Microsoft 365 und der Datenschutz, wie geht es weiter?

Seit die Datenschutzkonferenz (DSK) Microsoft 365 als nicht DSGVO-konform eingestuft hat, ist die Unsicherheit groß. Firmen, Behörden, Schulen, die auf Office 365 oder Microsoft 365 setzen, handeln dem Beschluss der DSK nach (vermutlich) datenschutzwidrig. Microsoft hat eine eigene Stellungnahme herausgegeben und Juristen bringen sich in Stellung, um den DSGVO-konformen Einsatz zu begründen. Der Thüringer Datenschutzbeauftragte Lutz Hasse will jetzt mit Firmen über dieses Thema reden – am Ende des Prozesses könnte ein Verbot drohen. Hier ein kleiner Abriss, um was es geht, wo wir stehen, und wie es weiter gehen könnte.


Anzeige

Der DSK-Beschluss zu MS 365

Die Datenschutzkonferenz (DSK) ist die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder in Deutschland. Und dieses Gremium hat Ende November 2022 den Beschluss gefasst, dass Microsoft 365 nicht  DSGVO-konform zu betreiben ist. Grund sei, dass von den für Datenschutz Verantwortlichen die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt werden kann.

Das ist das schnöde Ergebnis von Gesprächen der Datenschutzbeauftragten mit Vertretern Microsofts, die seit 2020 geführt wurden. Trotz Nachbesserungen seitens Microsoft ist die geforderte Transparenz in der Verarbeitung personenbezogener Daten durch Microsoft 365 nicht gegeben, so das Urteil der Datenschützer. Ich hatte im Blog-Beitrag Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform über diesen Vorgang berichtet und auch einige Aussagen vom deutschen Datenschutzbeauftragten, Ulrich Kelber, diesbezüglich aufgegriffen.

Hatte zu einigen Reaktionen geführt. Ich hatte im Blog-Beitrag Nachbetrachtung zur DSK-Einstufung "Microsoft 365 weiterhin nicht datenschutzkonform" sowohl die Stellungnahme Microsofts (die die DSGVO erfüllt sehen) als auch die Beurteilung der Juristen von Reuchlaw zum Thema aufgegriffen. Ich hatte aber auch darauf verwiesen, dass sich beide Parteien auf die Executive Order des US-Präsidenten zum Transatlantic Data Transfer Framework und den erwarteten Angemessenheitsbeschluss der EU-Kommission stützen. Der Angemessenheitsbeschluss der EU-Kommission würde den Transfer persönlicher Daten in die USA dann auf rechtlich saubere Füße stellen. Problem ist, dass dieser Konstrukt durch den Europäischen Gerichtshof (EuGH) möglicherweise (in meinen Augen sogar wahrscheinlich) als unzulässig gekippt werden könnte. Die beiden Vorgängerabkommen hatten dieses Schicksal – und das gegenwärtige Konstrukt hat da, aus Sicht europäischer Bürger, die gleichen rechtlichen Mängel.

Thüringens Datenschützer will reden

Der Thüringener Landesdatenschutzbeauftragte Lutz Hasse will mit Unternehmerverbänden und Behörden über die Umsetzung eines Beschlusses der Datenschutzkonferenz zur Office-Software des US-Unternehmens Microsoft sprechen. Der DPA diktierte er "Dieser Beschluss richtet sich an alle Behörden und alle Unternehmen" und schließt als letzte Möglichkeit nicht aus, dass die Verwendung der Software künftig nicht mehr möglich ist.

Die Kollegen von Golem haben das Ganze in diesem Artikel aufgegriffen. Hasse will zunächst herausfinden, wie stark sie in der Unternehmerschaft verbreitet sei, schreibt Golem. Zudem will der Datenschutzbeauftragte unter anderem mit der Industrie- und Handelskammer über die Auswirkungen des Beschlusses sprechen. Die Hauptgeschäftsführerin der Industrie- und Handelskammer Erfurt, Cornelia Haase-Lerch wird als besorgt zitiert: Die Produkte von Microsoft 365 sind für die Unternehmen unverzichtbar. Gemeinsam mit der Wirtschaft müssen Lösungen gefunden werden, damit Anwendungen von Microsoft in Deutschland und der Europäischen Union rechtskonform eingesetzt werden können. In Schulen müsste der der Einsatz der Software sogar sofort unterbunden werden.

Wie geht es weiter?

Nüchtern betrachtet hat sich die Branche selbst in diese Schwierigkeiten gebracht, ist das Problem doch seit Jahren in der Diskussion. Die Lösung hatte ich im Beitrag Nachbetrachtung zur DSK-Einstufung "Microsoft 365 weiterhin nicht datenschutzkonform" skizziert. Microsoft passt Microsoft 365 so an, dass es DSGVO-konform ist und fertig. Hier zielt das Unternehmen in meinen Augen schlicht auf ein Kräftemessen oder der deutsche Arm kann den US-Konzern nicht überzeugen. Erst wenn ein Einsatzverbot in Europa droht, wird sich Microsoft bewegen.

Interview mit Landesdatenschützer Stefan Brink

Die Kollegen von Golem haben hier das Thema aufgegriffen und beim baden-württembergischen (BW) Landesdatenschützer Stefan Brink nachgefragt. Dieser sieht nun nicht nur Schulen oder öffentliche Stellen in der Pflicht. Er sagt, dass die Datenschützer jetzt alle Verantwortlichen im Blick habe, auch die Unternehmen. Aussage von Brink: Die Botschaft an die Unternehmen ist, dass sie selbst die Verantwortlichen sind und dass sie als Verantwortlicher selbst die Datenschutzkonformität ihrer Prozesse nicht nur sicherstellen, sondern auch nach Artikel 5 Abs. 2 DSGVO nachweisen müssen. Dieser Nachweis kann nicht allein durch Bezugnahme auf Unterlagen von Microsoft geführt werden, sondern die Verantwortlichen müssen sich selbst von der Rechtskonformität aller Verarbeitungen überzeugen und gegebenenfalls auch weitergehende Ermittlungen dazu anstellen.


Anzeige

Sein Fazit lautet, dass die Ergebnisse der DSK absehbar waren und keiner überrascht sein könne. Solange der Angemessenheitsbeschluss nichts rechtswirksam ist und hält, oder Microsoft nachbessert, bleibt das Ganze nicht datenschutzkonform bzw. der Nachweis kann nicht erbracht werden. Zitat: "…wird es nochmal weitere Rechtsfragen geben, die zu klären sind. So gibt es bestimmte rechtliche Bestimmungen in den USA, denen Microsoft teilweise unterliegt, wonach sie Daten auch dann an US-Behörden rausrücken müssen, wenn sie ausschließlich in Europa verarbeitet werden. Es wird daher noch weitere Schritte von Microsoft geben müssen, wenn sie den europäischen Markt nicht verlieren wollen. Aber ich bin guter Dinge, dass diese positive Entwicklung bei US-Dienstleistern hin zu europäischen Standards noch erheblich weitergeht."

Die Einschätzung des Datenschutzbeauftragten für BW ist, dass es jetzt ein unterschiedliches Vorgehen in den Ländern und beim Bund geben werde. Dazu heißt es von Herrn Brink: Einige [Länder] werden sich an Unternehmen wenden, andere an öffentliche Stellen. Andere werden wahrscheinlich zunächst mal nur Gespräche suchen ohne konkrete Maßnahmen, andere warten auf Beschwerden von Betroffenen. Was konkret getan wird, hängt auch ganz stark mit der Ausstattungslage zusammen und mit der Frage: Wer marschiert voran, wer marschiert hinterher?

In BW will sich der Datenschutzbeauftragte zunächst um öffentliche Stellen kümmern. Sobald das abgearbeitet wurde und Erfahrungen vorliegen, kommen die Unternehmen dran – salopp gesprochen. Wie "gehen sie weiter, es ist nichts zu sehen", wie auch in nachstehendem Kommentar angedeutet,  sieht mir das nicht gerade aus. Vor allem die nachfolgende Aussage sollten sich Unternehmen durchlesen: Erreichen uns Aufsichtsbehörden konkrete Beschwerden, so kann dies natürlich auch Anlass zu Prüfungen sein. Aber auch hier müssen wir realistisch bleiben: Wir werden nicht alle Beschwerden gleichzeitig bearbeiten können, auch da müssen wir priorisieren. Aber: Beschwerden setzen natürlich die Aufsichtsbehörde in Gang, kein Zweifel.

Abschließende Gedanken

Ich betrachte das Thema ja als außenstehender Beobachter, der nicht für den Einsatz von Microsoft 365 in Unternehmen verantwortlich zeichnet. Aber es erschüttert schon, einige Reaktionen zu beobachten. Dieses gespielte Erstaunen in Behörden und Unternehmen, dass Datenschutzbeauftragte der Länder plötzlich Ernst machen und konkret nachfragen könnten, wie ein Verantwortlicher den DSGVO-gemäßen Einsatz von Microsoft 365 nachweist. Irgendwie kommt mir vieles wie "Vogel-Strauß-Politik" vor, Kopf in den Sand stecken und hoffen, dass es gut geht. Wahlweise wird die Alternativlosigkeit des Einsatzes betont.

Auf Twitter ist mir heute ein Link auf diesen Artikel untergekommen, in dem den Datenschutzbeauftragten der Länder "ein ideologischer Streit auf dem Rücken der Schulen" unterstellt wird. Laut dieser Seite wird die Plattform News4teachers von einer Redaktion aus Lehrern und Journalisten betrieben. Gemäß eigener Aussage ist News4teachers eine Nachrichten- und Diskussionsseite, die sich "seriöse Berichte, Analysen und Kommentaren" auf die Fahnen schreibt und sich an pädagogische Profis und die an Bildungsthemen interessierte Öffentlichkeit richtet. Ich spitze als Blogger zwar schon mal zu. Wenn ich einen solchen Artikel hier im Blog rausgehauen hätte, wäre mir aber mit Recht Einseitigkeit und Hetze vorgeworfen worden.

Erstaunt haben mich zudem zwei Kommentare auf Facebook aus IT-Gruppen wo mir jemand bezüglich des Artikels Nachbetrachtung zur DSK-Einstufung "Microsoft 365 weiterhin nicht datenschutzkonform" "Lobbyismus gegen Microsoft" vorwirft – irgendwie fühlte ich mich geadelt – und ein weiterer Kommentator eine neutrale Berichterstattung forderte. In beiden Kommentaren (auch der Gruppe der IT-Dienstleister und Administratoren) lese ich heraus, dass die Datenschützer nur ein lästiges Anhängsel seien, dass ignoriert und zurückgepfiffen gehört. Läuft es auf "kann nicht wahr sein, das mit dem Datenschutz, weil es nicht wahr sein darf" hinaus?

Im gestrigen Artikel Vernichtendes Urteil an elektronischer Patientenakte auf Freie Ärzteschaft (FA) Kongress (3.12.2022) ist mir ein Satz besonders im Kopf von der Vertreterin der Freie Ärzteschaft, Silke Lüder, hängen geblieben: "Dass nur noch staatliche Datenschützer die Ärzte vor einem vollständigen Verlust Schweigepflicht und des informationellen Selbstbestimmungsrecht bewahre." Das sollte doch Ansporn sein, die staatlichen Datenschutzbeauftragten zu stützen und über die Themen zu berichten – und der Stachel im Fleisch zu sein.

Ich formuliere es mal so: Es bleibt noch viel zu tun, bis diese Kuh vom Eis ist und ich fürchte, dass einige Behörden sowie Firmen bluten müssen – es sei denn, Microsoft (und andere US-Konzerne) stimmen ihre Produkte endlich auf die DSGVO ab (aber das wäre ja zu einfach). Es bleibt spannend zu beobachten, wie die Datenschutzaufsicht vorgeht, und wie der EuGH mit einem erwarteten Angemessenheitsbeschluss umgeht.

Eigentlich wäre es ja ganz lustig, dem zuzusehen, wenn es nicht um unsere Daten gehen würde, und da wird es nach meiner Beobachtung für viele Leute schon sehr ernst. Mal schauen, wenn erste Beschwerden gegen Firmen wegen der Verarbeitung von persönlichen Daten mit Abfluss in die Cloud durch MS 365 eintrudeln.

Ähnliche Artikel:
Safe Harbor: EuGH erklärt Abkommen für ungültig
EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield"
Keine Karenzfrist für Unternehmen nach Privacy Shield-EU-Urteil
Datenschützer plant durchgreifen bei Privacy Shield-Verstößen
Vorläufige Einigung zwischen EU und USA im Trans-Atlantic Data Privacy Framework
US-Präsident Biden bringt Datenschutzabkommen "Privacy Shield 2.0" auf den Weg
Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht Datenschutzkonform
Microsoft 365 an Schulen, Baden-Württembergs Datenschützer sagt Nein
Vier Jahre DSGVO: Baustelle statt großer Wurf
DSGVO, Microsoft Office und die Datenschutzprobleme
Privacy: Microsoft steht mit Windows 10/Office 365 unter Druck
Microsoft will Office Pro Plus DSGVO-konform nachbessern
Microsoft Office spioniert Nutzer aus, kollidiert mit DSGVO
Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform
Nachbetrachtung zur DSK-Einstufung "Microsoft 365 weiterhin nicht datenschutzkonform"


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

86 Antworten zu Microsoft 365 und der Datenschutz, wie geht es weiter?

  1. Anonymous sagt:

    Es geht weiter wie bisher. Bitte weitergehen, nicht hinsehen. Es gibt nichts zu sehen. Microsoft Office ist alternativlos™ so wie auch Microsoft Windows alternativlos™ ist wie auch WhatsApp alternativlos™ ist.

    Deutschland kann gut… Staub aufwirbeln, mit Phrasen um sich werfen und letztlich doch nichts tun.

  2. 1ST1 sagt:

    Die Schüsse auf Microsoft sind ja nur die leuchtende Spitze des Eisbergs, ich verweise mal auf hier: https://forum.golem.de/kommentare/security/datenschutz-und-microsoft-365-die-verantwortung-fuer-den-datenschutz-liegt-bei-den-firmen/warum-dieser-fokus-auf-microsoft/157999,6406681,6406681,read.html – man beachte den Beitrag von Autor: bofhl 06.12.22 – 09:49 …

    Das ganze Thema kann eigentlich nur politisch gelöst werden, Unternehmen, Behörden, Schulen, Vereine, Privatleute, die irgendwelche cloudbasierten Sachen, egal ob es Software von MS oder sonstwem ist, einsetzen, sind nur die zusehenden Opfer dieses Spiels. Bei meiner Frau in der Firma (großer "Laden", jeder von euch war schon in einer Filiale von denen, kann ich euch versprechen) haben sie jetzt für Teams die Telefonanlage abgeschafft, man stelle sich das mal vor, was ein Verbot von M365 da für Auswirkungen hätte!

    Den Fortschritt, egal ob man die Entwicklung hin zur Cloud gut findet oder nicht, werden die Datenschützer jedenfalls nicht aufhalten, da bin ich trotz gewisser Skepsis ob das der richtige Weg ist, inzwischen davon überredet.

    • Marco sagt:

      Ich vermute mal wenn sich von beiden Seiten nichts ändert, werden die Firmen wie bei deiner Frau zwar Telefonie usw. weiterhin verwenden dürfen, aber Dateien und Personen bezogene Daten nur On-Prem verarbeiten dürfen.

      Fürs Collobaration werden die Unternehmen dann was anderes anschaffen müssen… On-Prem Citrix Sharefile?!

      Ich kratze was die Thematik angeht zwar nur an der Oberfläche aber ich kann mir nicht vorstellen, dass Microsoft das einzige "schwarze Schaf" sein wird.

      • 1ST1 sagt:

        Dateien mit Personen bezogene Daten dürfen auch z.B. bei uns nur On-Prem gespeichert werden, das ist einfach in den Sicherheitsbestimmungen, die hier jeder MA einhalten muss, so bestimmt worden. Problem: Wir können es nicht kontrollieren. Für OnPrem wissen wir inzwischen immerhin dank eines Tools wo sensible Daten liegen und wer was damit machen darf.

        • Bernd Schneider sagt:

          Und On-Prem ist sicherer? Welcher IT Dienstleister kann denn in dem Maße für Sicherheit sorgen, wie es die großen Cloud Anbieter tun?

          Ketzerische andere Frage:
          Verbieten wir nun auch die Deutsche Post? Wo bleibt der Datenschutz, wenn jemand in der Postverteilungskette einen Brief mit Fensterbriefumschlag öffnen, mit seinem Smartphone die z.B. Blutergebnisse, die ein Arzt ja nicht über Mail senden darf, fotografiert, den Brief in einen neuen Umschlag steckt und einwirft? Streng schützenswerte Daten!

          Und da war noch der Datenschützer, der alle Geburtsdaten von den Grabsteinen kratzt…

          Die Diskussion ist mir einfach zu blöd.

          • Bernd B. sagt:

            @Bernd Schneider
            "Die Diskussion ist mir einfach zu blöd."

            Das mag an Ihren 'Argumenten' liegen…

            – (Arzt-)Brief öffnen ist dem Staat per GG verboten und Personen per StGB strafbewehrt
            – Geburtsdaten Toter sind keine schutzwürdigen Daten, da Tote generell nicht (grund-)rechtsfähig sind

            Grundsätzlich funktioniert unsere Gesellschaft durch Vereinbarung der Regeln des Zusammenlebens (die Gesetze sind Ausdruck dessen) und natürlich der Erwartung, dass die Gesetze eingehalten werden – sei es aus Vernunft, guter Sozialisierung oder der Angst vor Strafverfolgung heraus.
            Sobald eine nennenswerte Anzahl der Einwohner Gesetze nicht mehr achtet/fürchtet ist die gesamte Gesellschaft(sordnung) obsolet* und wir fallen im Wesentlichen zurück auf/in das Recht des Stärkeren.
            Bis dahin aber dürfen und müssen wir von der Einhaltung der Gesetze ausgehen und Diese schützen eben die Daten On-Prem – insb. vor Missbrauch durch den Besitzer der Daten.

            * Kritiker sagen, wir seien auf einem 'guten' Weg dahin, bereits ein echter Blackout stelle einen veritablen Kipppunkt dar, nach dem eine Rückkehr zu 'normal' sehr schwierig würde

          • Singlethreaded sagt:

            Der physikalische Zugriff auf die Post dürfte in der Breite kaum machbar sein. Der Aufwand wäre viel zu hoch und damit ist dieses Szenario deutlich unwahrscheinlicher, als dass ein paar Terabyte aus einer Cloud abgezogen werden.

            Bei einer Cloud gebe ich die Hoheit über meine Daten auf und muss darauf vertrauen, dass der Dienstleister nichts mit den Daten anstellt bzw. diese an Dritte weitergibt.

            Wenn die Daten nicht irgendwann öffentlich werden, dann merkt man vermutlich nicht mal dass der Anbieter was abgezogen hat.

    • Olli sagt:

      Einem so großen Laden würde ich es mittlerweile Wünschen damit auf die Nase zu fallen. Denn wenn einige solch großer Läden einfach mal zu MS sagen: "Bekommt eure Produkte endlich rechtskonform auf die Kette – oder wir sind weg" – geht es schon schnell mal um Millionen von Lizenzen – das ist MS dann nicht mehr egal…

      Aber letztlich: Der Gesetzgeber soll endlich einfach ein Verbot aussprechen und fertig. Dann wird sich zeigen ob MS einen Markt von >400 Millionen Nutzern aufgeben will oder nicht…

      • 1ST1 sagt:

        Das wünscht du dir nicht, mitunter musst du dann weit fahren um nicht zu verhungern.

        • Bernd B. sagt:

          In die so entstehende Marktlücke stiessen recht schnell andere Marktteilnehmer – wenig ist wertvoller, als ein etablierter Standort mit Stammkundschaft (die bereits existierenden Räumlichkeiten kann man direkt übernehmen und nach kurzem Umbau die eigene Filiale eröffnen).

          • Micha45 sagt:

            Viel Spaß mit der Marktlücke. Dann zahlst du Biopreise für den letzten Dreck. Wenn du Glück hast.

          • Bernd B. sagt:

            @Micha45

            Die Praxis/Erfahrung lehrt, dass in diese Lücke andere Grossverteiler stossen (schon, weil 'Kleinen' die nötige Finanzkraft fehlt, eine -insb. aber mehrere/viele!*- Supermarktfiliale(n) zu übernehmen/führen), die dann auch keine 'Apothekenpreise' nehmen. In der Regel hat nämlich bereits der vorhergehende Betreiber die regional aufrufbaren Preise verlangt.

            * der Insolvenzverwalter gibt die Insolvenzmasse gerne 'am Stück', also an _einen_ Käufer/Investor, ab – es rechnet sich selten, zig Filialen einzeln auszuschreiben und zu veräussern zu suchen

          • 1ST1 sagt:

            Und du glaubst, die anderen Supermarktketten verwenden kein M365?

            Du musst wohl erst verhungern, um es zu kapieren!

          • Bernd B. sagt:

            @1ST1

            WTF?
            Was ist denn das für eine realitätsferne/populistische Panikmache?!
            Mal ab von mir (ich weiss mir schon zu helfen): Bevor Menschen in nennenswertem Ausmass verhungern muss aber ganz anderes passieren, ein echter Blackout z.B., den die Regierung aber kategorisch ausschliesst.

            Im Übrigen ist das doch jetzt nur noch Vermutung/Behauptung bzw. der Versuch, FUD als 'Argument' zu nutzen.

          • Micha45 sagt:

            Du glaubst wirklich jeder Laden wird ersetzt? Der Großteil wird verschwinden und der Rest diktiert die Preise. Und die werden astronomisch sein. Gutes Essen wirst du dir dann nicht mehr leisten können.

          • Bernd B. sagt:

            …so gaaanz langsam fängt das an, sich wie Verschwörungstheorien zu lesen.

            Aber machen wie einfach einen Deal:
            Sie leben in Angst* und ich bereite mich auf die jeweiligen Risiken und Gegebenheiten nach eigenem Ermessen vor. So haben wir Alle, was wir für zutreffend halten.

            * Lesetipp dazu: http://bit.ly/3VT74ib

        • Olli sagt:

          Primär Nahrung kaufe ich seit Jahren praktisch ausschließlich auf dem Wochenmarkt um die Ecke. Da muss ich dann allenfalls länger anstehen. Zahnpasta habe ich genug für mehrere Wochen und auf Kaugummis kann ich zur Not verzichten.

          Also nein verhungern muss ich nicht…

        • Luzifer sagt:

          typisch Städter … wenn der Supermarkt nix mehr her gibt, geh ich zum Bauer um die Ecke oder direkt ins Feld und schiess mir meinen Braten ;-)
          Konserven reichen für Monate… und der Garten gibt frisches Gemüse und Obst!

      • Wil Ballerstedt sagt:

        Der Gesetzgeber wird "einfach kein" Verbot aussprechen. Mit dem würde unsere ganze Regierung ihre Arbeit einstellen müssen.

    • Micha45 sagt:

      Den Fortschritt (die Cloud) werden ein paar Datenschützer die sich wichtig machen wollen glücklicherweise nicht aufhalten. Im Gegenteil. Es gibt jetzt schon kein Zurück mehr.
      Und viel Spaß dabei eine Firma zu finden die keine Niederlassung in den USA hat. Welche Firma lässt sich freiwillig den wichtigsten Markt wegen ein paar Datenschützern die sich profilieren wollen durch die Lappen gehen? Das sind börsennotierte Unternehmen. Die sind dazu verpflichtet möglichst viel Gewinn einzufahren!
      Wacht endlich aus eurer Traumwelt auf!!!

  3. Marco sagt:

    Hallo zusammen,

    was ich bisher nicht so recht verstehe, ist warum dies nur ein "deutsches" Problem ist.
    Die DSGVO ist ein europäisches Projekt gewesen.

    Aus den Niederlanden, Spanien, Italien, usw. hat man in den deutschsprachigen Medien bisher nichts dazu gehört. Wird da M365 nicht eingesetzt? Ich vermute nicht.

    Ich bin auf jeden Fall sehr gespannt wie das Thema weiter geht und wie die vorgaben des betrieblichen DSB aussehen wird.

    VG
    Marco

    • Günter Born sagt:

      In Frankreich ist es bereits klar geregelt – dort gibt es ein Verbot zum Einsatz von Microsoft 365 in Schulen und Behörden in Form einer Direktive, sobald Cloud-Dienste dort eingesetzt werden (was faktisch immer der Fall ist).

    • Stephan sagt:

      Frankreich hat Microsoftprodukte auch schon verboten. In vielen europäischen Ländern sind sogar alte Officeversionen schon verboten worden, weil Word- und Excel-Dokumente kein freier Standard sind. Deutschland hinkt beim Kampf um digitale Souveränität eher hinterher.

      • R.S. sagt:

        Naja, da gleich Office zu verbieten geht wohl etwas zu weit.
        Alle Officeprogramme seit mindestens Office 2007 können die Daten auch in freien Standards speichern.
        Z.B. als .odt, .ods etc.
        Und die neuen Office-Formate lassen sich auch ohne Office lesen, denn es sind im Prinzip nur gezippte .xml-Dokumente.

        • 1ST1 sagt:

          Die Unterstützung von den odt-Formaten in (MS-)Office ist fehlerhaft oder nicht vollständig, bzw. bei Libreoffice gibts wiederum Probleme die Microsoft-Formate bzw die Microsoft-exportierten odt Dateien fehlerfrei zu lesen. Probiere es mit etwas komplexer gestalteten Dateien einfach mal selber aus, es kommt "drüben" niemals das selbe dabei raus, und am schlimmsten ist es wenn man den Weg hin und her mit odt versucht. Daher taugen die freien Alternativen nicht. Und wenn du deine ODT in Dropbox oder Google-Drive speicherst, bist du auch keinen Meter weiter gekommen.

          • Bernd Bachmann sagt:

            Die freien Alternativen taugen schon, *wenn* man denn auf Kompatibilität mit MS Office verzichten kann. Denn die ist speziell bei LibreOffice tatsächlich nicht einmal ansatzweise vorhanden.

            Aber es ist ja weder gesetzlich vorgeschrieben noch gottgegeben, dass eine Datei zwingend mit MS Office bearbeitbar sein muss. Also, können würde man schon…

          • McAlex777 sagt:

            @1ST1:
            Stimmt. Microsoft-Office ist technisch m.E. auch LibreOffice *deutlich* überlegen – auch von der Usability und Optik.

            Aber Microsoft will sich nicht an geltendes Recht halten – das kann ein Staat nicht hinnehmen >.<

            Es wäre ein leichtes seitens Microsoft sein verhalten DSGVO-Kompaptibel zu gestalten – dafür müssten sie Anwendern nur eine "zuverlässige" Option bieten. *Wollen* sie aber nicht, und sind bereit Gesetze zu ignorieren.

            Dann haben sie mit den Konsequenzen leben.

        • Stephan sagt:

          Die haben das ja wegen der Verbote in manchen Ländern und drohender Verbote in weiteren Ländern überhaupt erst eingebaut.

    • Norddeutsch sagt:

      Es ist "kein Deutsches Problem" – überall in der EU gibt es konkrete Handhabe gg Unternehmen bzgl diverser Verstösse, ebenso nicht nur "Microsoft". Von Ikea bis zur Volksbank, von Austria bis Spanien – alles dabei:

      Summe (bekannter) einzelner (nur) Top-100-Bußgelder von Firmen mit Sitz oder Tätigkeit in …
      US 5.699.589.307 €
      CN 1.165.011.903 €
      IE 912.000.000 €
      LU 746.000.000 €
      FR 334.100.000 €
      IT 145.346.510 €
      UK 59.524.091 €
      DE 52.600.097 €
      ES 47.610.000 €
      GR 29.100.000 €
      AT 24.700.000 €
      SE 12.148.125 €
      NL 9.655.000 €
      NO 7.147.763 €
      BG 2.607.495 €
      DK 1.344.357 €
      PT 1.250.000 €
      PL 1.085.970 €
      CY 925.000 €
      (Auflösung ob im jeweiligen Land oder vom jeweiligen Land ist nur einzeln darstellbar)

    • Martin B. sagt:

      Estland ist doch z.B. komplett auf Open Source.

      Mir ist nicht bekannt, dass Estalnd nun ein failed state ist.

      Scheinbar funktionieren hoheitliche Aufgaben auch damit. Es könnte natürlich auch am besseren Bildungsniveau in dieser Hinsicht liegen, wenn ich mir hier den Lehrplan am Gymnasium anschaue und unseres ist noch eines der besseren.

      Da gibt es verpflichtend rein gar nichts, was mit digitaler Kompetenzbildung auch nur im Entferntesten zu tun hätte – unser Nachwuchs ist fit in Kunsthistorie und fast bibelfest, denn die Nebenfächer sind hier Nabel der Welt.

  4. Jan sagt:

    Ich bin der Meinung das viele Datenschützer keine Ahnung von der Materie haben.
    Wenn es nach denen ginge würde das Internet gar nicht funktionieren.
    Ja Microsoft ist als Datenkrake bekannt, allerdings kann man vieles unterbinden.
    Die Tools die uns 365 bereitstellt sind mit Abstand die besten wenn es um Teamarbeit geht. Sollte ein Verbot kommen wird dies, die Wirtschaft hart treffen und teilweise sehr stark zurückwerfen. Wie immer tut deutsche Bürokratie den Fortschritt bremsen (einer der Gründe warum ich Jobangebote im IT Bereich fürs Amt ablehne egal was die bezahlen).

  5. Stephan sagt:

    Das war offensichtlich nie datenschutzkonform. Schon die Offline-Software von Microsoft war mit dem ganzen Aktivierungszwang und der Telemetrie schon inakzeptabel.

    Entweder sie ändern etwas grundsätzliches, oder sie sind raus.

    • 1ST1 sagt:

      Und zum tausendsten Male: Telemetrie ist nichts böses. Programmiere mal selber was komplexeres und lasse dir vom Programmcode irgendwelche Zwischenwerte ausgeben, um zu sehen ob der Code richtig funktioniert. Genau das ist Telemetrie, nämlich weil der Programmierer nicht mit bei dir am Schreibtisch sitzt und da die Zwischenwerte sehen kann.

      Und was hat jetzt Aktivierungszwang mit der Einhaltung der DSGVO zu tun?

      • Stephan sagt:

        Telemetrie ist nicht grundsätzlich böse. Aber daß man es nicht abschalten darf, obwohl man für eine Lizenz bezahlt hat, ist inakzeptabel.

        Zumal Microsoft das auch noch maximal intransparent implementiert. Jedes Team, das irgendeine Funktion bei Office entwickelt, hat irgendwie seine eigene Telemetrie implementiert. Alle verbinden zu unterschiedlichen Servern, das ist praktisch unmöglich zu prüfen, ob das alles korrekt ist. Für ein Unternehmensnetzwerk mit vernünftigen Ansprüchen ist das absoluter Horror.

        Telemetrie ist aber auch mal wieder so ein Hype, wo sich Leute einbilden, daß das alle ihre Probleme löst. So wie bei Containern auf einmal manche dachten, daß alle ihre Probleme gelöst werden, aber sich dann überraschend herausstellte, daß jemand, der keinen Linuxserver ordentlich administrieren konnte, auch keine Container geschweige denn Kubernetescluster ordentlich administriert.

        Mit Telemetrie ist das jetzt auch wieder so. Leute, die es jahrelang verkackt haben, in ihrer kontrollierten Arbeitsumgebung ordentliche Tests (geschweige denn ordentliche Apps) zu programmieren, glauben jetzt, auf den unkontrollierten Umgebungen ihrer Nutzer ordentliche und nützliche Telemetrie implementieren zu können. Und das läuft dann wie bei allen Datenkrakenprojekten, daß man erstmal alles, was man kriegen kann, sammelt, ohne zu wissen, was man damit eigentlich anfangen soll. So wird ohne Verhältnis zum Nutzen auch die Privatsphäre extrem gefährdet. Und daß sie dann mit diesem Datenmüll Probleme lösen, die sie vorher mit normalen Tests nicht gelöst bekamen, wage ich zu bezweifeln.

      • Mira Bellenbaum sagt:

        Einspruch!
        Telemetrie ist immer dann was "böses", wenn der Anwender nicht kontrollieren kann,
        was da an Daten abfließt.
        Wenn der Anwender dem Datenabfluss nicht widersprechen kann.

        Das einfachste wäre, wenn zwar lokal Telemetrie-Daten erhoben würden, diese nach einer gewissen Zeit, ohne Fehler, gelöscht werden würden
        und nur im Falle eines Fehlers auf Anfrage an den "Programmierer" gesendet
        werden würden.
        Und dem Anwender müsste es selbstredend möglich sein, zu sehen WAS da
        versandt wird!

        Das Problem z.Z. ist, MS sagt, das ist schon alles i.O., keiner kann es überprüfen
        und alle müssen/sollen MS blind vertrauen!

        Du kennst den Spruch: Vertrauen ist gut, Kontrolle ist besser!

        • Olli sagt:

          Die Frage lautet doch:

          Warum akzeptieren Menschen im "Digitalen" Dinge, die sie in der "analogen" Welt niemals akzeptieren würden? Fehlt den meisten Menschen wirklich das Abstraktionsvermögen um die Analogien zu erkennen?

        • 1ST1 sagt:

          Wer definiert denn, was Fehler sind? Ist es ein Fehler ob eine Schleife 5x oder 50x durchlaufen wird, und am Ende so oder so das richtige Ergebnis liefert, aber beim 51 Durchlauf nicht?

          Telemetrie ist außerdem auch dynamisch, MS holt sich Zwischenergebnisse nicht immer und überall, sondern immer nur von gerade den Funktionen, wo sie was verbessern/verändern.

          Deswegen ist das nicht überprüfbar, denn ohne den Programmcode zu kennen, kann man auch nicht verstehen, was da gerade übertragen wird. Aber die Informationen werden gebraucht, weil MS nicht jede Umgebung und jeden Anwendungsfall nachbauen kann, aber unserereins verlangt ja immer nach Verbesserungen in der Software.

          • Bernd B. sagt:

            Ich habe vor 10++ Jahren eine Freeware programmiert und selbstverständlich waren Abtsurzberichte mit Callstack und Screenshot Bestandteil – sie sind wirklich essentiell zur Fehlersuche.
            ABER ich bin da voll bei Pflaumenbaum: Das muss optional sein und der Standard (wenn man zu schnell [ENTER] drückt) muss "nicht senden" sein.
            Ich habe das seinerzeit über eine modale Box mit der Option, die zu sendenden Daten zuvor anzusehen und der Option den Screenshot wegzulassen gelöst – und _natürlich_ mit dem [Cancel]-Button als Vorauswahl).

          • Mira Bellenbaum sagt:

            Der Anwender!
            Letztendlich immer der Anwender!

            Und da Du so vehement die Telemetrie verteidigst,
            es geht nicht per se um diese!
            Es geht darum, dass das alles transparent und überprüfbar ist,
            und dass der Anwender die Kontrolle behält, ob und wenn ja,
            was an Daten versandt wird!

            Und noch einmal, z.Z. ist es so, dass niemand Genaueres weiß
            und man MS einfach glauben soll/muss!

            So geht das nicht! Und so etwas erweckt nun einmal kein Vertrauen,
            zumal man seit Snowden weis, dass man niemandem Vertrauen
            kann/darf wenn es nicht überprüfbar ist.

            Ich habe nichts gegen Telemetrie, aber ich will Herr über meinem
            System und meiner Daten bleiben!
            Aus diesem Grund verweigere ich im Übrigen auch die
            elektronischen Patientenakte!

          • McAlex777 sagt:

            @1ST1:

            >> Telemetrie ist außerdem auch dynamisch, MS holt sich Zwischenergebnisse nicht immer und überall, sondern immer nur von gerade den Funktionen, wo sie was verbessern/verändern.

            Windows sendet entsprechende der lokalen Konfiguration Out-Of-Box anfallende Telemetrie an die Microsoft-Server. Diese Telemetriedaten sind eineindeutig auf ein Windows-System zurückführbar. Ob diese Daten von Microsoft dann an ihren Servern abgefragt werden obliegt ihnen.

            Zusätzlich kann Microsoft aus den USA heraus von außen jeden individuellen Windows-Client so umkonfigurieren das beliebige weitere Daten zusätzlich übertragen werden.

        • McAlex777 sagt:

          >> Das einfachste wäre, wenn zwar lokal Telemetrie-Daten erhoben würden

          Dazu ein DatenschutzMenü nach wieviel Tagen der lokale Cache sicher gelöscht wird. Zusätzlich einen "Freigeben" Button, der die aktiven Daten an Microsoft freigibt.

          So einfach könnte eine DSGVO-Konforme Lösung aussehen.

          Es ist also nicht die DSGVO die irgendwas blockiert oder unfassbar kompliziertes fordert – sondern Microsoft das sich partout nicht an geltendes Recht halten will. Vergleichbar mit einer Mafia die ihre Raubzüge nicht einschränken will.

          Gut: wenn Microsoft sich nicht an Gesetz halten *will*, sollen sie halt die Konsequenzen wie jeder andere Straftäter auch tragen.

          • Singlethreaded sagt:

            Die Frage in so einem Fall ist aber wer gibt die Daten dann an Microsoft frei und ist diese Person überhaupt qualifiziert eine Entscheidung über die Freigabe der Daten zu treffen? Da gibt es mehrere Knackpunkte:

            1.

            Es muss angenommen werden, dass nicht nur die Daten der Person selbst, sondern auch personenbezogene Daten Dritter von dieser Freigabe betroffen sein werden. Wie sieht es hier mit dem Einverständnis aus?

            2.

            Der Umfang von Log-Dateien und Fehlerberichten ist häufig nicht zu unterschätzen. Wenn wir zu Supportzwecken mal Logs oder Debug-Protokolle sammeln, dann können das auch als ZIP-Datei schnell viele Megabyte werden. Wer soll diese durchsuchen und im Sinne der DSGVO bewerten?

            3.

            Häufig ist der Punkt 2 gar nicht möglich, da das Format der Daten unbekannt ist und so eine Bewertung faktisch gar nicht erfolgen kann.

            Ingesamt kann man die Telemetrie damit schon fast vergessen, weil sich keiner die Mühe machen wird Zeit in eine Prüfung zu investieren. Auch werden viele einfach auf ja klicken und damit ist dann aus Sicht des Datenschutzes auch nichts gewonnen.

            Gruß Singlethreaded

          • McAlex777 sagt:

            @Singlethreaded:

            Nicht mein Problem.

            Microsoft will die Daten, sollen sie sich was DSGVO-Konformes einfallen lassen, das dem Anwender die Entscheidung überlässt.

            >> Auch werden viele einfach auf ja klicken und damit ist dann aus Sicht des Datenschutzes auch nichts gewonnen.

            Es ist Sache der Anwender den "Upload" explizit zu erlauben wenn die Option per Default deaktiviert ist.

            Es gäbe 1.000 weitere Möglichkeiten der Ausgestaltung, wenn nur ein Wille da wär.

            Statt dessen war der Wille Microsofts da, hunderte DSGVO-Relevante Richtlinien unter tausenden Richtlinien dergestalt zu verstecken, das sie kein Anwender zu Gesicht bekommt. Auf Nachfrage von Datenschützern lamitierte man jahrelang rum, und änderte einzelne der hunderten Richtlinien, und führte zwischenzeitlich dutzende DSGVO-Relevante neue ein. Offensichtliche Salamitaktik um sein gegenüber mürbe zu machen.

            Das alles wurde auf einem Reichsbrett entworfen, entwickelt, getestet und ausgerollt.

            So etwas kann man m.E. durchaus auch als systematisches, planvolles unterlaufen von demokratisch legitimierten Bürgerrechten bezeichnen.

          • Singlethreaded sagt:

            Mit "dem Anwender" habe ich im täglichen IT-Support häufiger zu tun.
            Jetzt gibt es einen Crash bei Excel und es erscheint ein Fenster welches um Infos zu dem Absturz bittet.
            Selbst wenn diese Maske alle Daten transparent auflistet und somit den Vorgaben der DSGVO entspricht, so sind "meine Anwender" zu 90% nicht in der Lage eine Datenschutzabschätzung fachlich korrekt auszuführen.
            Vielleicht ist Excel bei Export von Kundendaten aus dem ERP-System abgeschmiert und die Crashdumps erhalten irgendwo persönliche Daten.
            Die Idee am Ende "den Anwender" entscheiden zu lassen halte ich für eine ganz schlechte Idee.
            Wir diskutieren hier in einer Blase von Leuten, welche die Materie kennen. Im Betrieb muss man die Leute darauf hinweisen die Passwörter fürs private Online-Banking bitte nicht im UserProfil des Webbrowsers zu speichern.
            Ich bin ja bei Dir, dass Microsoft das lösen muss, aber bitte nicht den einfachen Weg indem man Anwender zwingt über Dinge zu entscheiden von welchen diese in den meisten Fällen keine Ahnung haben.
            So kann Microsoft immer sagen: Was wollt ihr, wurde freigegeben, grillt den Anwender.

            Gruß Singlethreaded

          • McAlex777 sagt:

            @Singlethreaded :

            Natürlich muss es eine saubere Lösung sein.

            Konkret auf den von Dir beschriebenen Fall muss das im Einzelfall sowieso mit dem Vorgesetzten und Datenschutzbeauftragten des Unternehmens geklärt werden.

            Aber selbst wenn der Awender in diesem Einzelfall einfach alle TelemetrieReports überträgt halte ich das für in Summe für einen deutlichen und vertretbaren Fortschritt – da es sich um eine konkrete Einzelfall-Analyse handelt. Mal ganz davon abgesehen das solche Analysen Microsofts von Haus aus selten durchgeführt werden dürften.

  6. Chris sagt:

    Es bedarf einen europaweiten DSGVO Siegel was Software betrifft:

    Weiß:
    Software ist nicht DSGVO relevant

    Grün:
    Software die von sich aus automatisch DSGVO Konform betrieben werden kann

    Gelb:
    Software bei der der Anwender 100% Kontrolle in der Software hat um diese DSGVO Konform zu betreiben

    Orange:
    Software die nur durch den Einsatz von Dritttools (z.B. Firewall) DSGVO Konform eingesetzt werden kann

    Rot:
    Software ist DSGVO relevant, aber nicht getestet oder kann auch nicht durch den Einsatz von Dritttools DSGVO Konform eingesetzt werden kann.

    Das Siegel müssen regelmäßig erneuert werden, dem Endkunden muss garantiert werden das sich das Siegel nicht verschlechtert. Der Hersteller der Software muss Haftbar gemacht werden wenn nach der Vergabe des Siegels später festgestellt wird das die Software nicht oder mehr die Vorgaben erfüllt.

    Vorgabe bei öffentlichen Ausschreibungen dann mind. Stufe gelb/grün bei DSGVO relevanter Software. Die freie Wirtschaft, die eine eigene IT hat und es sich vom know-how zutraut, kann dann auf eigene Verantwortung bis auf Stufe orange runter gehen.

  7. OpenYourMind sagt:

    Die großen "Internetkonzerne" wollen an die Daten. Bei manchen sind die Daten die einzige Existenz- bzw. Verdienstgrundlage (Google, "Social Media"), andere kommen aus der Offlinewelt und sehen dort keine Zukunft mehr und expandieren bzw. "locken" in die Cloud oder profitieren von Telemetriedaten. Letzteres ist halt z.B. MS.

    Versuchen können sie es doch. Allerdings "versuchen" im Sinne von "anbieten".
    Ohne wenigstens OptOut ist das alles doch im Grunde ein orwellistischer Machtergreifungsversuch und es ist egal, ob es sich dabei um Privatunternehmen oder den Staat handelt.

    Lösungsansätze:
    Es kann gerne alles so angeboten werden aber es muss mit Bordmitteln und kostenlos umgehbar bzw. deaktivierbar sein.
    Gegen Google und auch die Sammelwut des Staates könnte ein nationales und kostenloses VPN helfen, auf das auch der Staat nur begründet und protokolliert Zugriff haben darf.
    Wers nutzen will, tut es, wems "zu schwer" ist, der lässt es….

    Der autoritäre, praktisch beliebig interpretierbare DSGVO Müll mit seinen riesigen Folgekosten gehört genauso in die Mülltonne der Geschichte wie der ganze übrige EU-Richtlinienschrott. Vielleicht kann man sogar die komplette EU gleich hinterher kippen und Europa und den Europäern damit den Einstieg in eine echte Demokratie ermöglichen ?

    • R.S. sagt:

      Nicht nur die großen Internetkonzerne wollen an die Daten, sondern auch die "Kleinen".
      Was passiert wohl mit den Kundenkarten, die der Einzelhandel so verteilt bzw. mit den damit erhobenen Daten?
      Die Ausgeber dieser Karten sind doch nicht am Wohle des Kunden interessiert, sondern an seinen Daten. Und damit der Kunde die freiwillig rausgibt, machen sie ihm das schmackhaft, indem man Rabatte, PayBack-Punkte o.Ä. an Besitzer dieser Karten verteilt.

      Aber was Datenschutz angeht, so ist das vielen Leuten egal.
      Da hört man oft "ich habe nichts zu verbergen".
      Spätestens, wenn alles digitalisiert ist, fliegen die damit auf die Nase, siehe z.B. China.
      Auf der Straße unterhalten, die allgegenwärtigen Überwachungskameras nehmen das auf., anhand Gesichtserkennung weiß man gleich, um wen es sich handelt.
      Und Lippenlesen ist auch nicht ungewöhnlich: Oh, der Herr X hat sich mit dem Herrn Y um Uhrzeit Z unterhalten und dabei eine kritische Bemerkung über das Regime gemacht. Den laden wir mal vor auf die nächste Polizeistation…..
      Das ist heute dort schon Alltag!

      Und was das Deaktiviertbar in Software angeht:
      Einfach mal beim Browser Firefox in die Einstellungen schauen.
      Da kann man die Telemetrie einfach per Klick deaktivieren.
      Zu kritisieren gibt es da nur, das es Opt-Out ist und nicht Opt-In.

      • OpenYourMind sagt:

        Wer Daten freiwillig für ein paar Prozent Rabatt hergibt, der macht das halt. In so eine Entscheidung sollte man sich nicht unerbeten einmischen.
        Der Staat selbst wird tatsächlich immer mehr zum Hauptproblem. Leider sind die Menschen noch viel zu eingelullt und – gerade in D – viel zu staatsgläubig, um den Staat als Gefahr zu erkennen. Und alle Parteien des Bundestages tun ihr "Bestes", damit das so bleibt, leider.

        Und die EU dient diesen Parteien sogar noch als Überwachungsbeschleuniger und -verstärker.
        Traurig und eigentlich nicht länger hinnehmbar.
        Vielleicht sollte man dann doch grundsätzlich werden und sich fragen, ob D (oder andere "westliche Länder") überhaupt Demokratien sind oder ob wir eigentlich nur in einer Art autoritärem/paternalistischem "Softfaschismus" leben…

  8. 1ST1 sagt:

    Kwakkwakkwak… Der Datenschutz wird rotieren!

    Telefónicas 5G-Kernnetz setzt auf die Google Cloud

    Für den Betrieb nutzt O2 Telefónica die Infrastruktur von Google Cloud. Im Rechenzentrum ist Google Distributed Cloud Edge installiert. Wird das BSI eingreifen?

    https://www.golem.de/news/google-distributed-cloud-edge-telefonicas-5g-kernnetz-setzt-auf-die-google-cloud-2212-170286.html

    Die Frage ist doch, wird der Datenschutz eingreifen?

  9. rpr sagt:

    Hallo,
    bei aller Diskussion dich bitte einmal auf das wesentliche fokussieren.
    Es gibt ein Gesetz und Ms hält sich nicht dran.
    Was kommt als nächstes? Rote Ampeln sind nur noch eine Handlungsempfehlung?
    So funktioniert ein Staat einfach nicht. Ganz einfach.
    Aber auch zu den Cloud-Befürwortern:
    Wie soll der illegale Zugriff verhindert werden wenn NSA & Co klare Ansagen machen. So naiv kann man doch nicht sein zu glauben das das nicht passiert.
    Deutsche Cloud in Deutschland mit dem passenden Konzept ; warum nicht.
    Und ja ich arbeite in einem IT Unternehmen und wir bieten Cloud-Lösungen an die aber konzeptionell so aufgebaut sind Gesetze eingehalten werden und durch Fehler / Vorsatz keine Daten abfliessen können.
    Gruß

    • 1ST1 sagt:

      Es ist doch garnicht belegt, dass MS sich nicht an das Gesetz (DSGVO) hält. Wenn das so wäre, hätten die Datenschützer doch schon MS auf Fantastilliarden Eurodollar Schadensersatz verklagt. Ist aber bisher nicht passiert. MS behauptet sogar, die DSGVO sogar zu übertreffen, das Gegenteil konnte bisher niemand beweisen. Die Datenschützer haben doch eigentlich nur Hättehättefahrradkette, weil die Angaben Microsofts nicht nachvollziehbar sind, da Quellcodes nicht einsehbar sind – ob die Datenschützer den Code verstehen würden ist die andere Sache. Das einzige was tatsächlich doof ist, ist dieser Patriot-Act, aber für den kann ja MS nichts, das eine Sache des Staates USA, und nicht der Firma aus Redmond, selbst wenn das in den USA liegt.

      Die ganzen Drohungen der hiesigen Datenschützter bishin zum Verbot von MS365 drehen sich doch nur darum, bei Microsoft, Google, Facebook, Apple, Amazon usw. Druck aufzubauen, damit die in den USA dafür sorgen, dass es tatsächlich mal ein Abkommen zwischen der USA und der EU gibt, dass ohne Patriot-Act funktioniert. Die Datenschützer werden sicherlich nicht so doof sein, zu glauben, unsere Wirtschaft könnte in absehbarer Zeit ohne Windows und Office-365 noch funktionieren. Genug Beispiele wurden dafür hier, bei Golem und Heise in den Artikelforen dargelegt, diese Lösung ist, auch wenn das manche nicht wahrhaben wollen, derzeit in der Wirtschaft "alternativlos". Da kann die OSS-Fraktion jetzt noch so turboschnell was frickeln, das werden die in den nächsten Jahrzehnten nicht schaffen, das MS-Produkt ist viel zu rund und funktional.

      Im Grunde diskutieren wir hier nicht um technische Aspekte der DSGVO, sondern um die große internationale und nationale Politk.

      Das ist sehr wichtig, aber wenn internationale Großkonzerne alles bei MS hosten, selbst deutsche Firmen, die in den USA Geschäfte machen, nicht vor NSA-Zugriff geschont sind, andere ihre Technologie mit allen Patenten in der GSuite bearbeiten und ein Mobilfunkprovider seine Vermittlungstechnik für 5G erstmal in die Google Cloud legt, aber das genauso in Azure und AWS hosten lassen kann, und hier reden wir von sogenannter hochsensibler "Kritischer Infrastruktur" (KRITIS), dann kann man doch ob der niedlichen (aber wichtigen!) Versuche der hiesigen Datenschützer, hier auf die DSGVO in strengster Auslegung zu pochen, doch nur noch ratlos mit den Schultern zucken. Vielleicht schaffen sie es, die Gefahr des Patriot Acts zu entschärfen, vielleicht auch nicht, aber den Cloud-Trend werden sie damit wohl nicht zurückholen, der Drops ist gelutscht, das Management der Konzerne scheint bereit zu sein, das Risiko einer Ausspähung durch den NSA notfalls zu erdulden – daher die Sicherheitserlasse der Konzerne, dort keine sensiblen Daten zu speichern, das ist der pragmatische Ansatz, um damit umzugehen.

      • Mira Bellenbaum sagt:

        Sorry, Du verhaspelst Dich!
        Es geht genau darum, dass niemand nachprüfen kann, was MS so alles verspricht!
        Und solange es nicht überprüfbar und nachvollziehbar ist, verstößt MS gegen
        die DSGVO!

        Dir Krux ist, dass da die EU nicht schon viel früher massiv gegen vorgegangen ist!

        • 1ST1 sagt:

          Das sehe ich eben nicht so! Eine theoretische Möglichkeit ist eben kein Fakt. Du verlangst ja auch nicht, dass du dich erstmal durch sämtlichen Quellcode durchwühlen darfst, bevor du mit Tempo 200 mit deinem Auto, gesteuert von einer Horde an Steuergeräten mit Software drin, die Autobahn runterbretterst. Hier vertraust du deinem Autohersteller, dass es schon klappen wird, ohne dass die Kiste softwaregesteuert den nächsten Brückenpfeiler ansteuert. Und Microsoft garantiert auf seiner Webseite die Einhaltung der DSGVO und verspricht, die in der Cloud liegenden Daten zu schützen. Gegen Patriot-Act/NSA können sie nichts machen, das ist klar, das ist das Restrisiko, also keine Kipo und keine Bombenbauanleitungen da rein legen, und gut ists.

          • Mira Bellenbaum sagt:

            Das, Dein Beispiel hinkt aber!
            Es gibt Sachverständige und auch der TÜV!
            Das ist bei Software, wie Windows oder Office eben nicht so!

            Und tu Dir selbst einen Gefallen, bleib beim Thema!

            Was Microsoft "garantiert" oder "verspricht", juckt nicht!
            Solange es eben "Sachverständige" oder Datenschützer nicht überprüfen können, ist diese Software nicht Gesetzeskonform!

          • 1ST1 sagt:

            Auch diese Sachverständigen und der Tüv hat keinen Zugriff zum Quellcode von den Steuergeräten, sonst wäre der Dieselskandal ja erst garnicht gewesen.

        • Micha45 sagt:

          Schon mal etwas von der Unschuldsvermutung gehört? Offensichtlich nicht! DU musst es der Firma nachweisen. Sonst verstößt JEDE Firma gegen die DSGVO weil nicht überprüfbar.

      • rpr sagt:

        Dir ist schon klar das MS seit den 80er Jahren immer wieder mit Lügen, Sabotage und Marktmanipulationen aufgefallen ist?
        drdos , Browserkrieg und Linux-Bashing mal als erste Stichworte.
        Ausserdem der Punkt das jeder Cloud-Zugang von Regierungsbehörden jederzeit angezapft werden kann. Das ist aber auch ein Thema von Google und Amazon.
        Eindach mal bereit sein aus der Geschichte zu lernen und mal in den Unterlagen von Snowden etc. lesen was schon alles gelaufen ist.

        • 1ST1 sagt:

          Snowden, der ist jetzt russischer Staatsbürger, seit diesem Jahr, muss er jetzt Wehrdienst in der Unkraine nachholen, wohlwissend, dass sein neues Vaterland im Westen alles zu hacken versucht, wo bei drei die Firewall die Ports nicht zu gemacht hat? Mit was verdient der jetzt dort – mit seinen Fähigkeiten – eigentlich sein Geld? Sorry, bei mir ist der jetzt mit seinem Familienglück von Putins Gnaden unten durch.

          Browserkrieg und Linux-Bashing, jooo, Oracle-Linux-Quellcode-Koffer, Commodore versus Atari, Apple gegen alle anderen GUIs, was haben wir alles schon für Skandale überlebt? Und?

      • OpenYourMind sagt:

        "aber den Cloud-Trend werden sie damit wohl nicht zurückholen, der Drops ist gelutscht, das Management der Konzerne scheint bereit zu sein, das Risiko einer Ausspähung durch den NSA notfalls zu erdulden"

        Genau so ist das ! Die Konzerne haben sich längst entschieden und die Strukturen, Netzwerke, Hardware und Software sind gekauft und werden bereits seit geraumer Zeit eingesetzt.
        …und jetzt kleckert die EU mit dem aufgeblasenen Krüppelsaurier DSGVO hinterher.

        Wie lange hat eigentlich Google gearbeitet bis jemand mal nach Datenschutz gefragt hat ? Wie lange hat das Internet ohne Cookiebanner funktioniert ?
        Ziemlich lange, würde ich sagen und es würde auch weiterhin gut funktionieren.
        Die EU ist aber tatsächlich so dumm zu glauben, dass sie die Zeit zurückdrehen kann. Das Ergebnis werden aberwitzig komplizierte, sündhaft teure (der Endkunde zahlt dafür) und sich über viele Jahre hinziehende Gerichtsprozesse sein, die NICHTS bewirken werden.

        Der Blick muss nach vorne gehen und wir brauchen etwas, das bei EU (und anderen) Beamten eher mit Unverständnis oder gar Ekel betrachtet wird: Logisches Denken ! Pragmatisches Denken ! Effizienzdenken !
        Heißt was ?
        Konzerne müssen sich klar sein, dass Speichern in die (MS oder andere) Cloud praktisch der Weitergabe aller darin enthaltenen Informationen an den USA ggf. an konkurrierende US Unternehmen gleichkommt. Muss nicht zwingend so sein aber man sollte davon einfach ausgehen. Geschäftsgeheimnisse werden so also praktisch grob fahrlässig offengelegt, was im Ernstfall den Tatbestand der Untreue erfüllt.
        Pragmatisch kann man dann nur zwischen "Datencrap" und Geschäftsgeheimnissen unterscheiden und muss das trennen, bis hin zu getrennten Netzwerken und Offlinespeicherung der Geschäftsgeheimnisse.
        Das würde aber bezgl. DSGVO voraussetzen, dass man die Unterscheidung zwischen irrelevanten Daten und wirklich essentiellen akzeptiert. Pragmatismus und Effizienz eben, Fremdwörter bei der EU Richtlinienschleuder….
        Ob Schulen oder Privatleute tatsächlich derart sensible Daten haben, deren Weitergabe an die USA "kritisch" wäre, wage ich zu bezweifeln. Die einfache Frage lautet da: Will ich, dass Hinz und Kunz das lesen kann, was ich da in die Cloud schicke ? Nein ? Dann schick es NICHT in die Cloud !
        Schulen und Behörden könnten ja auch über eine (weitgehend) geschlossene, eigene Cloud nachdenken, die im jeweiligen Land aufgebaut wird und exklusiv genutzt wird.

        • 1ST1 sagt:

          "Konzerne müssen sich klar sein, dass Speichern in die (MS oder andere) Cloud praktisch der Weitergabe aller darin enthaltenen Informationen an den USA ggf. an konkurrierende US Unternehmen gleichkommt."

          NSA wegen Cloud-Act möglicherweise, aber alles dürfen die auch nicht, der Zugriff auf die Cloud ist denen nur bei Gefahr im Verzug / Nationale Sicherheitsinteressen erlaubt. Industriespionage erlaubt der Cloud-Act nicht. Schön ist das dennoch nicht, aber verrückt machen darf man sich deswegen nicht. Und vielleicht erreichen unsere paranoiden Datenschützen in der Richtung ja tatsächlich was, der Druck auf diese Firmen steigt hoffentlich, in unserem Interesse auf die amerikanische Regierung einzuwirken, es müsste auch im Interesse dieser Firmen liegen, dass wir diesen Cloud-Diensten vertrauen können.

          • OpenYourMind sagt:

            "aber alles dürfen die auch nicht, der Zugriff auf die Cloud ist denen nur bei Gefahr im Verzug / Nationale Sicherheitsinteressen erlaubt. Industriespionage erlaubt der Cloud-Act nicht. "

            Meinst du nicht, dass eine Betrachtung einer momentanen Rechtslage einfach etwas arg naiv ist ?
            Das ist dann eben auch kein Pragmatismus.
            Die USA sind das Land des Big Business. Wenn die vermuten, dass ein deutscher Konzern so dumm ist und (geheime) Daten, die vllt. Milliarden wert sind, auf US Servern ablegt dann werden die zugreifen, mit Rechtsgrundlage oder zur Not halt ohne. Der deutsche Konzern kann sich dann halt den Hintern wund prozessieren und in den USA zum Affen machen…who cares ?
            Meinst du, so eine absolut integre Persönlichkeit wie Trump könnte so einer Verlockung widerstehen ?
            Die MS Cloud ist schon OK…für de facto (beinahe) Datenmüll. Der (meist sehr kleine) Rest darf nicht in dieser Mülltonne deponiert werden.
            Auch Verschlüsselung (symmetrisch oder asymmetrisch, auch nicht End-to-End)) bietet da -realistisch- keinen Schutz. Das Zeug muss "im Hause" bleiben.
            Diesen Pragmatismus muss die DSGVO nachbilden können aber meine Hoffnung dahingehend tendiert beliebig nahe gegen Null.

          • 1ST1 sagt:

            Ein bischen paranoid bist du nicht? Tipp: Investiere niemals in etwas wovon du erst in der Zukunft profitieren könntest, Solaranlage zum Beispiel, die Bedingungen könnten sich fundamental ändern! Auch nicht mehr Essen als für 3 Tage in den Kühlschrank legen.

          • Bernd B. sagt:

            @1ST1
            Warum so unsachlich, fehlen die Argumente?

            Die Beschimpfung als "paranoid" durch die gnadenlos naive und geschichtsvergessene "Ich habe nichts zu verbergen!!1!"-Fraktion ist doch verbrannt, da müssen Sie schon mit Besserem kommen.

          • OpenYourMind sagt:

            "Ein bischen paranoid bist du nicht? Tipp: Investiere niemals in etwas wovon du erst in der Zukunft profitieren könntest, Solaranlage zum Beispiel, die Bedingungen könnten sich fundamental ändern!"

            Es geht nicht um Profitabilität sondern um Abhängigkeit und Verwundbarkeit, in die man sich begibt.
            Kennst du noch Richard Nixon ? Watergate ?
            Siehste ! Legal, illegal, sch…egal !!!
            Business, the American Way.
            Der Schlüssel zur wirklich effizienten und effektiven Lösung des Problems liegt woanders:
            MS muss per Kartellrecht gezwungen werden, die Cloudanbindung frei konfigurierbar zu machen: Man KANN dann die MS Vorgaben nutzen, man KANN dann eine eigene Cloud frei definieren, die exakt NULL Byte an die MS Cloud sendet oder man schaltet das einfach ab und kehrt im Extremfall zum ollen Single PC System zurück.
            OptIn und OptOut per Mausklick. Alles programmierbar, wenn man das denn wollte (oder dazu gezwungen würde).
            Und DSGVO ? Kommt da gar nicht vor! Kein Zufall denn da wird eben klar, dass diesen Juristenschrott exakt niemand auf der Welt braucht…(außer Juristen, natürlich).

      • Martin B sagt:

        sehe ich genauso, die DSGVO ist nur ein Vorwand, lenkt auch von der eigentlichen Problematik ab.

  10. Martin B. sagt:

    Es ist doch ganz einfach: je mehr Kunden zu M365 wechseln, desto größer die kritische Masse und MS wird dann besser in die Lage versetzt, On Premises Produkte noch unattraktiver zu machen. Was ja bereits geschehen ist: verkürzte Supportzeiträume, Zwang zum Abo, weniger Innovationen.

    Wenn es dann weniger lokale Endkunden gibt, kann MS den Sack zumachen.

    Man muss es sich so vorstellen: Man gibt viel Geld aus und schafft sich eine enorme Komplexität im Betrieb, um die Hoheit über die eigenen Daten zu verlieren und in ein vendor lockin zu laufen: mit fixen laufenden Kosten, die stets steigen. Bei lokalen Lösungen kann man auch Durststrecken überwinden und Migrationen notfalls verschieben, nur ein Aspekt am Rande.

    Neben all der Diskussion um personenbezogene Daten mutet es doch noch viel törichter an, seine Unternehmensdaten einem US Anbieter zu überlassen, der auch noch nach US Recht an Behörden in den USA berichten muss. Das erscheint doch völlig absurd.

    Umgekehrt wird ein Schuh daraus: je mehr Kunden an lokalen Lösungen festhalten, desto kleiner ist der Hebel für MS, diese einzustellen. Es gehört Rückrat und Mut dazu, dem einseitigen Marketinggeachwurbel der Cloudapologeten standzuhalten.

    • Singlethreaded sagt:

      Dass bisschen Gas aus Russland war bzgl. Abhängigkeit im Vergleich ein Witz. Was ist, wenn die politische Lage mal dazu führt, dass der Zugang für eine Weile gesperrt wird?
      Ob das passiert: Keine Ahnung, aber wir diskutieren so viel über Abhängigkeiten, da kann Europa das Thema nicht ausklammern.

      • Bernd B. sagt:

        Spannend: Auf genau diese Frage ist AM Baerbock in Indien gerade ausdrücklich eingegangen: Diese Risiken bestünden dann, wenn man sich an Handelspartner bände, die nicht auch Wertepartner seien*.
        Nach hM sind die USA aber unser Wertepartner und was verstand Charles de Gaulle ("Staaten haben keine Freunde, nur Interessen.") schon von Politik?!

        * der Bericht von Phoenix: https://youtu.be/UM40-ipR-Kg?t=1600 , ab 26:40 min

  11. Dolly sagt:

    > .. der auch noch nach US Recht an Behörden in den USA berichten muss. Das erscheint doch völlig absurd.

    Noch absurder ist nur noch, dass diese Fakten seit Jahr und Tag wohlbekannt sind, von Politik, Medien, IT-Entscheidern aber einfach ignoriert werden.

    • Bernd B. sagt:

      WP ist keine (seriöse) Quelle, aber mal als Einstieg bzw. grobe Übersicht für @Martin_B. : https://wikiless.tiekoetter.com/wiki/CLOUD_Act

      • rpr sagt:

        Also wirklich,
        Argumente und Fakten?
        Das ist doch so was von old school.
        Irgendwie habe ich das Gefühl einer der letzten Nägel im Sarg der Menschheit sein wird.
        Was Entscheider wieder besseren Wissens teilweise umsetzten macht nur noch fassungslos.
        Gesetze werden ignoriert, Verantwortung für den Zustand von sozialen Systemen verneint und technische Unzulänglichkeiten bis hin zu lebensgefährlichem Pfusch wird für Umsatz und Gewinn in Kauf genommen.
        Gruß

  12. McAlex777 sagt:

    @Singlethreaded :

    Natürlich muss es eine saubere Lösung sein.

    Konkret auf den von Dir beschriebenen Fall muss das im Einzelfall sowieso mit dem Vorgesetzten und Datenschutzbeauftragten des Unternehmens geklärt werden.

    Aber selbst wenn der Awender in diesem Einzelfall einfach alle TelemetrieReports überträgt halte ich das für in Summe für einen deutlichen und vertretbaren Fortschritt – da es sich um eine konkrete Einzelfall-Analyse handelt. Mal ganz davon abgesehen das solche Analysen Microsofts von Haus aus selten durchgeführt werden dürften.

  13. PattyG sagt:

    Entschuldigt bitte meine Frage aus Sicht eines stinknormalen Users:
    Wenn wir in unserer wirklich kleinen Firma OneDrive nicht nutzen (die Synchronisation lässt sich ja deaktivieren), unsere Dateien und Ordner, die sich onPrem auf einem Server befinden, über eine Sicherungsroutine verschlüsselt (sowohl Dateiinhalt, als auch Datei- und Ordnernamen) auf eine selbsterwählte Cloudplattform (z.B. Strato) hochladen, sind wir damit DSGVO-konform?
    Auf Excel, Word und Outlook möchten wir nicht verzichten, auch wenn ich weiß, dass es Alternativen gibt. Aber wenn ich es richtig verstanden habe, ist es ja die MS Cloud, die den Datenschützern Bauchschmerzen bereitet …

    • Norddeutsch sagt:

      @PattyG: JEIN
      Ja von einigen Aspekten her, zb die Sicherung bei Ausleitung von Daten, Nutzung weiterer "Auftragsdatenverarbeiter"
      Nein vom Rest: (aber hier nur gaaanz kurz) Zur DSGVO gehören auch ganz andere Dinge neben der Sicherheit von Daten Im weitesten Sinne Auskunftspflichten, selbst bei Deinem og Bsp ist Strato wohl ein Auftragsdatenverarbeiter, ein Verfahrensverzeichnis wäre wohl eh Pflicht, Auskunftsverlangen müsst Ihr so oder so erfüllen.

      Kurz: Nur etwas nicht machen reicht nicht
      Kurz: Es hängt ebenso von vielen anderen Dingen ab, Schutzbedarf(sanalyse), welche Daten, andere legislative Pflichten bis hin zum HGB oder GoBS.
      Kurz: Selbst der gewählte Auftragsdatenverarbeiter muss in Eurem Fall Anforderungen erfüllen. Strato tat dies mW vor 4 Jahren -> Hotline,Recherche

    • McAlex777 sagt:

      Um rechtssicher zu gehen sollten solche Detail-Fragen mit erfahrenen Datenschutz-Beauftragten geklärt werden.

      Soweit ich das als Laie verstanden habe:

      Das Kernproblem der Datenschützer ist "Office 365" (Abo) als solches. Durch das laufende Ändern von Features, kann nicht geprüft werden ob neue Datenschutz-Sensible Funktionen hinzugekommen sind, oder inhaltlich nachträglich geändert wurden.

      Hierbei geht es im Kern meines Wissens um Funktionen wie z.B.:
      * Bei Crashes Datenübertragung des Dokuments an Microsoft.
      * Telemetrie (z.B. Mausklicks an Microsoft, Texteingaben an Microsoft etc.)
      * Einen haufen von Online-Funktionen die Datenschutz-Sensible Bereiche an Microsoft übertragen.
      * Inhalte der Datenübertrahungen können Aufgrund Verschlüsselung/Closed Source nicht geprüft werden.

      Das geht also über die "Microsoft Speicher Cloud" hinaus, und lässt sich praktisch nur aufwändig über Richtlinien Konfigurieren, und nachträgliche Änderungen nur noch Aufwändiger eruieren.

      Meines Wissens betrifft das primär die Abo-Produke (Office365), da diese nicht dauerhaft Offline betrieben werden können.

      • PattyG sagt:

        @Norddeutsch
        @McAlex777
        Zunächst vielen Dank für diese ausführlichen Infos.
        Ganz ehrlich, das macht echt keinen Spaß mehr.
        Wir wollen uns mit unserer kleinen 7-Mann-Butze aufs Gewerk konzentrieren. So wie uns geht es zig anderen kleinen Handwerksbetrieben oder Firmen. Die kriegen auch langsam die Krise bei diesen ganzen Gesetzen. Selbstverständlich müssen wir unsere Daten schützen vor fremdem Zugriff. Auch wenn wir unserer Meinung nach wirklich sehr sorgsam mit unseren Kundendaten umgehen (wie oben beschrieben), schwebt immer das Damoklesschwert über einem, weil man nicht weiß, wann möglicherweise ein "DSGVO-Prüfer" auf der Matte steht (gibt es so einen überhaupt?).
        Aber irgendwohin muss man seine Daten ja ausserhalb der Firma lagern, um im Falle eines Falles mindestens eine Sicherheitskopie zu haben. Also nutzen wir eine Cloud für die zusätzliche, externe Datensicherung.
        Von diesem Cloud-Anbieter "wissen" wir, dass sich deren Server in Deutschland befinden, zertifiziert sind etc. Wir müssen denen ja glauben, wie sollen wir das sonst überprüfen.
        Gar nicht auszudenken, wenn die Daten, Buchhaltung, Kundenstamm etc. der letzten 25 Jahre weg wären. Könnten den Laden dann dicht machen. Ist ja alles mittlerweile digital. Lieferscheine, Rechnungen, Angebote, E-Mails.
        Ich glaube, wir sind aufgrund der Größe nicht dazu verpflichtet, einen Datenschutzbeauftragten bei uns zu benennen. Aber das würde den einen Kollegen wahrscheinlich komplett von seiner eigentlichen Arbeit abhalten.
        Und einen zusätzlichen Mitarbeiter nur dafür könnten wir uns einfach nicht erlauben.

        Jeder Zulieferer (es gibt nicht mehr wirklich viele) hatte übrigens "früher" seine eigene Teile- und Materialsoftware, die ich per CD-ROM auf meinem PC installieren konnte. Nix mit Aktualisierung über Internet.
        Dir wurde eine Aktualisierung per CD-ROM zugeschickt. Jetzt alles nur noch im Internet mit Login. Wird dann auch schön ein Profil erstellt, denn ich erhalte regelmäßig E-Mails, was zu den Dingen, die ich gesucht, aber nie bestellt hatte, sehr gut passen würde.
        Auch die Software lief früher nur auf dem PC.
        Heutzutage wirst du gezwungen, die Cloudlösung der Software zu nutzen, von der ich eigentlich auch nicht weiß, wohin diese "telefoniert" und wo die Daten, die ich eingebe, verarbeitet werden. Obwohl ich ehrlich gesagt viele Vorteile in einer solchen Cloudlösung für uns sehe. Ich muss aber dem Anbieter doch vertrauen können, dass dieser bereits alles nur Erdenkliche getan hat, um DSGVO-konform zu sein und die Daten zu schützen!
        Aber wie ich hier an anderer Stelle gelesen hatte, hat nicht der Anbieter der Softwarelösung, sondern der Arzt die A….karte, wenn seine Patientendaten plötzlich im Internet frei verfügbar sind. Das ist doch ein Unding!
        Wenn ich bei einem Gewerk Mist baue, dann schiebe ich doch auch nicht die Schuld auf den Kunden.

        Ach ja, ehrlich gesagt bin ich froh, dass ich vielleicht nur noch 5 Jahre mache und dann kann einer der jüngeren Kollegen die Firma gerne weiterführen und sich mit diesen immer komplizierteren Gesetzen und Auflagen herumschlagen.

        War dat früher schön. Mit Schreibmaschine und `nem riesigen, abschließbaren Schrank ;-)

  14. Norddeutsch sagt:

    … es gibt keine Cloud, es gibt nur fremde Computer. Der fremde Computerbetreiber hat Anforderungen zu erfüllen, egal ob MS, AWS oder Onkel Hottes Hosting Hangar. Diese weiterführend sind ebenso durch Euch zu verifizieren und zB bei Prüfung (oder indirekt dem Endkunden bei Auskunft nach §15 DSGVO) vorzuweisen und zu pflegen.

    • PattyG sagt:

      "Diese weiterführend sind ebenso durch Euch zu -> verifizieren <-"

      Genau das ist der Punkt, den ich vermutlich nie verstehen werde.
      Ich kaufe eine Dienstleistung bei einem Anbieter, der ausschließlich und nichts anderes tut, als eine Cloud oder sonst einen Internetdienst zu betreiben. Von dem ich ausgehe, dass er ein Profi ist in dem, was er tut. Dass er sich gesetzeskonform verhält und und und …
      Und ICH muss dann trotzdem verifizieren, ob der seinen Job richtig macht?

      Wenn ich von einem Kunden beauftragt werde, ein Haus zu bauen, dann doch nur aus einem Grund: Weil er es selbst nicht kann.
      Ich kann keine Cloud, also kaufe ich mir den Dienst bei jemandem ein, der es kann.

      Sorry, für diese möglicherweise naive Fragen:
      Gibt es denn keinen regelmäßigen "TÜV" oder eine Art Eignungstest für solche Cloudbetreiber/Dienstleister, bevor die überhaupt aktiv werden dürfen?
      Und warum wird seitens der EU bei MS und Co. nicht mal endlich durchgegriffen, damit diese DSGVO-konform werden und wir keine Angst mehr haben müssen, den PC bloß einzuschalten?
      Ist die Lobby so stark?
      Wie ich hier in diesem wirklich großartigen Blog immer wieder an vielen Stellen und in diversen Kommentaren gelesen habe, wäre das auch gar nicht so schwierig für MS und Co., die DSGVO umzusetzen.

      • Norddeutsch sagt:

        Mir liegt seit Jahren ehrbarer Klein+Mittelstand am Herz.

        Ich verstehe den Unmut, zum Teil gerechtfertigt, zum Teil aus der Welt zu räumen, dazu jede Menge Unklarheiten zB bei Wirkketten und ebenso dem durchaus realem Risiko.
        Bin durch Isolation und Krankheit bei Email und allem eingeschränkt – können bei Interesse gern einmal telefonieren. Nr oder Domain reicht. Grüße…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.