten Updates nicht mehr gegeben ist.

Kurzfassung: Microsoft USA hat es also nicht nötig, sich zu bewegen und in der EU Produkte anzubieten, die standardmäßig DSGVO-konform sind. Braucht man ja auch nicht, wenn man die Verantwortlichen in der EU am Nasenring durch die Arena schleifen kann. Die europäischen Ableger Microsofts sind nur der Schwanz, mit dem gewackelt wird. Die sollen bequatschen und ansonsten das Microsoft Zeug verkaufen – das bisschen DSGVO interessiert nicht, die werden schon springen, die Europäer. Von einem Blog-Leser bin ich auf Facebook auf die Seite Microsoft-Konditionenverträge hingewiesen worden. Das Bundesministerium des Innern und für Heimat und Microsoft haben im Februar 2021 neue Konditionenverträge für Microsoft-Produkte abgeschlossen.

Warnung vor digitaler Abhängigkeit

Gerade über obigen Tweet auf diesen Artikel bei heise gestoßen. Der Bundesverband IT-Mittelstand (BITMi) warnt in einem Brief an die Bundesregierung, dass wachsende Abhängigkeiten von digitalen Technologien insbesondere aus China und den USA hierzulande "ein besorgniserregendes Ausmaß" angenommen hätten. Bezieht sich zwar auf "digitale Dienste" – aber wenn die Branche flächendeckend auf Microsoft-Produkte und deren Cloud setzt, als gäbe es kein Morgen mehr, fällt mir nix mehr dazu ein.

Ein klarer Beschluss innerhalb der EU, dass (sagen wir ab 2025) nur noch DSGVO-/GDPR-konforme IT-Lösungen eingesetzt werden dürfen, sollte die Beweglichkeit der US-Hersteller deutlich befördern. Ich sage es mal so: Ich glaube nicht, das Microsoft auf einen Markt mit 447,7 Millionen Einwohnern verzichten wird. Einfach die Produkte in der Grundinstallation DSGVO-konform gestalten, und gut ist. Frankreich ist da übrigens bereits weiter, wie ich es im Beitrag Kostenloses Microsoft 365 und Google Workspace an Frankreichs Schulen verboten angesprochen habe. Dort sind US-Cloud-Lösungen an Schulen und in Behörden durch eine Direktive verboten. Oder wie seht ihr diese Sachlage? So auf "alternativlos" oder "wie soll man das denn anders realisieren" wird man sich längerfristig nicht zurückziehen können.

Ähnliche Artikel:
Safe Harbor: EuGH erklärt Abkommen für ungültig
EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield"
Keine Karenzfrist für Unternehmen nach Privacy Shield-EU-Urteil
Datenschützer plant durchgreifen bei Privacy Shield-Verstößen
Vorläufige Einigung zwischen EU und USA im Trans-Atlantic Data Privacy Framework
US-Präsident Biden bringt Datenschutzabkommen "Privacy Shield 2.0" auf den Weg
Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform
Nachbetrachtung zur DSK-Einstufung "Microsoft 365 weiterhin nicht datenschutzkonform"
MS 365 DSGVO-Konformität: Merkwürdiger "Meinungsartikel" bei heise
EU-Kommission fällt vorläufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework
Microsoft 365 an Schulen, Baden-Württembergs Datenschützer sagt Nein
Vier Jahre DSGVO: Baustelle statt großer Wurf
DSGVO, Microsoft Office und die Datenschutzprobleme
Privacy: Microsoft steht mit Windows 10/Office 365 unter Druck
Microsoft will Office Pro Plus DSGVO-konform nachbessern
Microsoft Office spioniert Nutzer aus, kollidiert mit DSGVO


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Office, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

57 Antworten zu Nachbetrachtung zur DSK-Einstufung "Microsoft 365 weiterhin nicht datenschutzkonform"

  1. Norddeutsch sagt:

    Wow, verdammt guter Thread und – auch wenn Günter sagt er ist kein Jurist – weit abdeckende, fundierte und ausgewogene Beurteilung nah an der Praxis. THUMBS UP !

    Microsoft wird alles daran tun, den Gaul weiter reiten zu wollen und stellt über og Links hinaus zig Ressourcen bereit, um den Schein zu wahren. ZB Nur 2 Bookmarks aus Adminsicht zum Thema DSGVO:
    MS – Best Practice + Blog
    https://learn.microsoft.com/de-de/compliance/regulatory/gdpr-arc
    MS – Checklists , zB Office,Azure,Windows
    https://learn.microsoft.com/de-de/compliance/regulatory/gdpr-arc

    Admins aufgepasst – diese erfüllen keinesfalls schon alle Audit + DSGVO-Kriterien. Ebenso ist es absolut Praxisfremd sich primär auf rechtliche Rahmenbedingungen zu stützen, egal ob Safe Harbour, Pivacy Act oder sonstwas. GDPR ist leider mehr als eine Checklist oder Abkommen – es gilt konkrete Anforderungen auch operativ und organisatorisch zu erfüllen, es muss also im Einzelfall teilweise adaptiert werden.
    Ebenso lädt man fast scheinheilig mE eine Risikoabwälzung und Anforderungen zB auf Admins ab. Böse, wer spekuliert das MS dies sogar indirekt forciert. Transparenz? Defacto fast keine für den Anwender. Greift die Config nach Update XY überhaupt noch? Ist es auditierbar „wirklich konform" (Vgl Apples "No Tracking") ?… nun ja …
    Hab daher für mich kpl nach Win7 nicht zu Win10+ migriert. Bin auf Linux – und nutze Win oder Office primär separiert offline, natürlich ggf mit Patching.

    Zur MS-Verteidigung sei gesagt: Zig SW-Produkte von "Arzt-Praxis-Software" bis zu Riesen wie selbst SAP haben lange Defizitlisten. Tut nur keiner richtig was.
    … wen man im GUI, Database-ER-Modell, Code oder beim Mail-Objekt keine Anforderungen der DSGVO vorsieht … selbst einfachste Attributierung wie "sperren/löschen/anonymisieren, nicht ausleiten" fehlen fast überall… wie soll das da auch gehen?

  2. JG sagt:

    "wie ich es im Beitrag Kostenloses Microsoft 365 und Google Workspace an Frankreichs Schulen verboten angesprochen habe. Dort sind US-Cloud-Lösungen an Schulen und in Behörden durch eine Direktive verboten."

    Eigentlich ist doch alles klar. Die USA stehen ganz oben auf der Pyramide und der Rest muss sich denen unterordnen. Anders ist dieses Theater nicht zu erklären.

  3. rpr sagt:

    Die Frage ist doch was lohnt sich so sehr für Microsoft das sie alle Hebel in Bewegung setzten eine saubere Version nicht zur Verfügung zu stellen?
    Sind Daten wirklich so viel wert? Ich bin kein Freund von Verschwörungstheorien aber in der IT haben wir schon einige sehr langfristig angelegte Aktionen gesehen um Ziele zu erreichen. Snowden hat da ja genug geliefert.
    Gruß

  4. 1ST1 sagt:

    Vieles richtig, und einiges muss sicherlich noch geklärt werden, aber eine Frage: Was an "Telemetrie" ist denn bitte böse? Sogar Martin Geuß beschreibt in dem verlinkten Artikel was Telemetrie richtigerweise ist und erkennt auch die Nützlichkeit und die Vorteile davon an und stellt deren Übertragung nicht grundsätzlich in Frage. Bezüglich Telemetrie muss ein Umdenken bei den Kritikern statt finden, jeder, der schonmal was komplexeres programmiert hat, hat sich schon Zwischenwerte bei irgendwelchen Berechnungen ausgeben lassen, um zu prüfen ob (und wo!) ein Algorythmus richtig oder falsch funktioniert, oder warum die Schleife so lange läuft, und da die Softwereentwickler von Microsoft nunmal nicht mit am Schreibtisch des Anwenders sitzen, müssen sie sich solche Sachen eben als "Telemetrie" per Internet auf ihren Schreibtisch in Redmond (oder Bangalore) übertragen lassen. Was anderes ist das nicht.

    Übrigens, warum regt sich eigentlich niemand über diese Cloudgeräte genannt "Smartphones" mit Betriebssystemen von Google und Apple auf? Ist dort alles gut? Sind auch amerikanische Konzerne, und mit dieser Gerätegattung geht noch weniger ohne Cloud. Warum ist alleine M365 böse? Und was ist mit meinem VW, der ständig seinen Status in AWS überträt, wo ich dann per Smartphone-App sehen kann, ob alle Türen zu sind und wo der die letzten Wochen (auch mit meiner Frau am Steuer) rumgefahren ist? Hier alles gut? Alles gut, wenn es ein alter GM-Opel mit OnStar-Onlinesystem ist, der seine Daten nach Detroit funkt?

    • Steter Tropfen sagt:

      „warum regt sich eigentlich niemand über "Smartphones" mit Betriebssystemen von Google und Apple auf?" Gäääähn. Immer wieder bei solchen Themen wird diese Behauptung einfach in den Raum gestellt.
      Geht es gegen Google & Co.: „Wieso regt sich keiner über Facebook & Co. auf?" Geht es gegen Facebook: „Aber über Microsoft sagt keiner was." Geht es gegen Microsoft…
      Hey, da regen sich sehr wohl Leute auf!
      Sie dringen bloß nicht ins Bewusstsein einer vom Digitalisierungswahn benebelten Smombie-Gesellschaft. Aber es soll hinterher keiner sagen, es hätte niemand gewarnt.

    • Günter Born sagt:

      Der Kommentar enthält imho einige Fehler in der Interpretation!

      Zu: "Was an "Telemetrie" ist denn bitte böse?" -> das ist schlicht die falsche Fragestellung! Die DSGVO interessieren keine Funktionen, die fordert eine Abwägung, welche persönliche Daten wohin gehen und ob der Nutzer ggf. eine Zustimmung gegeben hat.

      Wenn ein Datenschutzverantwortlicher nicht erklären kann, welche persönlichen Daten wohin gehen und was damit passiert – das ist genau die Krux – hat er ein Problem, denn er kann die DSGVO-Konformität nicht nachweisen.

      Lösung: Microsoft macht erstens alle Cloud-Funktionen abschaltbar, deaktiviert diese in der Standardkonfiguration und erlaubt ein Opt-In. Und zweitens wird offen gelegt, was die einzelnen Cloud-Funktionen (inklusive Telemetrie) übertragen.

      Es ist in meinen Augen ein Unding, dieses "Hase Igel-Spiel". Die Datenschutzaufsicht analysiert seit 4 Jahren Windows 10 in Sachen DSGVO-Konformität, schreibt "kann DSGVO-konform gemacht werden", benutzt aber eine Windows 10 1607 Enterprise LTSC dafür und schränkt ein "kann sich alles ändern". Das gehört vom Kopf auf die Füße gestellt: Microsoft hat in der EU sicherzustellen, dass die Funktionen und Einstellungen DSGVO-konform sind – und zwar über alle Updates und Versionen eines Produkts hinweg. Andernfalls kann das Produkt nicht eingesetzt werden. Punkt.

      Zu: "Übrigens, warum regt sich eigentlich niemand über diese Cloudgeräte genannt "Smartphones" mit Betriebssystemen von Google und Apple auf? "

      Da hatte bereits jemand was im Kommentar zu geschrieben – in der Schule hieß es 6 setzen, erinnert mich an meinen Lehrer, der uns immer erzählte, wie ein Junge einen Aufsatz über Elefanten schreiben sollte und mit "Der Elefant hat einen Rüssel, der sieht wie ein Wurm aus. Es gibt Regenwürmer, Ringelwürmer, Fadenwürmer, Spulwürmer etc. Der Regenwurm kann bis zu 20 cm lang werden und kriecht bei Regen an die Oberfläche …" abgegeben hat. Der Lehrer meinte "Thema verfehlt" – ob er damit durch die Blume ausdrücken wollte "Born, aus dir wird nie was" weiß ich nicht. Habe mir nie einen Kopf drum gemacht und geschrieben, was mir so in den Sinn kam ;-).

      Abseits dieses Sachverhalts, dass ein falscher Ansatz nicht dadurch richtiger wird, dass diese Geräte ggf. bei entsprechendem Einsatz im beruflichen Umfeld gegen die DSGVO verstoßen (müsste der Datenschutzverantwortliche im Einzelfall klären), es ist meines Erachtens schon ein Unterschied, ob meine gesamte Bürotätigkeit in einem Unternehmen, mit allen brisanten Dokumenten – die auch persönliche Daten von vielen Personen enthalten können, mit Software-Lösungen verwaltet werden, die Daten in unbekannter Form zu Cloud-Diensten und Drittservern übertragen. Oder ob ein Smartphone im einfachsten Fall ausschließlich zum Telefonieren benutzt wird.

      Wenn die DSGVO/GDPR funktionieren würde, dann müssten die Datenschutzaufsichtsbehörden den Behörden und Firmen langsam die Daumenschrauben anziehen und Prüfverfahren einleiten. Wenn die erste größere Firma (z.B. Versicherung, Krankenkasse, Automobilfirma etc.) eine Untersagung mit Fristsetzung oder sogar mit Bußgeldern belangt würde (weil die DSGVO-Konformität nicht nachgewiesen wurde), gäbe es sicherlich eine Bewegung in Richtung "nachdenken, was man einsetzt". Aktuell gibt es die Untersagung ja erst in einzelnen Bundesländern für Schulen und Bildungseinrichtungen.

      Wenn mir auf Facebook in Profigruppen Administratoren schreiben: "Ich habe unsere Geschäftsführung darauf hingewiesen, die interessiert das nicht die Bohne", oder "das interessiert doch große Firmen nicht, wie der Datenschutzbeauftragte hampelt", dann deutet dies auf Regulierungsbedarf hin.

      Ist aber nur meine persönliche Meinung – und ja, ich fluche auch, weil ich bei meinem Blog hier eine Reihe DSGVO-Regeln beachten und einige Funktionalitäten still legen musste. Aber: Entweder ich befolge die Vorgaben der DSGVO nach bestem Wissen und Gewissen – oder das Zeugs gehört abgeschafft. Ein "Zweierlei Maß"-Rechtssystem wird auf lange Sicht nicht funktionieren. Microsoft und andere Hersteller haben es doch in der Hand: Entweder Exit vom 450 Millionen Einwohner-Markt EU, oder spielen nach europäischen Regeln. Da müssen wir denen argumentativ nicht die Stange a la "alternativlos" oder "warum regt sich niemand …" halten.

      • 1ST1 sagt:

        Das ist ja genau das Problem. Wenn ich Ihren Artikel lese, oder auch das Statement von den Datenschützern, dann steht da sehr wohl was von Telemetrie drin und man bekommt den Eindruck, das wäre böse. Und wo meine persönlichen Daten liegen ist doch eigentlich auch klar:

        a) Ich speichere sie auf c: oder d:, also lokal oder auf einem firmeneigenen Fileserver, was auch mit Office 365 immer noch problemlos geht. Dort hat kein CIA und keine NSA Zugriff. Meins.
        b) Ich speichere sie in OneDrive, und da gibt es seitens Microsoft das eindeutige Statement, dass für europäische Kunden die Daten in europäischen Rechenzentren liegen. Als der Brexit kam, konnten wir quasi live verfolgen, wie unsere Firmen-Cloud-Daten von GB nach Deutschland migriert wurden. Wir wurden von MS über den Vorgang informiert und gemerkt haben wir es daran, dass der Zugriff auf die Daten während des Vorgangs teils schleppend lahm war, oder auch mal was kurzzeitig nicht funktionierte. Und dass diese Daten in der EU bzw. in Deutschland liegen, das ist vertraglich festgelegt und jeder kann es auf der Webseite von MS nachlesen. Das ist eine "Zugesicherte Eigenschaft" des Produkts, bei Nichteinhaltung nach EU-Produkthaftungsrecht einklagbar.

        Damit ist doch soweit eigentlich alles geklärt, es gibt halt immer noch das Problem mit dem Cloud-Act, IMHO ist das das einzige, wo man sich Gedanken machen müsste. Bei mir in der Firma gibts die Vorgabe, dass im OneDrive/Teams/OneNote/… keine persönlichen Daten, keine Kredikartendaten, keine Bankverbindungen, keine Geschäftsdaten, keine Firmengeheimnisse über unsere Technologie, keine unverschlüsselten Passwörter usw. liegen dürfen, und damit ist doch eigentlich alles getan? Sprich, das Cloud-Zeugs wird für Teamarbeit und Kommunikation benutzt, sonst nix. Das Problem, was man hier als Firma noch hat, ist wie will man kontrollieren, ob diese Vorgaben auch eingehalten werden, da fehlt mir noch ein Tool für den Tenant, das einem das berichten kann.

        Wo ich aber ein Problem habe, ist dass Microsoft wenn man nicht aufpasst, einem auf dem Privat-PC das persönliche Profil (Dokumente, Desktopverknüpfungen, …) mittlerweile ins OneDrive umzieht, wenn man bei der Benutzeranmeldung gelegentlich nicht aufpasst, was die Kiste da gerade von einem will. Wie man das rückgängig macht, hab ich noch nicht rausgefunden, ich schätze, demnächst muss ich die PCs meiner beiden Kids deswegen rücksetzen. Beide unter 13, Kinderaccount, MS müsste es eigentlich wissen!

        • Andy sagt:

          Was du sagst, geht am Problem vorbei.
          Telemetrie an sich ist nicht das Problem.
          Ich muss als Betreiber des Systems aber wissen, WAS da an Telemetrie und damit Daten genau abfließt, muss diese Daten ausreichend konkret benennen können und das in einem Vertrag regeln, der mir meine Rechte einräumt (u.a. Löschen). Sonst wird das nicht DSGVO-konform. Das Microsoft-Konstrukt "Telemetrie" als Verarbeitung von Daten zu eigenen Zwecken ist nur sehr begrenzt möglich und dann muss die Zweckbindung vollständig benannt werden (was, wofür, warum zwingend nötig). Dabei darf es keine Lücke geben und kein "alles mögliche".
          Das Konzept der DSGVO verlangt zudem die volle Datenhoheit des Betreibers und die vollständige Weisungsgebundenheit des Auftragsdatenverarbeiters. Microsoft unterwirft sich dem aber nicht und verarbeitet die Daten auf eigene Veranlassung und ohne gültigen Verrag dazu. Denn dafür müsste ich jede Datenart ausreichend konkret kennen und dem zustimmen.
          Microsoft kann und darf Telemetrie betreiben. Aber eben nur, wenn ich dem so informiert zustimmen konnte, dass ich zum Beispiel eine Anfrage von Dir, ob meine Behörde Deinen Namen oder andere Daten von Dir irgendwo hin übermittelt hat, konkret beantworten kann. Zum Beispiel mit "nein". Kann ich aber nicht.

          • 1ST1 sagt:

            Telemetrie dürfte nichts konstantes sein, MS kann Telemetrie in den Funktionen einsetzen, wo sie es gerade für nötig halten, um irgendwelchen Programmcode zu beobachten. Je nach dem an welchem Thema gerade gearbeitet wird, wo ein Problem zu lösen ist, oder wo eine Verbesserung eingebaut wird. Das lässt sich also nicht pauschal sagen.

          • 1ST1 sagt:

            Und nein, mein Beitrag geht nicht am Kern vorbei, sondern er trifft genau mitten rein. Bezüglich Datenschutz wird über Telemetrie und Daten an MS beschwert, und was damit passiert. Telemetrie muss man verstehen um sie zu bewerten und bei Daten kann man immer noch selbst bestimmen, WAS man WO speichert. Das muss einem bewusst sein, dann kann man auch mit M365 arbeiten.

          • McAlex777 sagt:

            @1ST1:

            zwei Beispiele:
            1.
            Windows überträgt Einträge in der Commandline und in der Start-Suche direkt an Microsoft. In der Commandline gebe ich ggf. Kennwörter ein.

            2.
            In der Vergangenheuit wurden Kinderbilder als false Positive an Behörden weitergeleitet mit folgenschweren Auswirkungen für Anwender: Hausdurchsuchung, Beschlagnahme der Geräte, Sperre von Accounts samt Inhalte und gekoppelte Applikationen. Im Nachgang wurden die Fälle als "false Positiv" aufgekllärt, und die betroffenen Nutzer haben keinerlei "ausgleichende" Entschädigungen enthalten.

            Darum hat Telemetrie für Anwender "einfach" abstellbar zu sein. Welche Daten auch immer Berechtigung bzw. Unberechtigt sind hat nicht Microsoft zu entscheiden – sondern der Anwender mit seinem "Willensentscheidung" welche zu Respektieren ist.

            Der Hinweis auf "gerade verabschiedete" neue Gesetze in den USA ändert daran garnichts – solche Erlasse können in den USA jederzeit im Geheimen verworfen werden.

            Die Abstellbarkeit als Privat-Anwender ist praktisch überhaupt garnicht gegeben. Die Abstellbarkeit in Firmen ist nur mit deutlich hohem Aufwand gegeben. Wir reden von Arbeitswochen der Forschung/Analyse für den Erstbetrieb.

            Jahrelange Diskussion/Forschung bezüglich DSGVO-Konformität zeugt ganz gleich wie der Einzelsachverhalt auch aussehen mag – die Umsetzung Microsoft ist strittig, und Microsoft hat "keinerlei" Interesse daran an seiner Praxis etwas zu ändern.

            Daraus sollte der Rechtstaat seine Konsequenzen ziehen, und beginnen OpenSource-Alternativen zu fördern wos geht – auch wenn damit der Wettbewerb zwischen kommerziellen Produkten verzerrt wird.

            Es obliegt inzwischen alleinig Microsoft mehr für Datenschutz zu tun.

            Und persönlich an Dich gerichtet:
            Der Fingerzeig auf andere Geräte/Firmen/Produkte bez. Datenschutz ist Whatsaboutism auf Kindergartenniveau.

          • McAlex777 sagt:

            Kleiner Nachtrag:

            Es geht mir nicht darum Microsoft Windows/Office zu verbieten, sondern, sondern das hoher Datenschutz und Datensouveränität gewahrt bleiben.

            Nicht nur auf dem Papier und in 200Einzelkonfigurationen, sondern in jeder DefaultInstallation per Einzelmausklick – auch von Lieschen Müller.

            Daneben sollten m.E. OpenSource-Produkte zukünftig *deutlicher* gefördert werden, um o.g. Schutz hoher Datenschutzgüter auch mittelfristig zu gewährleisten.

      • 1ST1 sagt:

        "Oder ob ein Smartphone im einfachsten Fall ausschließlich zum Telefonieren benutzt wird. "

        So einfach ist das nicht, man hat auf dem Smartphone selbst in diesem einfachen Fall Kontakte, und ja, wo werden die denn bloß gespeichert…?

        Gegencheck? google.de auf dem PC öffen, mit dem Google-Konto anmelden, was man auf dem Smartphone nutzt, ins Profil gehen, Kontakte ansehen, gratuliere, persönliche Daten, da sind sie!

      • Norddeutsch sagt:

        @Günter – a)„Daumenschrauben anziehen". Dies wird sogar gemacht, über Grad/Umfang mag man diskutieren. Für Interessierte – und zum Abschrecken der GF / des CEO :
        Incident-DB: https://www.dsgvo-portal.de/sicherheitsvorfall-datenbank/
        Bussgeld-DB: https://www.dsgvo-portal.de/dsgvo-bussgeld-datenbank/
        auch interessant: Der Bussgeld-Rechner ;-) H&M führt derzeit mit 35Mio bei Mitarbeiterbespitzelung ;-)
        @Günter b) „Lösung … Cloud abschaltbar". Sehe ich ebenso als essentiell – jedoch nur als Teil der Lösung, da Orga, Verantwortung,Prozesse bei Anbieter+Anwender ebenso ausgeprägt werden müssen. ZB Korrekturrecht, Sperrprozesse, Auskunfspflichten (vgl ua Art. 15 DSGVO), Selbst Schulungen (Belehrungen) für MA wie Admins sind lt. DSGVO/DSG regelmässigvorgeschrieben und vorzuhalten.

        @all – c) bei „DSGVO funktioniert" und „DSGVO wird gelebt" sehe ich das größte Praxis-Problem – wie seht Ihrs? Taugt eher die DSGVO nicht? Oder taugt Euere Unternehmens-Orga nicht? Oder der Anbietermarkt? Ich würde nie pauschal gegen „nur Einen" bashen.

    • Norddeutsch sagt:

      @ 1ST1 – yes – Development needs Telemetrie , Errorlogs and more – aber:
      1.: Dies wird unnötigerweise verstärkt, wenn man User auch zum Betatester macht
      2.: Bei „einer Klasse im ERM" kann es auch zusammengesetzte Schlüssel geben, d.h: sobald diese Attributierung einer Klasse teil-identifizierend ist, nicht verbindlich/auditierbar anonymisiert werden kann und das auch von Haus aus gar nicht erst vorgesehen wird
      4.: Es geht mE als nicht gegen Telemetrie sondern der Art der Datenausleitung und deren Nutzung im Sinne von Ubiquität,Intransparenz,nicht-Zustimmung, Angemessenheit, Länderübergreifend,Rechtskonformität,Opt-Out-Fähigkeit für diverse Zwecke, Auskunftsverlangen, Speicherungsdauer, (Liste wäre lang) …

      Gerne KANN ein Umdenken bei Telemetrie stattfinden dafür fehlen jedoch nahezu alle Transparenz-Aspekte des WIE von oben.

      3.: Smartphones: Einwand ist abolut korrekt aber „nur" eine ähnliche Baustelle. Einen Rechtsbruch relativiert man besser nicht durch einen Anderen. Diese Relativierung gilt eher für die Bewertung oder Pönalisierung (zB Maßnahmen,Bussgelder). Ich nutze seit Iphone-2 keine Smartphones, ich mag das alte Nokia OS. Ausnahmen gäbe es (…dedicated,Linux+Open-Source, Sandbox,abgesichert für Defense etc.)

    • Micha45 sagt:

      Danke für den hervorragenden Kommentar unter den ganzen Aluhütlern. Telemetrie ist und bleibt für einen reibungslosen Ablauf zwingend nötig. Leider wird sich nur bei MS aufgeregt.

  5. Günther sagt:

    Ist es richtig, daß amerikanische Firmen gesetzlich verpflichtet sind dem Geheimdienst Zugriff auf alle Daten zu geben? Falls ja, ist das DSGVO konform?

    • Günter Born sagt:

      Stichwort ist der US Cloud Act – und nein, das ist nicht DSGVO-konform – der Europäische Gerichtshof hat genau deswegen zwei Mal Datentransfer-Abkommen zwischen der EU und den USA gekippt – die Artikel sind am Beitragsende verlinkt. Der neue Anlauf wird meines Erachtens genau deswegen scheitern – auch in meinen verlinkten Beiträgen nachzulesen.

  6. Andy sagt:

    Eine gute und umfassende Analyse der Situation.
    Meines Erachtens braucht es ein Verbot, sonst wird sich z.B. in Behörden wenig bis nichts bewegen. Von den Ländern kommt z.B. heute immer noch "Software" für behördliche Aufgaben, die eigentlich nur Skripte für Excel sind.
    Der einzige (und impotente) Änderungsdruck kommt hier von Administratoren in der Fläche, die das als Gefährdung der Sicherheit empfinden. Und deren Kritik wird meist schon vor Ort abgewürgt.
    Das ist dann dein Problem als Admin. Und wenn du damit ein solches hast, dann bist du halt inkompetent.
    Ich weiß nicht, welche Dinge da eigentlich ablaufen. Aber selbst die Medienberichterstattung ist extrem verzerrt. Handelt sich wieder irgendwer Ransomware ein, dann ist immer ein Praktikant oder so zur Hand, der wegen des Öffnens einer Mail zum Schuldigen erklärt wird. Also für etwas, das eigentlich genau seine Aufgabe war. Oder halt der Admin, egal ob der was damit zu tun hatte.
    Würde hier jedesmal das eigentliche Problem benannt, nämlich der katastrophale Zustand des Ökosystems in Bezug auf Datenschutz und Datensicherheit, der zwangsläufig zu solchen Problemen führen muss, dann wäre Microsoft schon stark angeschlagen und am Markt mit Problemen konfrontiert.
    So wie es derzeit läuft, haften immer nur irgendwelche Bauernopfer, teils mit ihrer Existenz. Aber, was zählen die schon in unserer Gesellschaft? Also wirklich, nicht nur angeblich.

    Da wird sich nur was ändern, wenn der Gesetzgeber hart eingreift.

    Und jetzt Feuer frei für die Fraktion "dann bist du als Admin nur zu blöd".

  7. Mathias sagt:

    Nun mein 1-Cent:
    Um Microsoft generell DSGVO konform zu nutzen/zu betreiben, müsste man vermutlich, alle BGP-Routen in Richtung westlicher Atlantik ins Nirvana routen.

    • Norddeutsch sagt:

      @ Mathias – oft verlocken einfache Lösungen. Beim Gedanken geb ich Dir ja Recht, aber … hab mal vor zig Jahren (als Security oder Auditor hat man verrückte Hobbies) alle Connects bei Win7, Win 8 , Office mit Opt-In durchgesnifft.
      Bei fast 1000 gesperrten IPs /Domainresolutions im EU-Raum (500+ allein für Updateserver, knapp 100 für Telemetrie, zig Services) hab ich aufgehört von FW-Log ins CSV zu pushen – das Loadbalance-Concept geht dann brav auch mal nach Australia, XY oder Südamerika , einige schienen sogar noch hardcoded auf IP ohne Lookup. IMHO:
      1.: Das ist das inheränte Konzept vom Internet. 2.: Das ist nicht mehr transparent und managable f einen normalen Admin 3.:Das kann auch gewollt sein 4.:Oder Zauberlehrling – „die Geister die ich rief" …

  8. Daniel sagt:

    Jegliche Übertragung von Daten unklaren Inhalts sei es vom Betriebssystem oder von anderen Programmen die der Benutzer / Administrator nicht ausdrücklich erlaubt bzw. aktiviert hat sind mit Datenschutz nicht vereinbar. Ob man das nun "Telemetrie", "Cloud", oder "OneDrive" nennt ist vollkommen egal.

    Wenn Firmen durch die Gesetzgebung gezwungen sind jederzeit Benutzerdaten ohne Gerichtsbeschluss an Behörden herauszugeben wie das ja wohl in der USA der Fall ist ist das mit dem deutschen und europäischen Datenschutz ebenfalls nicht zu vereinbaren.

    Egal ob es sich nun um Google, Microsoft, Apple, Amazon oder andere IT-Firmen handelt. Das Problem ist das gleiche. Um es mal grob zu sagen egal ob PC, Smartphone oder Smart-TV in der Standardeinstellung sind es heut meist "Wanzen" die Benutzerdaten oder sogar Gespräche aufnehmen und auswerten. Man kann sich entweder daran gewöhnen oder was besser wäre sich darum bemühen dass dieser Unsitte ein Ende gemacht wird.

    • Hitomi sagt:

      Oh weh, mal sehen wann die Bürger merken, dass die ganzen neuen KFZ alle Zwangstelemetrie haben. Das gibt ein aufwachen, wenn man 30,000€ für eine Wanze bezahlt hat.

      [https://netzpolitik.org/2019/fahrzeug-blackbox-wenn-dein-auto-gegen-dich-aussagt/]

      [https://netzpolitik.org/2018/ecall-verpflichtend-eingebaute-sim-karten-nun-in-jedem-neuwagen/]

      [https://www.adac.de/rund-ums-fahrzeug/ausstattung-technik-zubehoer/assistenzsysteme/daten-modernes-auto/]

      * Verstellvorgänge Fahrersitz (Anzahl der Fahrer)
      * Dauer/Zeitpunkt Telefongespräche
      * GPS-Daten mit Statusbericht
      * ……

      Mit hat die Firma mit den 4 Ringen mal beim Service gesagt ich "würde ja sportlich fahren". Geht euch nichts an.

      • Teletom sagt:

        Es wird kein "aufwachen" geben, wie du es implizierst! Die einen sind längst wach und spüren tagtäglich ein "Oh weh", sind aber machtlos gegenüber der fortschreitenden Entwicklung. Den anderen, der Mehrheit, ist auch dies egal.

        Viele haben aus finanziellen Gründen keine Wahl, wer sich mit Mühe einen dringend benötigten fahrbaren Untersatz leisten konnte, kann nicht einfach sagen, "heut' nehm' ich mal den 65er Aston Martin, der fährt auch ohne". Und im Bus begrüßen einen Kameraüberwachung und elektronisches Ticket.

        Es ist so gewollt und es wird immer weiter gehen!

      • McAlex777 sagt:

        Es gibt nur ein Aufwachen einzelner, wenn vor Gericht Telemetriedaten über Wahrheit oder Unwahrheit entscheiden.

        Es gibt nur ein Aufwachen wenn in den USA mal eine Regierung dazu übergehen sollte heute "geltendes" Recht grundlegend zu ändern, und Telemetriedaten zur Rückwirkenden Auswertung ausnutzt.

        So ein Beispiel war in der Nazizeit Homosexualität – alte Patientenakten wurden durchwühlt, und die betreffenden im nächstgelegenden Lager "umerzogen".

        Ein solches Beispiel könnte in heutiger Zeit Abtreibung in den USA sein/werden.

        Die Zivilisationsdecke ist dünner als mancher denkt – darum sollte Datenminimierung ein hohes Gut sein und bleiben.

  9. Mira Bellenbaum sagt:

    Für Office
    HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\office\common\clienttelemetry

    DisableTelemetry = 0
    sendtelemetry = 3

    Für W10
    HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DataCollection

    AllowTelemetry = 0

    Zusätzlich Dienste aufrufen.
    Benutzererfahrungen und Telemetrie im verbundenen Modus "deaktivieren"
    &
    Windows-Fehlerberichterstattungsdienst "deaktivieren"

    • 1ST1 sagt:

      Endlich mal ein konstruktiver Beitrag!

      Problem ist allerdings, wenn man den Dienst "Benutzererfahrungen und Telemetrie" deaktiviert, dann klappt das Onboarding von Defender in die Intune-Verwaltung nicht mehr. Wer also Defender im Unternehmen einsetzt, kann das nicht tun.

      • McAlex777 sagt:

        Überhaupt garnicht konstruktiv.

        Wer garantiert das die Settings mit nächstem Udate noch greifen?!

        Wer garantiert das die Settings unter Windows Home greifen?!

        Wer garantiert das die Settings überhaupt greifen?!

        Wer garantiert das Microsoft Edge keine Seitenaufrufe überträgt?!

        Wer garantiert das Microsoft keine Commandline Tastenanschläge überträgt?!

        Nein … das alles ist keine Lösung.

        Die Lösung ist rechtlicher Natur – solches Geschäftsgebaren zu verbieten. Dann obliegt es dem Hersteller Datenschutz zu gewähren, und gibt der Konkurrenz die Möglichkeit Ihre Produkte stärker weiterzuentwickeln.

    • Glückskeks sagt:

      Naja, fast:
      Die Policies werden halt nur bei Office 365 E3/e5/ ProPlus und bei Windows 10 greifen.

      Jede Home, Prof, Home&Student und die vergleichbaren M365 Versionen ignorieren die Policies gefliessentlich.

      https://www.microsoft.com/en-us/download/details.aspx?id=49030
      (Systemrequirements öffnen.)

      • Mira Bellenbaum sagt:

        Nur bei den Reg-Einträgen geht es nicht um Policies!
        Aber Du kannst dir ja auch einfach eine Batch erstellen, die bei jeden Shutdown
        und bei jedem Systemstart die Daten unter
        "C:\Users\"benutzer"\AppData\Local\Microsoft\Office\OTele"
        löscht!
        Daten, die nicht vorhanden sind, können nicht versandt werden. ;)

    • McAlex777 sagt:

      >> Zusätzlich Dienste aufrufen.
      >> Benutzererfahrungen und Telemetrie im verbundenen Modus "deaktivieren"
      >> &
      >> Windows-Fehlerberichterstattungsdienst "deaktivieren"

      Microsoft cached Fehlerberichte und Telemetriedaten wenn sie nicht direkt übertragen werden können. Nach spätestens jedem Funktionsupgrade werden die Dienste wieder aktiviert, und die Caches nachträglich übertragen.

      Darum brauch es "wirksamen", "rechtlichen" Schutz.

      Gegen einenen Wegelagerer der die Leute an der Edeka-Tür überfällt hilft auch keine Knarre, sondern Justiz und Recht.

      So wie der Wegelagerer bei wiederholtem Male wegen Diebstahls im Knast landet, so hat das bei Microsoft auch der Fall zu sein.

      Nein heist Nein – das hat auch Microsoft zu akzeptzieren.

      • Mira Bellenbaum sagt:

        Mach Dich bitte noch einmal schlau!
        Fehlerberichte, die gar nicht angelegt werden, können nicht "nachgereicht" werden.

        • McAlex777 sagt:

          Und was ist mit dem Telemetriedaten-Cache?

          • Mira Bellenbaum sagt:

            Was verstehst Du an dem "Fehlerberichte, die gar nicht angelegt" nicht?

            Cache hin oder her, wenn keine Daten erhoben werden,
            ist nichts vorhanden, was versendet werden könnte!

            Und im Übrigen habe ich einen Weg aufgezeigt, wie man eventuelle
            temporäre Telemetriedaten-Daten auf der Festplatte sowohl beim
            Booten wie auch beim Shutdown löschen kann.
            Diese Batch als Dienst angelegt, mit einem Interwall und schon wird es keine Telemetriedaten-Daten geben, für den Fall, dass man den Einstellungen nicht traut.
            Aber wenn es schon so weit geht, das Misstrauen, sollte man besser ein anderes BS nutzen und auch andere MS-Produkte meiden.

        • Norddeutsch sagt:

          @Mira Bellenbaum, @McAlex – ich schätze eigentlich die Kommentare von Euch Beiden – und Ihr habt beide zu gewissem Grad Recht. Vielleicht hilft es wenn wir alle einen Schritt aufeinander zugehen und eine (Proll-Haltung ON) Fallibilistische Haltung nach der es eben keine absolute Wahrheit geben kann (Proll-Haltung OFF) einnehmen.
          Mira hat einen konkreten Weg aufgezeigt (den ich übrigens selber nutze, den ich aber aus Auditsicht heraus als unzufriedenstellend erachte, da zB selbst die Funktionalität eines selbstgestrickten „clean-services" nicht immer, aber oft sicher ist)
          McAlex Spricht völlig korrekt den Cache an – der mir nicht nur bei MS sondern ebenso bei Firefox, Adobe, lange Liste… schon negativ aufgestoßen ist.
          Wenn man also überlegt: Alleine mit nur einer technischen Maßnahme ist es allein nicht getan, man braucht ebenso zB Rechtssicherheit und „weitere" Organisation.
          Eigentlich müssten wir erst einmal die Definition des Terminus „Telemetrie" klar stellen. Ebenso gehen hier im Thread – nur aus legislativer oder Normkonformer Sicht die Begriffe Daten, „meine Daten", personenbezogene Daten, pbD, personenbeziehbare Daten, Telemetrie, etc etwas unpräzise + unabgegrenzt durcheinander. Bei Schulungen widme ich dem immer 2-3 Stunden

          Grüße vom Krankenbett

          • Mira Bellenbaum sagt:

            Gute Besserung.

            Du bringst es auf den Punkt!
            Es bedarf natürlich mehrere Maßnahmen.
            Meine Vorschläge sind eher als "Notwehr" zu sehen!
            Selbstverständlich braucht es endlich klare gesetzliche Vorgaben,
            a. Was genau Telemetrie-Daten sind
            und
            b. Was genau personenbezogene Daten sind!
            Dürfen solche Daten generell oder nur bei Zustimmung übertragen werden?
            Und es gibt so viele ungeklärte Fragen, es herrscht gerade Wild West
            bei diesem Thema!

            Aber die Angela hat ja Daten als Goldgrube definiert
            und somit die Bürger den Konzernen zum Fraß vorgeworfen.

            Mir stößt z.B. die Datensammelei der Autobranche ganz gewaltig auf!
            Es geht die einen Sch…. an wo ich so rumfahre!
            Um nur mal ein Beispiel zu nennen! Wofür sammeln die diese Streckendaten?

          • McAlex777 sagt:

            Hallo,

            das Problem ist, das es keine "einfachen" Lösungen gibt. Microsoft ändert fortlaufend sein Windows-Verhalten – so das solche Lösungen jederzeit ins leere laufen können.

            Meine Kritik verwies auf hunderte andere Datenschutzproblematische Settings welche von Mira nicht berücksichtigt werden, insbesondere der Telemetrie-Cache. 3 Einstellungen in der Registry, und zwei deaktivierte Dienste reichen schlichtweg nicht. Das geht sogar schon aus den offiziellen Microsoft-Dokumenten hervor.

            Und ja: letztlich kritisier ich damit auch ganz ausdrücklich mein eigenes Datenschutz-Scriptum welches auch laufender Nachjustierung benötigt.

            Darum muss m.E. rechtlicher Schutz forciert werden. Registry-Hacks sind keine Lösung des Problems.

          • Norddeutsch sagt:

            Besserung? Danke – ist seit Anfang Corona so eine Sache, kostet mich wohl meine Existenz. Schreibe massiv unter Drogen nach 10xKKH Einweisung, 5xabgesagt wg Pandemie, 5x KKH "erlaubt mit Vollnarkosen" … *seufz* … kann z Glück blind tippen.
            Falls mögliche Fragen bei PKW+ Telemetrie+ OBD,etc: Mach doch unter "Diskussion" einen Thread auf. Oute mich mal als Jemand der OBD-Diagnostik immer auf dem Lap hat, die Viskosität seines Getriebeöls tuned + sein Schiebedach oder die Injektoren von Bosch selber anlernte (Daher mag ich wohl auch Günters Stil hier).
            Nur so viel: Schon vor 15-20 Jahren haben blau-weisse PKW selbst die Anzahl der Bremspedal- betätigungen getrackt, nur noch nicht wie heut per "Key" oder www transmitted.

          • Günter Born sagt:

            @Norddeutsch: Auch von hier gedrückter Daumen zur gesundheitl. Lage – kenne das nur allzu gut.

            Wegen der ODB-Geschichte – wenn es gesundheitl. besser geht, schicke mir einige Stichwörter oder Rumpftexte per Mail (siehe in About) – dann mache ich einen eigenen Artikel draus.

          • Norddeutsch sagt:

            Wusst ichs doch – Damit wollt Ihr eigentlich ganz Ähnliches ;-p aber erst zanken wie die Berserker… Klarheit, Verbindlichkeit, eine Vernünftige Lösung. Als Belohnung schmeiss ich ne Runde Novalminsulfon gemischt mit Pseudo- Aufputsch- Efidrin.

            1. Es besteht Konsens: Einfache Lösungen wie zu Zeiten WFW 3.11 scheinen derzeit nicht mehr möglich
            2. Die 100+ Settings "allein für Microsoft" mag ich erahnen – dies gilt leider ebenso für viele Andere – allein meine Company-Policy für Firefox ist 3 A4-Seiten lang und muss dauerhaft gepflegt werden.
            3. Selbst als Auditor will man übrigens einfach nur "saubere" Lösungen. Damit ist dem Admin, dem Chef, dem ganzen Unternehmen am ehesten nachhaltig geholfen. Als Auditor "beweist" man im Übrigen idealerweise "die saubere Arbeit" der Admins nur.
            Ich mag pauschale Begriffe wie "Datenschützer", oder "Aluhutträger" nicht – sie polarisieren, lenken vom Problem und unterbinden Diskussion.

          • R.S. sagt:

            Gute Besserung!

            Was die OBD-Geschichte angeht:
            Ja, da wäre mal ein Beitrag ganz gut.
            Ich habe auch gestaunt, was mein Auto da alles abspeichert, als ich das mal ausgelesen habe:
            Oh, am Datum X war die rechte Blinkerbirne defekt, am Datum Y wurde die Batterie abgeklemmt, etc.
            Hab dann den Speicher gelöscht, geht niemanden etwas an!
            Und heutige Autos sind ja im Grunde rollende Überwachungsapparate.
            Nimm z.B. Tesla: Die Fahrzeuge machen ein permanente Rundumüberwachung und auch der Innenraum wird permanent überwacht.
            Da gabs vor einiger Zeit einen Fall in Deutschland, bei dem ein Tesla in einen Unfall verwickelt war. Die Polizei hat dann Daten bei Tesla angefordert, die wollten eigentlich nur das, was das Fahrzeug unmittelbar vor und beim Unfall aufgezeichnet hat. Bekommen haben die die Daten der letzten 2 Wochen inkl. stundenlangen Videoaufnahmen aus dem Fahrzeuginneren!

  10. Dolly sagt:

    Microsoft 365 wird nie datenschutzkonform sein.

  11. R.S. sagt:

    Selbst wenn die Anbieter ihre Server in der EU stehen haben:
    Wer sagt denn, das die nicht diese Server auf Server in den USA spiegeln?

    Und was Clouddienste allgemein angeht:
    Wer garantiert einem denn, das nicht z.B. ein neugieriger Admin im Rechenzentrum einen Blick auf die Daten wirft, evtl. sogar Kopien macht?
    Die Nutzung von Clouddiensten braucht schon extrem viel Vertrauen an den Cloudanbieter und dessen Mitarbeiter.
    Und gerade Cloudanbieter sind ein bevorzugtes Ziel von Hackern.
    Gelingt ein Hackversuch, haben die gleich Zugriff auf Daten von sehr vielen Nutzern des Clouddienstes.
    Ich halte von den ganzen Clouddiensten nichts.

    Was die Telemetrie angeht:
    Ja, das ist für die Programmentwicklung nützlich, aber personenbezogene Daten (und um die geht es primär bei der DSGVO) dürfen niemals übertragen werden. Die haben auf dem System zu bleiben.
    Und dringend benötigen tut Microsoft die Telemetrie aus der EU auch nicht, denn die haben ja weltweit Kunden. Ob die die Telemetrie von 2 Mrd. Systemen oder nur von 1,5 Mrd. Systemen bekommen spielt bei der großen Anzahl keine Rolle.
    Ergo könnte Microsoft die Telemetrie für die EU komplett abschalten.
    Aber ich befürchte, das das programmtechnisch derzeit gar nicht möglich ist und der Programmcode entsprechend angepasst werden müsste.
    Und das wird Microsoft wohl zu viel Aufwand sein, das umzuprogrammieren, so das die Telemetrie komplett abschaltbar ist.

    Und was die Telemetrie in der Praxis bringt, nämlich ziemlich wenig, sieht man doch immer wieder bei Problemen, die nach einem Update auftauchen und die Microsoft bis heute nicht abschließend in den Griff bekommen hat, wie z.B. die Thematik mit den Druckern.

  12. Alzheimer sagt:

    Mal ne Frage:
    Wieso spricht man hier immer nur von MS 365?
    Alle anderen (bis auf die ganz alten) MS/Office Version schicken doch auch fleißig verschlüsselte Daten heim zu MS…

    • Laphroiag25 sagt:

      Das Frage ich mich schon die ganze Zeit: Was ist mit all den OnPrem Exchange Servern – wo ist definiert, das die keine Telemetrie-Daten erheben und in die USA schicken?
      Und selbst, wenn jemand einen Registry-Wert verändert – der Quellcode liegt nicht offen – dann können immer noch Daten fliessen, was den On Prem Exchange nicht DSGVO-konform macht – aber dann ist Land unter.

      Und: Es gibt ja noch den Freibrief: Wenn technisch notwendig. Ich denke, damit lässt sich, wenn keine Alternative verfügbar ist, der Betrieb (egal von welcher Variante) legalisieren.

  13. Alzheimer sagt:

    Hat eigentlich schon mal jemand versucht, dem Finanzamt, Ordnungsamt, usw. die Verarbeitung/Speicherung seiner Daten auf Systemen mit MS-Software wegen DSGVO-Verstoss zu untersagen?
    Das sollte doch per Gerichtsbeschluss durchzusetzen sein!?
    Musste vor 3 Tagen wegen 7 km/h über den erlaubten 50 km/h ein Verwarnungsgeld von 30 € zahlen.
    Die wären sicher zu faul, wegen 7 km/h die Daten zum Kennzeichen aus Unmengen von Tab-Kärtchen rauszusuchen ;)

    • Mira Bellenbaum sagt:

      Mach es doch!
      Einer/eine muss doch mal anfangen!
      Schlussendlich nach hohem Risiko und viel Geld werden sie auf die Fr…. fallen.
      Es wird aber nicht nur recht teuer, auch der Weg bis nach Brüssel ist recht weit.

      Das wird wohl der Grund sein, warum es bisher noch niemand gemacht hat.

    • Andy sagt:

      Ich würde es ja sehr begrüßen, wenn da jemand eine Klage führen könnte. Würde auch den Behörden helfen.
      Das wird allerdings schwer werden, da man vorher die eigene Betroffenheit nachweisen müsste. So mal eben verklagen geht leider nicht.
      Der konkrete Nachweis ist auch kaum zu erbringen, selbst mit dem Wissen um die Verwendung von z.B. Microsoft 365, Windows oder Office. Ist ja nicht wie beim Homeschooling, wo man direkt teilnehmen muss und die Betroffenheit ein Selbstläufer ist.
      Wenn es doch jemand hinkriegt, wäre es natürlich toll. Das würde Fakten schaffen, mit denen man besser arbeiten könnte. So oder so.

      • Norddeutsch sagt:

        Andy ist sehr überlegt. Legislative Anforderungen judikativ einzufordern ist ein großer Wurf. Realistisch betrachtet eher nur mit starken Verbündeten. Ich persönlich schätze den CCC oder Netzpolitik.org (zB bzgl Know How,Engagement + Themenkompetenz) . Dort gibts bis zum Richter und Reporter in Brüssel alles – jedoch fehlt mE selbst dann der "Wille+Druck der Masse". Empfehlenswert dazu: https://netzpolitik.org/2022/npp-253-zum-digital-services-act-die-revolution-bleibt-aus/
        Wir sind doch alle auch ITler ! Sammeln wir einmal: Plattform, niedrige Einstiegsschwelle für Mitmacher, kostengünstig, Crowd als möglicher Multiplikator, helfend zB mit Teilautomatisierung … Wiki der Wikinger rubbelt sich an Nase, Sterne springen … Lasst folgende Links einmal auf Euch wirken:

        1. DSGVO: https://dsgvo-gesetz.de/art-15-dsgvo/
        2. Rechtswirkung:https://www.dsgvo-portal.de/dsgvo-bussgeld-datenbank/

        Kurzform eines einfacher umsetzbaren koordinierten Vorgehens: Die (1.) Auskunft ist verpflichtend, jedem Anfrager sind die og Kriterien + Speicherungen/Ausleitungen zu nennen. Aus unserer IT-Sicht muss Info auch über Auftragsverarbeiter vom Emailprovider bis zur Office-Cloud Microsoft einiges genannt werden.
        Das schöne: Statt nachzuweisen und einzelne Verfahren anzustrengen verlagert dies im 1. Schritt initialen Aufwand + dreht die Nachweispflicht durch verteilte Masse an legitimen Anfragen. Dies im 2. Schritt bis zu möglicher Pönalisierung mit legislativ festgesetzen Fristen sowie definierten Beschwerdewegen (zB Übergabe an DSB des Landes). Dies alles unter dem Thema „Auskunftsrecht" im Sinne einer „vollumfänglichen Selbstauskunft". Im 3. Schritt kann man Ergebnisse gezielt mit IT- KnowHow durch eine Community sammeln, bewerten, verifizieren oder rügen.
        Dafür notwendig wäre wohl: 1) Eine Informationsbasis / Webseite 2) Eine Datenbank: Anfragen, Angefragte Unternehmen, Ergebnis,Kriterien 3) Unterstützung für Interessenten: Erklärung, Skizzierte Meldewege, Beispielselbstauskunft als PDF 4)Kommunikation + Koordination – vll ein Forum, Group o.ä. 5) Auswertung – selbst ein Scoring von (nicht) antwortenden Unternehmen wäre denkbar. Das tolle: Beliebig skalierbar, unabhängig vom Unternehmen – ob Automobil, Fitnesstudio oder Office-Cloud…

        (Samson sagt: UiUiUi) …das ist schwer ;-) Wo find ich hier im Blog nur gute Admins, engagierte PHPler, Webserver+Datenbankexperten, … **grübel**

    • McAlex777 sagt:

      Ich würde solch einer Klage mit Spenden unterstützen – auch um die rechtliche Situation final bis zu höchsten deutschen/europäischen Gerichten zu klären.

      • Alzheimer sagt:

        Könnte man dafür nicht ein Crowdfunding starten?
        Ich kenn mich mit sowas aber garnicht aus

        • McAlex777 sagt:

          Ich kenn mich leider auch nicht juristisch aus.

          Ich würde mich dem jedoch finanziell auch über Jahre hinweg anschliessen wenn "erfahrene/fähige" Juristen+Datenschützer das Thema bereitwillig bis zum EUGH durchklagen würden.

          • Mira Bellenbaum sagt:

            Ich bin dabei!

            Doch der/die Klagende hat da so einige Probleme,
            die von Andy, einen Post über dem diesigen, angerissen werden.

            Es wird ein langer, es wird ein steiniger und ein noch schwieriger Weg.

          • Alzheimer sagt:

            Bin ja auch kein Jurist, aber ich denke es ist recht einfach, denn es muss ja nur geklärt werden, ob ein Gesetz für alle "bindend" ist, oder einfach ignoriert werden darf , wenn es grad nicht so gut passt (z.B. weil man sich eben nur mit Microsoft auskennt und nicht mit Linux o.ä.).
            Und die Entscheidung dürfte klar sein, ansonsten bräuchte man z.B. auch keine Steuern zahlen, wenn es grad nicht so gut passt ;)

          • Alzheimer sagt:

            PS: Da ich seit 35 Jahren mein Geld als Softwareentwickler mit und für MS-Software verdiene, müsste ich natürlich auch wieder die alten Versionen (vor Telemetrie) raussuchen, aber die Client/Server Zeiten waren mir eh viel lieber. Auf so Zeugs wie Klaud/Twidda/Feisbog/WotzAb/usw. kann ich gut verzichten, da ich das eh nicht nutze (die wenigen interessante Inhalte kann man auch wo anders finden oder werden dank Leuten wie @Günter ausgefiltert und verbreitet, sonst wird dort ja vorwiegend Unsinn und Dummheit verbreitet – soweit ich das eben beurteilen kann)

  14. McAlex777 sagt:

    @Günter: Danke für diesen hervorragend ausgearbeiteten Artikel!

  15. MS sagt:

    Mal eine Frage: Gibt es einen Fall, wo ein Unternehmen für der Nutzung von m365/o365 Diensten erfolgreich mit einen Bußgeld belangt wurde?
    Ich habe den Eindruck, die DSK stürzt sich hier ausschließlich auf den öffentlichen Bereich, weil sie dort keine Bußgelder verhängen können die vor Gericht angefochten werden könnten. Mir ist jedenfalls kein Fall bekannt, bei dem ein Unternehmen für den Einsatz M/O365 mit einen Bußgeld belangt wurde.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.