Bundesländer verweigern Einsicht in Rechtsgutachten zur DSGVO-Einstufung von Microsoft 365

Stop - PixabayZum "Frühstück" der dicke Hund der Woche. Es gibt ein im Auftrag der deutschen Bundesländer angefertigtes Rechtsgutachten zur Frage, ob sich Microsoft 365 datenschutzkonform in Behörden und Landesgesellschaften einsetzen lässt. Die Redaktion von Golem hatte davon Wind bekommen und wollte das Gutachten im Rahmen einer Auskunft gemäß Informationsfreiheitsgesetz einsehen. Obwohl Golem die anfallenden Gebühren von ca. 1.000 Euro tragen wollte, verweigerte die angefragte Stelle die Herausgabe des (ggf. in Teilen geschwärzten) Gutachtens.


Anzeige

Der Sachverhalt

Spannende Frage: Kann das Produkt Microsoft 365 datenschutzkonform in deutschen Verwaltungen eingesetzt werden? Die deutschen Bundesländer hatten dazu ein Rechtsgutachten erstellen lassen, was diese Frage für die Behörden klären sollte. In Auftrag gegeben wurde das Gutachten von den mit der IT-Verwaltung beauftragten IT-Dienstleistern der deutschen Bundesländer (mit Ausnahme Thüringens).

Das Rechtsgutachten liegt den Ländern inzwischen wohl vor. Frag den Staat sowie die Redaktion von Golem wollten wissen, was in in diesem Gutachten steht und waren auch bereit, die Gebühren (bis zu 1.000 Euro) für diesen Akt und ggf. erforderliche Schwärzungen im Gutachten zu tragen. Also wurde eine Einsichtnahme im Rahmen des Informationsfreiheitsgesetzes bei der IT und Technik des Landes Nordrhein-Westfalen beantragt. Dieser kümmert sich um die IT dieses Bundeslandes.

Frag den Staat hat die Einsichtnahme bereits am 7. November 2022 beantragt und diese Anfrage wurde im Februar 2023 endgültig abgelehnt. Dazu schrieb die zuständige Stelle in einer Zwischenantwort bereits:

Sie beantragen die Überlassung des Gutachtens zur Datenschutzrechtmäßigkeit von Microsoft Office365, das im Auftrag der IT-Dienstleistungszentren der Bundesländer erstellt wurde. Über Ihren Antrag kann ich aus folgenden Gründen nicht fristgerecht entscheiden. Das Gutachten liegt meinem Haus in einer Fassung vor, die als „Vertraulich – Nicht extern weiterleiten" eingestuft ist, so dass es vermutlich Betriebs- oder Geschäftsgeheimnisse enthält. In diesem Fall wäre nach § 8 IFG NRW der Antrag auf Informationszugang abzulehnen, soweit durch die Übermittlung der Information auch ein wirtschaftlicher Schaden entstehen würde. Vor einer möglichen Herausgabe muss das Gutachten daher auf darin enthaltene Betriebsgeheimnisse geprüft werden, die einer Herausgabe entgegenstehen würden oder zumindest Schwärzungen erfordern könnten.

Frag den Staat scheint aber die Anfrage aufrecht erhalten zu haben, so dass das dann final abgelehnt wurde. Die Ablehnung ist in einem Schreiben vom 14. Februar 2023 begründet worden (das Schreiben ist über die Seite von Frag den Staat abrufbar).

Breiter in die Öffentlichkeit gelangte dies mit dem gestrigen Golem-Beitrag Länder verheimlichen Rechtsgutachten zu Microsoft 365. Golem schreibt, dass der Redaktion diese Einsichtnahme verweigert wurde, die Länder wollen das Gutachten geheim halten (siehe auch obiger Tweet des CCC). Die IT und Technik des Landes Nordrhein-Westfalen schrieb zur Verweigerung der Einsichtnahme in das Rechtsgutachten zu Microsoft 365 und dessen DSGVO-Konformität "Ihren Antrag auf Überlassung eines Rechtsgutachtens zur Datenschutzkonformität von Microsoft Office365 weise ich zurück. ", und begründete dies damit, dass dieses Rechtsgutachten die Beziehungen zu anderen Ländern beeinträchtigen könnte, da die Datenzentralen der Länder einer Herausgabe widersprochen hätten. Außerdem würde die Herausgabe die Verhandlungsposition gegenüber Microsoft "erheblich schwächen".

Noch einige Informationen herausgezogen

Die komplette Antwort mit der Ablehnung an Frag den Staat in Form eines vierseitigen PDF-Dokuments ist hier einsehbar. So wird argumentiert, dass die "Herausgabe des Gutachtens ohne Zustimmung der Datenzentralen der Länder der notwendigen vertrauensvollen Zusammenarbeit die Grundlage entziehen" würde. Zudem ständen einer Herausgabe auch einzelnen Regelungen der Landesgesetze entgegen. Hier ein Auszug:

Gemäß § 14 Nr. 7 Landestransparenzgesetz von Rheinland Pfalzdarf eine Herausgabe nicht dazu führen, dass sich Dritte durch gezielte Informationen wirtschaftliche Vorteile zu Lasten öffentlicher Haushalte verschaffen, die gegenüber der Situation ohne Kenntnis der entsprechenden Informationen zu höheren Ausgaben führen können. Die Interessensbündelung und Beauftragung des Gutachtens dient zumindest auch dem Erfordernis einer sparsamen Haushaltsführung durch öffentliche Auftraggeber.

Die Auswertung des Gutachtens erlaubt Rückschlüsse auf das grundsätzliche Vorgehen bei der Beschaffung im Zusammenhang kritischer Infrastrukturen des Landes. Die Beeinträchtigung fiskalischer Interessen besteht in der möglicherweise erforderlichen Aufwendung von zusätzlichen Haushaltsmitteln.

Halte ich für vorgeschoben, da genau diese aus Sicht der Behörden "kritischen" Passagen geschwärzt werden können. Noch skurriler wird die zweite Begründung:

Zudem steht die Vorschrift des 8 6 b) IFG NRW einer Herausgabe des Gutachtens entgegen. Danach ist der Antrag abzulehnen, wenn und soweit durch die Bekanntgabe der Information der Verfahrensablauf eines anhängigen Verwaltungsverfahrens erheblich beeinträchtigt würde. Das laufende Verwaltungsverfahren — nämlich der Einkauf von cloudbasierter Software und die Verhandlung der Vertragsmodalitäten hierzu – ist noch nicht abgeschlossen.

Die Bundesländer wollen cloudbasierte Lösungen einsetzen, sehen aber hohe Abhängigkeiten zu einzelnen Technologieanbietern und damit die Gefahr, die Kontrolle über die eigene IT zu verlieren und datenschutzrechtliche Erfordernisse nicht mehr gewährleisten zu können. In diesem Zusammenhang ist auch die Arbeit des IT-Planungsrats zu sehen, der zur Stärkung der digitalen Souveränität von Bund und Ländern die länderoffene Arbeitsgruppe „Cloud-Computing und Digitale Souveränität" unter Federführung Nordrhein-Westfalens und des Bundes eingesetzt hat.

Das Ganze muss man sich auf der Zunge zergehen lassen. Die IT-Dienstleister der Länder sehen hohe Abhängigkeiten zu Technologieanbietern und die Gefahr, die Kontrolle über die eigene IT zu verlieren und datenschutzrechtliche Erfordernisse nicht mehr gewährleisten zu können, stehen aber gleichzeitig mit genau einem dieser Technologieanbieter, der dafür bekannt ist, extreme Abhängigkeiten zu schaffen, in Verhandlungen. Klingt für mich wie Realsatire. Sprache ist vielseitig, ist manchmal auch verräterisch. So heißt es in der Ablehnung:


Anzeige

Zur Erreichung der gewünschten digitalen Souveränität ist weiter ein eng abgestimmtes Agieren von Bund und Ländern erforderlich, das u.a. auch durch die Arbeit der ALD erfolgt, die das Gutachten als ein Arbeitspapier in Auftrag gegeben hat, um hieraus detaillierte Verhandlungsstrategien zur gezielten Reduzierung erkannter Schmerzpunkte abzuleiten.

Ich übersetze das doch einfach mal: Die DSGVO fordert, dass IT-Verantwortliche benennen können, welche Daten im Rahmen einer Verarbeitung erfasst werden und was damit passiert. Die DSK stellt fest, dass auch nach Gesprächen mit Microsoft nicht klar ist, welche Daten durch Office 365 abgezogen und an den Hersteller übertragen werden. Aufgabe der Behörden bzw. deren IT von Bund und Ländern wäre es, alle relevanten DSGVO-Punkte aufzugreifen und in Verhandlungen auszuräumen. In obigem Passus ist dagegen von der "gezielten Reduzierung erkannter Schmerzpunkte" die Rede. Daraus leite ich ab, dass das unter Verschluss gehaltene Gutachten die nachfolgend erläuterte Position der Deutschen Datenschutzkonferenz  (DSK) stützt und die Behörden massive Probleme haben, ihre cloudbasierten Lösungen DSGVO-konform hinzubekommen, solange Microsoft 365 als Produkt in der Auswahl ist.

Der Hintergrund

Aufhänger des Ganzen ist die Feststellung der deutschen Datenschutzkonferenz (DSK) zu Microsoft 365, die ich im Blog-Beitrag  Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform aufgegriffen hatte. Die DSK kam am 25. November 2022 auf Basis einer Arbeitsgruppe zum eindeutigen Entschluss, dass Microsoft 365 (beinhaltet Office 365) auf der Grundlage des von Microsoft bereitgestellten "Datenschutznachtrags vom 15. September 2022" nicht datenschutzrechtskonform zu betreiben sei.

Verantwortliche für den Datenschutz könnten nicht den geforderten DSGVO-Nachweis erbringen, weil die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt werde. Microsoft sieht das zwar anders (siehe auch Nachbetrachtung zur DSK-Einstufung "Microsoft 365 weiterhin nicht datenschutzkonform").

Von den Juristen von reuschlaw gab es dann eine "Gegenstellungnahme", die dem Einsatz von Microsoft 365 (wie das Ganze nun heißt) ein problemloser Einsatz bescheinigt wurde. Ich hatte im Beitrag MS 365 DSGVO-Konformität: Merkwürdiger "Meinungsartikel" bei heise darauf abgestellt. Hintergrund ist auch, dass es derzeit kein gültiges Abkommen zum Datentransfer mit den USA gibt – und Microsoft 365 Daten in die Microsoft Cloud überträgt. Damit sind die Daten im Einflussbereich der US-Behörden.

Einstufung des Vorgangs

Der oben skizzierte Vorgang, die Einsichtnahme in das Rechtsgutachten zu verweigern, wirft nun zahlreiche Fragen auf. Es ist natürlich unklar, was im Rechtsgutachten steht. Wenn die DSK schreibt, dass der DSGVO-konforme Einsatz nicht möglich sei, kann ich mir nicht vorstellen, dass das Rechtsgutachten die Position von reuschlaw, dass alles kein Problem sei, stützt. In diesem Fall hätten die Behörden sicherlich der Freigabe zugestimmt. So bleibt das Gefühl, dass die Position der DSK bestätigt wird, und die Behörden mauern, um sich da durch zu lavieren. Die Argumentation im Ablehnungsschreiben, aus dem ich oben zitiert habe, enthält auch folgende Aussage:

So beschreibt das Gutachten detailliert, welche Maßnahmen als Mindest-Anforderungen für eine Vereinbarkeit der MS-Produkte und ihrer Nutzung mit der DSGVO gesehen werden und welche Anforderungen eher als optionale Maßnahmen wünschenswert wären.

Es wird argumentiert, dass Microsoft Kenntnis keine Kenntnisse von der genauen Abgrenzung, welche Maßnahmen für eine Vereinbarkeit der MS-Produkte und ihre Nutzung mit der DSGVO als zwingend und welche nur als optionale Maßnahmen angesehen werden, erhalten solle. Denn dies würde die Verhandlungsposition des Bundes in zukünftigen Verhandlungen über die Konditionenverträge sowie der Verhandlungspositionen der Länder im Hinblick auf die datenschutzrechtlichen Anforderungen im Rahmen zukünftiger Beschaffungen von Lizenzen unter den Konditionenverträgen erheblich schwächen. Zweck des Gutachtens sei eine Bündelung und Stärkung der Interessen wie auch der Verhandlungspositionen der Bundesländer im Hinblick gegenüber Microsoft und den jeweiligen Handelsvertragspartnern. Bleibt natürlich die Frage, wie es mit der datenschutzrechtlichen Beurteilung bereits bestehender Lösungen ausschaut?

Die DSGVO wurde als großer Erfolg gefeiert und man hätte darauf aufbauen können. Stattdessen rangeln die Verantwortlichen in Verträgen mit Microsoft darum, wie etwas ein bisschen DSGVO-konform gestaltet werden kann, was in der mir bisher vorliegenden Konzeption niemals DSGVO-konform sein kann. Der Ansatz von Microsoft 365 als kontinuierliche Entwicklung mit monatlichen Änderungen lässt doch überhaupt keinen Raum für Evaluierungen. Man kann sich höchstens auf Zusicherungen des Anbieters verlassen, die morgen schon wieder durch die technische Entwicklung Makulatur sein können.

Wie schreibt Golem in seinem Artikel: Ohne grundsätzliche Änderungen auf Seiten Microsofts kann die Cloudsoftware nicht rechtskonform genutzt werden. Im Unterschied zu dem Gutachten der IT-Dienstleister der Länder hat die DSK ihr Gutachten allerdings in einer um Geschäftsgeheimnisse bereinigten Zusammenfassung veröffentlicht. Warum dies der Länder-IT nicht möglich war, bleibt unklar.

Unter dem Strich bestärkt dieser Vorgang mich im Gefühl, dass Politik und Behörden die eigenen Gesetze so langsam um die Ohren fliegen. Gerade folgenden Tweet gesehen, dass der EU-Kommission ihre Pläne zur Chat-Kontrolle voraussichtlich um die Ohren fliegen, weil sie Grundrechte verletzen. Netzpolitik hat es hier aufbereitet – eine Aufbereitung des EU-Abgeordneten Patrick Breyer findet sich hier.

Dann gibt es die Pläne der EU-Kommission, eine vorläufige Angemessenheitsentscheidung in Bezug das Trans Atlantik Data Privacy Framework zu treffen, die voraussichtlich vor dem EuGH scheitern dürfte (siehe meinen Beitrag EU-Kommission fällt vorläufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework). Und bei der NZZ habe ich gerade gelesen, dass der EU Data Act bei der Industrie Bedenken auslöst, dass durch die Weitergabe von Daten Geschäftsgeheimnisse weiter gegeben werden. In Frankreich gibt es übrigens das Dinum-Rundschreiben von 2021, welches "den Einsatz von Office 365 in den französischen Behörden" verbietet (siehe meinen Blog-Beitrag Kostenloses Microsoft 365 und Google Workspace an Frankreichs Schulen verboten). Es bleibt in meinen Augen spannend, wie das weiter geht – es lohnt am Thema dran zu bleiben und ggf. Fragen auch juristisch von Gerichten klären zu lassen.

Ähnliche Artikel:
Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform
Nachbetrachtung zur DSK-Einstufung "Microsoft 365 weiterhin nicht datenschutzkonform"
MS 365 DSGVO-Konformität: Merkwürdiger "Meinungsartikel" bei heise
Microsoft 365 an Schulen: Droht Schadensersatz wegen DSGVO-Verstößen?

Safe Harbor: EuGH erklärt Abkommen für ungültig
EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield"
Keine Karenzfrist für Unternehmen nach Privacy Shield-EU-Urteil
Datenschützer plant durchgreifen bei Privacy Shield-Verstößen
Vorläufige Einigung zwischen EU und USA im Trans-Atlantic Data Privacy Framework
US-Präsident Biden bringt Datenschutzabkommen "Privacy Shield 2.0" auf den Weg
EU-Kommission fällt vorläufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Cloud, Office, Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

34 Antworten zu Bundesländer verweigern Einsicht in Rechtsgutachten zur DSGVO-Einstufung von Microsoft 365

  1. Aaron sagt:

    Ich kann es echt nicht mehr hören.

    Microsoft tut alles, um die Daten nahezu ausschließlich in EU bzw. sogar DE zu haben. Und dennoch kommt immer wieder dieses Argument, dass die USA ja Rechte auf die Daten haben könnte, weil MS ein US-Unternehmen ist.

    Wenn dem so ist, dann sollte man entweder rasch eine neue Regelung finden oder allen Anbietern, die irgendwie mit US-Unternehmen zusammenhängen, den Weiterbetrieb untersagen. SAP hat eine Zweigstelle in den USA? Dann schließen, den Laden …

    Beides bekommt die Politik nicht hin, weshalb massive Rechtsunsicherheit vorherrscht, die dann zu völlig wirren Entscheidungen führt – wie z.B. M365 aus Schulen zu verbannen, da es ja tolle Alternativprodukte gibt, näch.

    • Olli sagt:

      Fangen wir doch mal damit an, dass in einer Demokratie ALLE Dokumente des Staates wo es nicht um die (militärische) Sicherheit sowie Leib und Leben geht grundsätzlich IMMER zu 100% ungeschwärzt zur Einsichtnahme herausgegeben werden müssen. Also z.B. auch alle Verträge von Freihandelsabkommen dann hätte man eine Diskussionsgrundlage.

    • Mika sagt:

      Ich kann es echt nicht mehr hören.

      Bei der DSGVO geht es eben NICHT nur darum, wo die Daten gespeichert werden.

    • Ralph D. Kärner sagt:

      Microsoft tut auch alles, um den Kunden von seinen Produkten abhängig zu machen. Im Zusammenhang mit der Tatsache, dass Microsoft ein Unternehmen mit Gewinnerzielungsabsicht ist, resultiert dann das, was wir gerade erst erleben: die Verteuerung der Produkte im Abo und in der Cloud. "nahezu" in Deinem Satz ist übrigens in jedem Fall eine Einschränkung. Auch wenn die Aussage von Mika es auf den Punkt bringt, so ist "nahezu" bei egal was eben nicht ausreichend. Und ich persönlich finde das gut so. MS hat eben nicht nur eine Zweigstelle in einem nicht-EU-Land, sondern seinen Hauptsitz. Bitte also nicht noch nebenher zur Untermauerung des eigenen Glaubens Äpfel mit Birnen vergleichen, wir sind hier nicht bei Heise.

      • 1ST1 sagt:

        Jedem steht frei, dieses Linux und Libre Office so weiter zu entwickeln, dass es in allen Belangen gleichwertig mit Windows und O365 ist. Dankeschön fürs machen!

    • Tobi sagt:

      "Microsoft tut alles, um die Daten nahezu ausschließlich in EU bzw. sogar DE zu haben."
      Ja MS ist stets bemüht. Wenn sie es jetzt auch noch schaffen würden, dass die Daten nicht mehr über andere Regionen geroutet werden.

      Und selbst wenn die irgendwann mal eine saubere Verarbeitung nach der DSGVO gewährleisten können. Wollen wir wirklich alles über Azure laufen lassen?
      Dann lieber Open-Source-Lösungen. Ich weiß, bei Word und Excel nicht ganz einfach, aber in vielen anderen Bereichen (bspw. Videocalls) sicher heute schon umsetzbar.

      • 1ST1 sagt:

        Und wo ist die eng mit Libre-Office, Firefox und Thunderbird verzahnte Videocall-Lösung? Wo ist sie?

      • Jan sagt:

        Hallo Tobi,

        Wenn Du damit auf Teams anspielen willst und es "nur" als Videocall Software siehts, hast du noch nie Teams für was anderes benutzt. Vl solltest du dich mal informieren was das Programm denn alles kann.

        Ferner sind diese open Source Lösungen für kleine Unternehmen sicher attraktiv, aber bei Unternehmen die eine gewisse größe und Komplexität erreicht haben ist das nur rumgebastel das nie richtig funktioniert oder viel Aufwand erfordert.

        Und bevor wer mit dem Argument kommt "Ja aber ich kann das" Fragt eure Mitarbeiter oder Kunden was die von eurer "Office Alternative" halten und schaut mal wie aktuell euer System ist, ob es den Sicherheitsstandards und ob es auch DSGVO konform ist.

        Dann können wir weiter reden.

    • Jackie sagt:

      Zu: Microsoft tut alles, um die Daten nahezu ausschließlich in EU bzw. sogar DE zu haben. Und dennoch kommt immer wieder dieses Argument, dass die USA ja Rechte auf die Daten haben könnte, weil MS ein US-Unternehmen ist.

      Das stimmt so aber auch schon nicht. Microsoft speichert zwar die Kundendaten möglichst in der EU, die Verarbeitung kann aber dennoch in den USA statfinden und auch Metadaten werden aktuell selbst mit EU Data Boundary noch in den USA gespeichert.

      • 1ST1 sagt:

        Die in der EU gespeicherten Daten in Amerika zu bearbeiten und wieder her zu schicken wäre sehr unsinning undokönomisch und hätte doch einige Latenzen. Schon aus rein technischen Gründen macht das keinen Sinn. Außerdem zum Verarbeiten durch eine CPU in den USA müssen sie auch im RAM und auf Festplatte eines Servers in den USA (zwischen)gespeichert werden und damit ist eine Verarbeitung in den USA geradezu ausgeschlossen, weil das der Aussage von MS wiedersprechen würde.

        • Jackie sagt:

          Ich war in der Datenschutzsprechstunde direkt von Microsoft dort hat Microsoft dass so sogar selbst zugegben. Gerade bei der Zweifaktorauthentifizierung werden Daten auch in den USA verarbeitet! Meta-Daten also z.B. Logs werden auch in den USA gespeichert und verarbeitet. Du scheinst ja der selbst ernannte PR Beauftragte für Microsoft hier im Forum zu sein, Ahnung hast du aber leider trotzdem keine!

    • Anonymous sagt:

      > Und dennoch kommt immer wieder dieses Argument, dass die USA ja Rechte auf die Daten haben könnte, weil MS ein US-Unternehmen ist.

      Informiere Dich:

      https://de.wikipedia.org/wiki/CLOUD_Act
      https://de.wikipedia.org/wiki/National_Security_Letter

  2. Sebastian sagt:

    Es ist schon inakzeptabel das MS die Daten hat. US, nicht US ist doch völlig wurscht.
    Ferner ist es problematisch und marktverzerrend propritäre Produkte in Schulen einzusetzen, da man die Kinder damit auf die Produkte konditioniert.

  3. Joachim Herbert sagt:

    Dass Daten der deutschen Verwaltung via O365 in die Hände amerikanischer Behörden gelangen könnten, ist sicher ein Problem. Allerdings erscheint es mir vernachlässigbar gegenüber dem, was ausländische Dienste ohnehin und wiederholt abfischen.

    Staatsgeheimnisse sollte man einem solchen System eben nicht anvertrauen. Die Ergebnisse und Inhalte von Klassenarbeiten schon. Und: In der Microsoft-Cloud wären Abituraufgaben mit hoher Wahrscheinlichkeit verfügbar, wenn man sie braucht.

    • Günter Born sagt:

      Sehe ich deutlich anders! Bisher glaube ich daran, dass wir in der EU in einem rechtsstaatlichen Raum leben, wo Bürgerrechte ggf. eingeklagt werden können. Es gibt seit 2018 die EU weit geltenden General Data Protection Rules (GDPR), deutsch DSGVO, die bestimmte Anforderungen stellt. Wenn die von staatlicher Seite bestellten Datenschützer feststellen "nach unseren Tests und Gesprächen mit Microsoft kann kein IT-Verantwortlicher sicherstellen, dasd die DSGVO-Anforderungen erfüllt werden", ist das deutlich. Und da haben weder Klassenarbeiten noch andere Inhalte von Behörden etwas verloren.

      Ich brauche doch nur in geleakte Dokumente von Ransomware-Gruppen reinzuschauen, was da alles in den Datenbanken oder in Verzeichnissen an persönlichen (schützenswerten) Informationen gespeichert ist. Und das Winken mit Staatsgeheiminssen oder Geheimdiensten ist schlicht ablenken vom Thema – imho.

      • Anonymous sagt:

        > Wenn die von staatlicher Seite bestellten Datenschützer feststellen "nach unseren Tests und Gesprächen mit Microsoft kann kein IT-Verantwortlicher sicherstellen, dasd die DSGVO-Anforderungen erfüllt werden", …

        .. dann ist das weitere Verwenden von O365 selbstverständlich grob fahrlässig.

        Keinerlei nicht öffentliche Daten sollten irgendeiner Cloud anvertraut werden. Die Naivität bei diesem Thema ist unfassbar.

        • Urlich sagt:

          Bei all den Kommentaren schlage ich vor das wir wieder ein Agrarland werden. Wir schaffen alle Rechnersysteme und Software ab, sind dann geschützt vor? In D sitzen Bedenkenträger wohin ich schaue – Fortschritt etc. "NEIN DANKE". DSGVO ist der Totengräber der deutschen Wirtschaft.

          • Günter Born sagt:

            Sorry, dass ich das im bester Gerd Dudenhöfer-Manier als Dummfug klassifiziere. Stellt es euch einfach mal vor, die EU zwingt die Technologieanbieter, ihre Produkte DSGVO-konform und mit offenen Schnittstellen zu gestalten … dann wären alle diese Diskussionen (sofern die Vorgaben erfüllt sind) obsolet und wir könnten uns der besseren Absicherung widmen.

            Deine Argumentation läuft in etwas auf dem Niveau: "Da ist in ein Autofahrer in einer Radarfalle mit überhöhter Geschwindigkeit geblitzt worden – und wir fordern die Abschaffung des Tachos an Fahrzeugen – denn dann hätte der Fahrer keine Kontrolle mehr über die Geschwindigkeit, könnte also nicht belangt werden". Dies hätte etwas Bestechendes für die Geblitzten – alles bleibt folgenlos …

          • Sebastian sagt:

            Wenn nur noch Zwangstracking und Mietsoftware übrig bleibt, hatten die Amish am Ende vielleicht doch recht.

          • Andreas K sagt:

            Soweit zurück müsste man ja nicht einmal. Wenn wir wir aber soweit gehen würden, dass:
            – jeder sein System im Haus hat (oder in einer privaten Cloud)
            – Mobiltelefonanbindungen, etc. nur über VPN gehen
            – Officeanhänge verboten sind

            Hätten wir vermutlich 95% weniger Ärger aber nur 5% an Fortschritt eingebüßt (Wenn man darüber nachdenkt, sind es vielleicht sogar nur 0,5%)

          • Daniel A. sagt:

            Dann macht die deutsche Wirtschaft was grundlegend falsch, wenn dem so wäre. Wenn ich nur erfolgreich sein kann, in dem ich gegen geltendes Recht verstoße, ist das kein Problem der Gesetze sondern des Unternehmens.

            Es gibt einige Beispiele (war meine ich zuletzt bzgl. e-Rezept), wo die Datenschützer machbare Wege aufgezeigt haben, wie das ganze sauber umzusetzen war. Antwort der Verantwortlichen: Nee, zu aufwendig, dann lassen wir's lieber ganz bleiben.

            Der Fehler ist bei allen solchen Projekten/Entwicklungen immer der Gleiche: Es wird nicht von Anfang an der Datenschutz mit eingeplant, sondern nach der Methode verfahren "wir machen erst mal, dass was funktioniert, um Datenschutz und Security kümmern wir uns später". Das kann nur schiefgehen. Privacy bzw. Security by Design ist hier das Zauberwort.

            Und was immer gerne von verschiedenen Personen vergessen bzw. kleingeredet wird: Der "US Cloud Act" ist Realität und kein Hirngespinst. Und laut dem haben Nicht-US Bürger halt auch keinerlei rechtliche Handhabe gegen ev. Missbrauch ihrer Daten. Ansonsten wären nicht mehrfach die Datenschutzabkommen mit der USA vom EuGH gekippt worden, wenn das alles so konform wäre.

          • Olli sagt:

            >> Agrarland

            Das schaffen schon die Grünen, dafür braucht es kein Microsoft.

            Abgesehen davon ist es schon erhellend wie vielen Menschen es mittlerweile Scheiß egal ist ob sich noch geltendes Recht gehalten wird oder nicht.

            Es ist ganz einfach – egal ob die DSGVO jetzt gutes oder schlechtes Recht ist – derzeit ist es Recht und entweder Microsoft hält sich daran oder sie ziehen sich aus dem größten Wirtschaftsraum der Welt zurück. Da braucht man gar nicht Diskutieren sonst könnten wir auch gleich das Grundgesetz abschaffen.

  4. Ralph D. Kärner sagt:

    Hallo Günter,

    Du hast da einen Typo im Text:
    "Frag den Staat hat die Einsichtnahme bereits am 7. November 2022 beantragt und diese Anfrage wurde im Februar 2022 endgültig abgelehnt."
    Ich gehe davon aus, dass im Februar 2023 final abgelehnt wurde.

    Gruß,
    Ralph

  5. R.S. sagt:

    Aus der Nummer kommt Microsoft IMHO nur auf einem Wege heraus:
    Ein "Microsoft EU" gründen, das ausschließlich innerhalb der EU tätig ist und von Microsoft USA autark ist.
    Microsoft 365 nutzt innerhalb der EU ausschließlich und per Default nur die Dienste der Microsoft EU.
    Dazu schließt man dann Abkommen ab, das Microsoft EU die Technologien von Microsoft USA nutzen darf (aber nicht deren IT-Infrastruktur!).

    • Hedonist sagt:

      In welcher Welt lebt ihr eigentlich?

      Selbst wenn es eine Microsoft EU gibt oder die Daten nur in der EU gespeichert werden?

      Wir leben in einer globalen Welt, in der Unternehmen Niederlassungen in vielen verschiedenen Ländern und Kontinenten haben. Diese müssen Daten austauschen, um arbeiten zu können. Viele Firmen haben Schnittstellen zu ihren Lieferanten oder Kunden, welche ebenfalls in unterschiedlichen Ländern agieren.
      Wie soll es funktionieren.. sollen dann die Mitarbeiter von Amerika nach Deutschland kommen, um mit Daten aus Deutschland zu arbeiten oder umgekehrt?
      Dann kommt ihr bestimmt mit dem ökölogischen Fussabdruck etc.

      Leute lasst die Kirche im Dorf und denkt etwas mehr darüber nach, wie die Firmen heutzutage arbeiten, um dann sinnvolle Gesetzte und Regelungen zu erarbeiten.

  6. René Floitgraf sagt:

    Abseits dieser ganzen Diskussion ob Cloud oder nicht, ob US oder nicht ob… ohnehin beleuchten die Dokumente sowieso nur den Vertragsstand mit Microsoft vor dem EU Data Boundary – vielleicht ein ganz anderer Gedanke, warum man dieses Dokument unbedingt unter Verschluss behalten will: "Dumme" Verhandlungsmasse…

    Die DSK hat wann letztmalig wann ihr "Nein" zu M365 veröffentlicht? Q4/2022
    Das Rechtsgutachten ist von? Q4/2022

    Möglicherweise will man sich nicht die Blöße geben, dass man schlicht per Copy+Paste bei der DSK abgeschrieben hat?

  7. janil sagt:

    Wie war das doch gleich:
    "Folge der Spur des Geldes"
    Ansonsten gibt es Alternativen, wer sie nutzt und wer nicht, entscheidet nun mal jeder selbst.
    Finde, mehr gibt es dazu nicht mehr zu sagen.
    Vielleicht noch, das die Demokratie der Griechen, die Demokratie der oberen 10000 war, eigentlich doch genauso wie jetzt auch…

  8. mw sagt:

    Warum nur kommt bei mir, jedesmal das Gefühl auf, daß der Staat, als Diener für das Volk, dieses als obsersten Souverän andauernd und fortwährend nach Strich und faden bescheißt. Es darf sich niemand wundern, wenn das Volk mit radikalen Methoden dem irgendwann ein Ende setzt.

  9. Cornelia sagt:

    Es ist immer wieder amüsant, die Kommentare Pro und Kontra Microsoft 365 bzw. Cloud im Allgemeinen zu lesen.

    Ich will nicht behaupten, dass die Cloud-Dienste von Microsoft DSGVO-konform sind, ich will aber auch nicht behaupten, dass sie in wesentlichen Teilen nicht-konform sind oder ein unmittelbarer Schaden aus der Nicht-Konformität entsteht. Letztlich kann die Nicht-Nachvollziehbarkeit über die Details der Datenspeicherung und Datenverarbeitung auch ein Argument PRO Sicherheit (und Datenschutz) sein.

    Ein Vergleich:
    Wenn mir mein Hausarzt nicht von sich aus oder auf Nachfrage hin mitteilt, wo er welche Daten von mir speichert, mit welchen Diensten er wann arbeitet und welche externen Stellen Zugriff haben, kann ich im Wesentlichen auch die Hoffnung bzw. das Vertrauen haben, dass er diese Information nicht fahrlässig anderen preisgibt, die sich dafür interessieren. Klar kann ich nicht davon ausgehen, dass meine (bzw. seine) Daten jederzeit zu 100% geschützt sind – das kann aber auch niemand sonst. Darauf folgt: Je weniger die "es gut meinenden Datenschützer" über ein System oder Netzwerk Kenntnis erhalten, desto weniger besteht letztlich das Risiko, dass andere dieses – öffentlich gewordene – Wissen zu deren eigenem Nutzen missbrauchen können.

    Je grösser ein Unternehmen ist, desto mehr Leute versprechen sich einen Nutzen davon, das Netzwerk zu kompromittieren und an Kundendaten heranzukommen. In anbetracht dessen, wie viele Daten weltweit bei Microsoft gespeichert sein müssen, erachte ich die tatsächlich erfolgreichen Missbrauchsvorfälle als verhältnismässig unbedeutend.
    Das ist ähnlich wie bei Unfällen im öffentlichen oder privaten Verkehr: Reisen per Flugzeug gelten zu recht als sehr sicher. Wenn aber mal etwas Ernsthaftes passiert, ist es meistens eine Tragödie, weil (fast) alle Passagiere sterben oder schwer verletzt werden. Dementsprechend ist dann das Medieninteresse wesentlich grösser, als wenn z.B. 20 Fahrzeuge auf einer Autobahn kollidieren oder ein Schnellzug wegen einem umgestürzten Baum entgleist.

    • Sebastian sagt:

      "kann ich im Wesentlichen auch die Hoffnung bzw. das Vertrauen haben, dass er diese Information nicht fahrlässig anderen preisgibt"

      Na dann viel Glück.

      Es geht noch nicht mal um das weitergeben, einfach nur das Auswerten von Verhaltensdaten also Tracking oder verharmlosend Telemetrie genannt, durch Microsoft ist die rote Linie.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.