Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), Ulrich Rossnagel, hat zum 15. November 2025 einen Bericht vorgelegt, dass Microsoft Office 365 in Hessen datenschutzkonform genutzt werden kann. Hier einige Informationen und Gedanken um dieses Thema.
Rückblick auf ein kontroverses Thema
Seit vielen Jahren schwelt bereits der Streit, ob Microsoft Office datenschutzkonform einsetzbar ist. Im Beitrag Microsoft Office spioniert Nutzer aus, kollidiert mit DSGVO hatte ich bereits 2018 das Thema aufgegriffen, dass Microsoft systematisch und in großem Umfang Daten über die individuelle Nutzung von Word, Excel, PowerPoint und Outlook sammelt. Heimlich, ohne die Leute zu informieren. Seinerzeit hatte Microsoft Nachbesserungen in Office versprochen.
Aber im Jahr 2022 stellte die Deutsche Datenschutzkonferenz (DSK), da oberste Gremium der deutschen Datenschutzbeauftragten, fest, dass Microsoft Office 365 nicht datenschutzkonform eingesetzt werden kann. Hintergrund war, dass die Datenschützer erfolglose Gespräche mit Microsoft geführt hatten, sich Redmond aber weiterte, klar offen zu legen, welche Daten für welche Zwecke erfasst und verarbeitet werden. Ich hatte den Sachverhalt im Beitrag Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform aufgegriffen.
HBDI sieht datenschutzkonforme Einsatzmöglichkeiten
Blog-Leser Kai hat mich gestern per Mail darauf hin gewiesen, dass der hessische Datenschutzbeauftragte einen Bericht zum Thema Microsoft 365 veröffentlicht hat (die Details lassen sich im Bericht des HBDI zum Einsatz von M365 vom 15. November 2025, 137 Seiten PDF nachlesen). Demnach kann Microsoft 365 datenschutzkonform eingesetzt werden, sowohl von hessischen Privatunternehmen, als auch vom öffentlichen Bereich.
Der hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), Prof. Dr. Alexander Roßnagel, erläutert diese Feststellung: "Seit Januar 2025 haben wir mit Microsoft in vielen Diskussionsrunden über den Datenschutz bei Microsoft 365 verhandelt. Wir haben im Interesse der Nutzer konstruktiv untersucht, unter welchen Bedingungen eine praxistaugliche und datenschutzkonforme Nutzung von M365 möglich ist. Das positive Ergebnis bietet nun den Unternehmen und Behörden in Hessen grundlegende Rechts- und Handlungssicherheit für den datenschutzkonformen Einsatz von M365-Produkten."
Entscheidende Bewegung von Microsoft?
Microsoft (MS) bietet M365 als Cloud-Dienst an. Datenschutzrechtlich gesehen ist daher MS laut Datenschützer Auftragsverarbeiter und der nutzende Kunde Verantwortlicher. Den Datenschutz in M365 regelt MS in einem "Datenschutznachtrag" (Data Protection Addendum – DPA).
Im November 2022 stellte die DSK (Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder fest, dass Verantwortliche den Nachweis, M365 datenschutzrechtskonform zu betreiben, auf der Grundlage des DPA vom 15. September 2022 nicht führen können. Als Grund nannte die DSK, dass das DPA in sieben Kritikpunkten den Vorgaben des Art. 28 DS-GVO für Auftragsverarbeiter nicht entspreche.
Diese sieben Kritikpunkte waren der Maßstab für die oben erwähnten Verhandlungen zwischen dem HBDI und Microsoft in 2025. Der HBDI stellt klar, dass er keine technische Untersuchung einzelner M365-Dienste durchgeführt habe. Es ist also eine reine verwaltungstechnisch, juristische Einstufung durch den HBDI, die auf Zusicherungen Microsofts beruhen, was ich an dieser Stelle festhalten will.
Manche Formulierungen sind in meinen Augen auch unfreiwillig komisch. So heißt es, das "Microsoft seine Datenverarbeitung an europäische Anforderungen angepasst hat, z.B. durch die EU-Datengrenze, wodurch Microsoft fast alle personenbezogenen Daten im Europäischen Wirtschaftsraum verarbeitet." Der HBDI hat also den Begriff "ein bisschen schwanger" in eine gänzlich neue Bedeutung gehoben.
Das Ganze passt zur Meldung, dass Bayern massiv in die Microsoft Cloud will. Ein Blog-Leser hatte im Diskussionsbereich auf diesen heise-Artikel verwiesen, nachdem Bayern seine Behörden mit Microsoft 365 ausstatten will. Heise zitiert Kritiker, die mit Lizenzkosten in Milliardenhöhe rechnen und vor dem Verlust digitaler Souveränität warnen. Aber "digitale Souveränität" ist nicht die Baustelle des HBDI.
Aber einen hab ich noch als Kontrast: Schleswig-Holstein hat nach diesem heise-Artikel 80 % seiner Lizenzen gekündigt. Die IT dieses Bundeslands hat zum 2. Oktober rund 44.000 Postfächer mit rund 110 Millionen Kalendereinträgen und E-Mails erfolgreich auf Open-Xchange umgezogen. Ein Großteil der Arbeitsplätze in der Verwaltung wurde auf LibreOffice und den Thunderbird als Mail-Client umgestellt.
Das spart dem Bundesland Millionen – und die Migration von Windows auf Linux wurde auch angegangen. Im Norden gehen die Uhren anders als in Bayern, denn in München hat man das LiMux-Projekt ja auch aufgegeben und kehrte in die Fänge Microsofts zurück. Bayern kann es einfach nicht.
Ich gehöre ja noch zur älteren Generation, die schon mal Fernsehen der öffentlich rechtlichen Anstalten einschaltet. Da kommt denn immer der Spruch "Das Beste im Norden …" – ich ich meine "ist unsere Digitalisierung der Behörden mit Open Source". Aber da muss ich mich wohl verhört haben.
Rechtliche Bewertungen geändert
In den Verhandlungen konnte der HBDI feststellen, dass sich nach drei Jahren entscheidende Bedingungen geändert haben. Der HBDI, Dr. Roßnagel, macht dies, laut seiner Presseerklärung, an folgenden Punkten fest:
- Zum einen hätten sich rechtliche Vorgaben, wie z.B. die Zulässigkeit der Übertragung personenbezogener Daten in die USA auf der Grundlage des EU-US Data Privacy Frameworks, verändert.
- Zum anderen habe MS seine Datenverarbeitung an europäische Anforderungen angepasst wie z.B. durch die EU-Datengrenze, durch die MS fast alle personenbezogenen Daten im Europäischen Wirtschaftsraum verarbeitet.
- Drittens habe MS Veränderungen in seinem Datenschutzkonzept gegenüber dem HBDI ausführlich erläutert.
- Viertens konnte der HBDI erreichen, dass MS das Data Protection Addendum, kurz DPA, (für öffentliche Stellen) fortentwickelt hat.
- Schließlich stelle MS zusätzliche Informationen bereit wie z.B. das M365-Kit, das den Verantwortlichen bei seiner datenschutzrechtlichen Dokumentation unterstützt.
Das positive Ergebnis, was der hessische Datenschutzbeauftragte Dr. Roßnagel sieht, beruht laut seiner Aussage auch auf der Erwartung, dass Microsoft und die Verantwortlichen (in Behörden oder Unternehmen) zusammenwirken, damit die Verantwortlichen M365 datenschutzrechtskonform nutzen können.
Daher endet der Bericht mit Handlungsempfehlungen für die verantwortlichen öffentlichen und nicht-öffentlichen Stellen in Hessen. Auf ihrer Grundlage können verantwortliche Stellen einzelne Bestandteile von M365 einer vertiefenden, datenschutzrechtlichen Betrachtung für den konkreten Einsatz unterziehen und im Erfolgsfall datenschutzkonform einsetzen.
Verantwortung auf Nutzer abgewälzt
Der Leser, der selbst an einer Hochschule Microsoft 365 einsetzen soll, schriebe mir, dass gerade auch hessische Behörden, wie Ministerien, Polizei und Hochschulen lange auf diesen Bericht gewartet haben. Er glaubt, dass die Institutionen nun Microsoft 365 einführen können. Man habe es nun einfacher mit den eigenen Datenschutzbeauftragten im Haus, die bisher allzu gerne auf die ausstehende Stellungnahme des Landes verwiesen hat.
Unter dem Strich hat der hessische Datenschutzbeauftragte aber die Verantwortung klar auf die Nutzer abgewälzt. Diese können theoretisch einen datenschutzkonformen Betrieb sicherstellen, indem z. B. keine persönlichen Daten in Microsoft 365 verarbeitet werden. Wie das Ganze aber praktisch umgesetzt werden könnte, speziell, da Microsoft sein Office 365 monatlich mit Updates versieht und überall Copilot drauf klatscht, bleibt für mich schleierhaft.
So bleibt das Konjunktiv "kann DSGVO-konform eingesetzt werden", wenn der Anwender das sicherstellt. Das ist in meine Augen aber eine juristische Formulierung, die auf Zusicherungen fußt, die bei Licht betrachtet, das Papier nicht wert sind, auf dem sie stehen. Ich hatte im Beitrag Souveräne EU-Cloud-Debakel: Microsoft kann US-Zugriff nicht verhindern auf das Eingeständnis eines Microsoft Managers in Frankreich verwiesen, der bestätigte, dass Microsoft einen US-Zugriff auf die Daten europäischer Nutzer schlicht nicht verhindern kann. Auch bei heise, die das Thema hier aufgreifen, sieht man eine "Entscheidung am grünen Tisch" ohne jegliche Prüfung. Die Diskussion im Kommentarbereit zeigt denn auch die Skepsis vieler Leute, die sich mit der Thematik in Betrieben und Behörden auseinander setzen müssen.
Wie das alles am Ende des Tages ausschaut, wird man abwarten müssen. Ich stelle mal eine Information, die ich schon länger habe, mit hier im Artikel ein. Gegen den Angemessenheitsbeschluss der EU-Kommission, der die Zulässigkeit der Übertragung personenbezogener Daten in die USA auf der Grundlage des EU-US Data Privacy Framework regelt, hatte der französische Abgeordnete Latombe vor dem Europäischen Gerichtshof geklagt, aber das wurde abgewiesen. heise berichtete Ende Oktober 2025, dass Latombe nun Rechtsmittel beim Europäischen Gerichtshof (EuGH) einlegen wird. Kippt der EuGH den Angemessenheitsbeschluss, stehen die MS 365-Nutzer nackt da.
Ähnliche Artikel:
Microsoft Office spioniert Nutzer aus, kollidiert mit DSGVO
Microsoft will Office Pro Plus DSGVO-konform nachbessern
Privacy: Microsoft steht mit Windows 10/Office 365 unter Druck
Datenschutzkonferenz 2022: Microsoft 365 weiterhin nicht datenschutzkonform
Nachbetrachtung zur DSK-Einstufung "Microsoft 365 weiterhin nicht datenschutzkonform"
Datenschutz: Microsoft 365 muss ab Sommer 2022 in Baden-Württembergs Schulen ersetzt worden sein
Microsoft 365 an Schulen, Baden-Württembergs Datenschützer sagt Nein
Kostenloses Microsoft 365 und Google Workspace an Frankreichs Schulen verboten
Office3 65 an Schulen unzulässig – Microsoft-Lizenzkosten für Bund steigen
Microsoft 365 an Schulen: Droht Schadensersatz wegen DSGVO-Verstößen?
DSGVO-Info über Privatsphäreneinstellungen in Office 365 Plus
Noyb reicht gegen Microsoft 365 Education DSGVO-Beschwerden ein
MVP: 2013 – 2016
Das Microsoft alle personenbezogenen Daten im EWR verarbeitet ist doch nur Vernebelungstaktik.
Der US Cloud Act sichert den US-Diensten den Zugriff auf alle Server zu, die von US-Unternehmen betrieben oder genutzt werden.
Der Cloud Act schreibt explizit, das es dabei keine Rolle spielt, wo auf der Welt diese Server stehen.
D.H. konkret, das Server von US-Firmen, die im EWR stehen, genauso unter den Cloud Act fallen wie Server, die in den USA stehen.
Die einzige Lösung sehe ich in OnPrem und entsprechener Konfiguration der Firmenfirewall, durch die die Datenübermittlung von Office blockiert wird.
Die Desktopfirewall von Windows reicht da nicht, denn Microsoft hat da absichtlich diverse Löcher drin, die sich nicht schließen lassen, um sicherzustellen, das bestimmter Datenübermittlungen nicht blockiert werden können.
Und was das EU-US DPF angeht:
Das ist doch nur Papier, dessen Einhaltung nicht kontrolliert werden kann.
Datenzugriffe von US-Diensten auf Grundlage des Cloud Acts müssen geheim bleiben. Es darf nicht einmal darüber informiert werden, das überhaupt Datenzugriffe stattgefunden haben.
Demnächst dann: "Hessen setzt Office 365 nicht DSGVO-konform ein."
"Und was das EU-US DPF angeht:
Das ist doch nur Papier, dessen Einhaltung nicht kontrolliert werden kann."
Zumal ich fest davon ausgehe, dass auch das aktuelle Abkommen vom EuGH wieder gekippt wird, es hat sich ja im Kern nichts verändert. Das Kind heißt nur mal wieder anders. Und wie du schon richtig schreibst, solange es den Cloud Act gibt kann MS seine Cloud Dienste inkl. Office 365 nicht DSGVO konform anbieten, beide Gesetze stehen sich quasi direkt gegenüber. Was ja der MS Oberjustiziar für Frankreich zuletzt vor deren Parlament auch offiziell zugeben musste.
Wenn unsere Datenschützer so argumentieren kann man sich den Posten auch direkt sparen.
Deshalb heisst es "Cloud" weil Microsoft die Daten klaut! ;-)
Oder amerikanisch: Big Microsoft is watching you!
Und in Ossi Deutsch: Guck und Horch!
Wer sich also auf Microsoft´s Versprechen einlässt, riskiert nach wie vor, dass sensible Daten in die U.S.A. wandern und dort von wem ausgewertet werden? Trump? NSA? Und von wem noch?
Früher mal hatte man einen Server, der hat lokal alle Daten gespeichert und regelmäßig gesichert. Aber heutzutage muss ja alles in die "Cloud" und Gott weiß wo dann diese Daten landen. Einziger Vorteil: man spart sich die lokale IT und einen teuren lokalen Server. Microsoft und die Schnüffeldienste wird´s freuen!
Och menno, "lokale Daten" lassen sich doch aber nicht monetarisieren – also zumind. jedenfalls nicht von anderen! 😉
die Monetarisierung von Daten stellt bei Klauts eher das geringste Problem dar. Der Zugriff von Diensten das größere. Zumindest mal für exponierte Persönlichkeiten. "Wollen wir doch mal schauen, was wir von dem finden…" Und plötzlich Rücktritt. In welchen Klauts sichert eigentlich die Bundeswehr ihre Daten…?
Wie soll eine DSGVO-Konforme Nutzung überhaut möglich sein, wenn sich Copilot trotz Ausschalten selbständig wieder aktiviert?
Wie soll ein kleiner Handwerksbetrieb denn sicherstellen, dass Office DSGVO-Gerecht läuft? Die Mitarbeiter haben neben dem Lesen der zahlreichen Anleitungen und Vorschriften und Updatebeschreibungen von Windows und Office so ganz nebenbei auch einen Handwerksbetrieb am Laufen zu halten!
Das verstehen viele nicht, das es primär um den Erhalt des Betriebes geht und die anstehenden Aufträge abgearbeitet werden müssen. Wenn hier MS365 eingesetzt wird, dann ist das so.
Nein ist es nicht. Sonst gäbe es gar keine Embargos. Microsoft ist die schlechteste Lösung, die man einsetzen kann. Ich als Auftraggeber an Hnadwerksbetriebe verbiete denen, meine Daten in Microsoftprodukten zu speichern oder gar in die Cloud zu schieben. Da mußten dann schon viele auf meinen Auftrag verzichten. Nur wenn es weh tut, ändert sich was!
Welche "Embargos" meinst Du denn – die bspw. langsam und momentan noch sehr vereinzelt aus dem öffentlichen Bereich anstehenden?
Und Du bist da eher ein exklusiver "Kunde" und der Unternehmer nimmt Deinen Auftragsverzicht halbwegs "gern" in Kauf, denn das wird ihn nicht in den Konkurs treiben.
Zeigt aber eben sehr schön, wie das aus moralischer Intention wirtschaftliche Konstrukt bewußt in Schieflage bewegt wird.
Na dann… Ich würde dann auf deine Aufträge verzichten. Wenn du glaubst, dein Linux System (welches auch immer) ist super sicher… ;)
Betr. "Der HBDI stellt klar, dass er keine technische Untersuchung einzelner M365-Dienste durchgeführt habe. ":
Er hat sich gewaschen, ohne sich nass zu machen.
Datenschutzbeauftragte aktueller Prägung und ihr Apparat sind Auswüchse nutzloser, um sich selbst kreisender Bürokratie. Sie sollten aufgelöst werden. Jeder frei werdende Steuercent ist in der Sanierung von Schulhaustoiletten sinnvoller angelegt.
Dem Rechtsgut informationeller Selbstbestimmung muss der selbe Rang wie dem Recht auf Unversehrtheit von Leib und Leben eingeräumt werden. Das bedeutet insb. auch eine Datenschutzaufsicht, die im Vergleich zur staatlichen Gewerbeaufsicht, Gesundheitsaufsicht, Strassenverkehrsaufsicht budgetär, vollzugsrechtlich, personell und technisch ebenbürtig ausgestattet ist und nicht bloss symbolischen Charakter hat.
Schon im Terminus Datenschutzbeauftragter klingt die Kastratennatur der Institution an, analog Behindertenbeauftragter, Gleichstellungsbeauftragter.
Hat man je von Gesundheitsbebauftragten, Strassenverkehrsbeauftragten, Kernkraftbeauftragten gehört? Eben!
Dr. Rossnagel: 6, setzen, durchgefallen!
Ich frage mich ernsthaft, wie weit das Niveau auch bei Akademikern gesunken ist, dass die "Wissenschaftler" sich so von MS vereiern lassen…. Und gab es da nicht das amerikanische Gesetz, dass mind. die Geheimdienste/Regierung jederzeit Zugriff verlangen können, auch im Ausland?
Dass die Bayern das nicht kapieren, ist schon klar, denn wo ist die Zentrale von MS? Natürlich in München! Und wo wurde das LiMux-Projekt gestoppt und kurz nachher die neue Zentrale gebaut? Natürlich in München! Ein Schelm, wer da Zusammenhänge erkennt… Das es auch anders geht, zeigt ja gerade Schleswig-Holstein.
Da bleibt man wirklich sprachlos zurück. Vor allem, was die Vorgehensweise betrifft, die zur Bewertung führt. Auf welch niedrigem Niveau kann man noch operieren?
Besser ist es dann, im Büro weiter zu schlafen und einfach nichts zu diesem Thema zu sagen, das ist ungeheuerlich.
Das ist noch schlimmer als das BSI, dass auch im Jahre 2025 noch Empfehlungen zur W10 1607 Konfiguration herausgibt, für neuere Versionen oder gar W11 überhaupt nichts in der Pipeline hat und die Absicherung der Server gar komplett außen vor lässt.
Wozu werden die von Steuergeldern bezahlt? Es ist und bleibt eine Schande.
Wundert mich irgendwie nicht. Ich hatte, da der hessische Datenschutzbeauftragte für die DB zuständig ist, vor etwa 2 Jahren dorthin geschrieben, als die physische BahnCard abgekündigt wurde und es nach Zwang zum DB Navigator aussah (was einem Google- oder Apple-Zwang gleichkommt). Ich bekam nie eine Antwort, was mir bei einer Behörde schon merkwürdig war.
Wortmeldungen auf Mastodon zeigten mir dann aber: kein Einzelfall. Man müsse, wenn man dorthin schreibe, sich genau auf bestimmte gesetzliche Regelungen berufen (welche, habe ich inzwischen wieder vergessen), um damit eine Reaktion einzufordern. Also Erzwingung einer Antwort überhaupt durch Benennung der Rechtsgrundlagen.
Komische Behörde dort. Da war Ulrich Kelber in seiner Berliner Behörde schon anders drauf…
Vielen Dank für den Hinweis!
Grundgütiger, der Herr war bereits 70 Jahre alt (1) als er das Amt 2021 übernahm! Dies in Verbindung mit dem auffällig behäbigen Vortrag in einem Podcast aus 2020 (2), lässt mich ernstlich zweifeln ob hier in der Amtsführung noch ein der Funktion gemässes Durchsetzungs- und Auffassungsvermögen erwartet darf. Der Amtsinhaber ist und war stets nur Jurist und nie Informatiker. Während seines Studiums hat er nicht einmal ein Nebenfach aus dem MINT-Kanon belegt! Wie geht das zusammen mit den hohen Anforderungen an technisches Verständnis, ohne welches vielschichtige, ubiquitäre Cloud-Technlogien und ihre rechtlichen und sozialen Implikationen gar nicht überblickt, geschweige denn verstanden, gestaltet und überwacht werden können?
_
(1) https://de.wikipedia.org/wiki/Alexander_Roßnagel
(2) https://www.youtube.com/watch?v=12BUF4bqymQ
Ich lasse es hier mal so stehen – die Diskussion sollte aber nicht ausgeweitet werden – (ich hatte hier ja bereits den Thread zu Danisch wegen ausufernder Diskussion gelöscht – es ist mit der Person, wie es ist, und wir können da nichts dran ändern (ob man es mag oder nicht). Zudem ist Dr. Rossnagel nur Leiter der Behörde, da dürften einige Jüngere tätig sein. Bei Juristen sieht es so aus, dass die Altersgrenze eher "weich" gezogen wird – in den USA sind Richter am Supreme Court auf Lebenszeit berufen.
Kernpunkt des Artikelthemas ist: Hilft die Aussage des HDBI den Anwendern von Office 365, ja oder nein? Wenn ich den Leser, der mir den Link schickte, richtig verstanden habe, braucht man ein Paper, um dem eigenen Datenschutzbeauftragten argumentativ den Wind aus den Segeln zu nehmen, wenn dieser einen MS365-Einsatz mit Hinweis auf die Entscheidung der DSK abbügelte.
| Hilft die Aussage des HDBI den Anwendern von Office 365,
| ja oder nein? […]
Um es kurz zu machen: Nein.
Begründung: Aussage einer in wichtigen Teilen fachfremden Person.
Dieses Manko durchzieht mittlerweile alle wichtigen Institutionen:
Kreißsaal — Hörsaal [Geschichte/Politik/Sozial/Jura … mit und ohne Abschluss] — Plenarsaal.
Es wäre wesentlich einfacher, technisch versierten Menschen die fehlenden juristischen Fähigkeiten beizubringen, als umgekehrt.
Ich möchte nicht viel weiter abschweifen, aber wenn ich mir Rat zu einem Thema einhole, dann achte ich schon darauf, von *wem*! Und man kann dieses Thema nicht rein juristisch betrachten, ohne die technischen Implikationen zu berücksichtigen. Das ist grob fahrlässig; und selbst rein juristisch steht seine Meinung auf extrem dünnen Eis.
"Um es kurz zu machen: Nein.
Begründung: Aussage einer in wichtigen Teilen fachfremden Person.
Dieses Manko durchzieht mittlerweile alle wichtigen Institutionen:
Kreißsaal — Hörsaal [Geschichte/Politik/Sozial/Jura … mit und ohne Abschluss] — Plenarsaal."
Dem ist nichts hinzuzufügen, und es fällt immer mehr Leuten auf…
Da hilft auch kein Diskretieren von unliebsamen Meinungen und Wegschauen nix ;)
Da kann ich durchaus mitgehen.
Damit hat er doch sogar recht: wer alles OnPrem fährt und in der Firewall alle Verbindungen zu MS kappt und auf solchen Scheiß wie KI verzichtet, kann ein Microsoft Windows und Office konform betreiben und es ist Sache des Users… ich sehe da keinen Widerspruch… Ich muss auch meine persönlichen Daten nicht überall verteilen!
Wer halt Cloud-KI und all den anderen Buzzword-Scheiß braucht, hat seine Datenhoheit doch schon lange selbst aufgegeben, warum sollte da dann der Staat also ein Aufhebens drum machen?
DU bist verantwortlich, nicht andere! Es liegt alleine in deiner Hand! Datenschutz fängt bei dir an.
Ich nutze Windows & Office sowohl privat (Offline-Konto) als auch geschäftlich (OnPrem) und mehr als die Lizenzierungsdaten hat MS da nicht, weil alles andere geblockt wird! (K)ünstliche (I)nkomepetenz nutze ich nicht. Cloud existiert als OwnCloud auf eigenen Systemen. Es geht, wenn man will. Wer natürlich Buzzword-getrieben ist und seinen Kopf nur dazu hat, damit es bei Regen nicht in den Hals schifft, hat verloren.
Vermissen oder Nachteile habe ich keine.
Geschäftspartner haben auch nur die notwendigen Daten: Name Anschrift Konto, alles keine Geheimnisse…
Um Microsoft 365 benutzen zu können, muss man mit einem Microsoft-Online-Konto eingeloggt sein.
Das ist ein wesentlicher Unterschied zu früheren Office-Versionen.
Wenn man mit der Firewall alles sperrt, dann funktioniert das Microsoft-Konto nicht mehr.
Mit so einem Microsoft-Konto kann man jede Firewall tunneln.
Außerdem gibt es das neueste Office nur noch als Abo und deswegen muss man regelmäßig seine Lizenz online überprüfen lassen, sonst wird es nach spätestens 180 Tagen deaktiviert.
Und warum ist das so? Weil die Leute es nutzen… Sowohl Windows wie auch Office gibt es noch rein OnPrem… selbst Schuld wer den "Always On" Shice nutzt. Also mein MS Office 2024 hat jetzt nix gegenüber MS Office 365 was ich vermissen würde und mein Win10 funktioniert mit Offline Konto auch einwandfrei. Hält so auch noch bis mind. 2032. Wie es danach aussieht wird man sehen. Office lässt sich leicht ersetzen Windows naja…
In der Firma bist du als Angestellter natürlich auf das Handeln des Cheffes angewiesen, wenn der jedem Hype nachhechelt wie ne läufige Hündin hast du da Pech… kann dir da aber ja egal sein: da hast du ja kaum bis keine eigene Daten drinn!
Also sind wir wieder bei der Eigenverantwortung… MS kann den ganzen Scheiß nur machen weil es genug dumb user gibt, die sich keine Gedanken über ihre Sicherheit & Privatsphäre machen… man muss nicht jedem Shice hinterherlaufen. Setzt halt voraus das man selbst denkt.
Es geht bei MS365 doch nicht um die Office Programme… Sie hatten im Business Kontext scheinbar noch keinen wirklich Kontakt damit, anders lässt sich der Kommentar nicht erklären.
Dass die "Verantwortung auf Nutzer abgewälzt" wird und der HBDI nur "kann DSGVO-konform eingesetzt werden" bestätigt, hat überhaupt nichts mit Microsoft 365 zu tun. Auch Nextcloud auf meinem eigenen Server ist nicht DSGVO-konform, wenn ich dort personenbezogene Daten hochlade und einen öffentlichen Freigabelink dafür im Fediverse poste.
richtig, aber nextcloud versucht nicht von sich aus die Daten abzuziehen!
Da ist Datenabgang dann "Eigene Dummheit"… was bei KI Cloud und MS anders ist, die sind hinter deinen Daten her wie Fliegen hinter Scheiße.
Wohl auch ein Grund warum viele Verantwortliche das bevorzugen, können sie doch die Schuld auf Andere schieben! Tja ist die Cloud, ist KI da kann man nix machen… doch man kann!
Das sind aber schon zwei wenn's, die ich aktiv als Nutzer tun muss, oder?
Natürlich. Der Punkt sollte nur sein: Es ist kein Malus, wenn der HBDI davon spricht, dass die Software DSGVO-konform eingesetzt werden "kann".
Mehr geht einfach nicht. Er kann nicht sagen, der Einsatz einer solchen Software ist garantiert immer DSGVO-konform, weil es immer auch darauf ankommt, was der Nutzer damit anstellt – siehe das Beispiel mit Freigabelink posten.
Ist halt wieder Mal eine Pressemitteilung einer Datenschutz Behörde. Wertlos für jeden.
Denn es ist kein Bescheid. Und sogar schon in der Überschrift wird relativiert mit "kann". Im Text dann noch mehr relativiert.. Niemand kann sich also weder positiv noch negativ darauf berufen.
Ordnet sich damit in die ewige Liste der sinnlosen Pressemitteilungen ein.
Klar dafür ist noch immer der positive Angemessenheits Beschluss der EU zum Datenexport in die USA.
Schön wäre zumindest wenn die Mitteilung eine sinnvolle Erklärung liefern würde "wie" man "kann".
War zu erwarten.
Microsofts Ruf hängt daran die einschlägigen Gesetze und Vorgaben einzuhalten.
Das man mit Datenschutz und Co zusammenarbeitet und Lösungen findet, war also abzusehen.
Wir haben ja in Deutschland nicht mal die strengsten Vorgaben.
Je nach Thema sind z.B. UK oder Australien teils schärfer.
Auch da passen die Services. Man schaue nur auf NHS.
Stand der Technik in der DSGVO ist gegeben… das wir in Deutschland eher nicht dafür aufgestellt sind?!?
Microsoft und Gesetze und Vorgaben in der EU einhalten?
Das wäre ja ein ganz neuer Zug von Microsoft!
Beispielsweise steht in den Lizenzbedingungen immer noch drin, das Volumenlizenzen nicht entbündelt werden dürfen. Dürfen sie aber lt. Grundsatzurteil des BGHs.
Oder das OEM-Lizenzen von der Hardware entbündelt werden dürfen. Auch das ist lt. BGH in Deutschland legal.
In die Lizenzbedingungen von Microsoft hat diese Rechtssprechung keinen Einzug gehalten.
Und den Zugriff von US-Diensten im Rahmen des Cloud Acts kann Microsoft nicht verhindern, denn sonst bekommen die in den USA ganz schnell mächtig Ärger. Das hat Microsoft in Frankreich auch offen zugegeben.
Selbst wenn Microsoft wollte: Microsoft kann sich auf Grund von US-Gesetzen gar nicht an die DSGVO halten und auch alle anderen US-Unternehmen nicht. Alle Abkommen von US-Unternehmen mit EU-Behörden und Firmen bzgl. Einhaltung der DSGVO sind also nicht das Papier wert, auf dem sie stehen.
Und ebenso ist das EU-US DPF ist das Papier nicht wert, auf dem es steht.
Denn lt. Cloud Act darf nicht über einen Datenzugriff der US-Behörden informiert werden. Das unterliegt strengster Geheimhaltung.
Ob sich die US-Behörden also an den EU-US DPF halten oder nicht wird man nie erfahren.
Da sitzt offenbar jemand nicht zufällig auf seinem Platz.
@Günter
Sind Links zu Danisch hier jetzt unerwünscht, oder warum ist mein ursprünglicher Beitrag verschwunden?
Ja, ich habe die Links zu Danisch gelöscht, weil a) die Diskussion inzwischen arg vom Thema abgedriftet ist, b) weil eine Diskreditierung der Person des HDBI in der Sache an sich nicht weiter hilft (die Stelle ist nun mal besetzt wie sie besetzt ist) und c) ich gelegentlich schon mal versuche, Beiträge von Danisch durchzulesen, regelmäßig aber feststelle, dass es nicht das ist, was ich im Blog verlinkt haben möchte (ist den meisten Kommentatoren aber auch bewusst, wenn sie einen Link auf Danisch hier posten und sie merken es a priority an – in wenigen Ausnahmefällen habe ich die Links dann stehen gelassen). Im aktuellen Fall habe ich nach mehreren Stunden der Überlegung die Notbremse gezogen und den gesamten Thread um die Person Dr. Rossnagel an sich komplett aus den Kommentaren gelöscht.
Einerseits kann ich Dich verstehen. Anderseits sieht es für mich so aus, als ob Du den Schwanz einziehst und mit "da kann man eh nichts machen" auch nicht wirklich für eine Besserung eintrittst. Das ist genau die Meinung der Millionen von Social Media, Google oder Apple Nutzern. Kopf in den Sand und nichts ören, nichts sehen und nichts sagen. Das bringt uns , den Datenschutz und die Gegenwehr gegenüber den Datenkraken und Diensten nicht weiter. Ich erwarte jetzt nicht, daß Du zum Aktivisten in einer Kampfgruppe wirst. BTW Falschbesetzungen von Ämtern können sehrwohl angeprangert und manchmal auch korrigiert werden.
Weil das ja aus der Privat- oder sogar "Nerd"-Community betrieben auch dauernd zum Erfolg führt?
Und ja, wem will man da auch eine evtl. sich einstellende Resignation anlasten wollen?
Das Leben hält auch andere energiezehrende Aufgaben bereit. 🤷♂️
In meinen Augen geht der Kommentar am Thema vorbei. Der Blog-Beitrag und meine Einschätzung des Sachverhalts stehen ja weiterhin öffentlich einsehbar hier im Blog.
Was ich gelöscht habe, war ein Subthread, wo es erst harmlos um die Person Dr. Rossnagel ging – und aus dem Kommentar "Fehlbesetzung" als persönliche Meinung hervorstach. Hätte ich stehen lassen und es stehen ja noch einige Kommentare der Art hier unter dem Beitrag.
Dann ist der Subthread aber abgedriftet, indem erst Links zu Danisch gepostet wurden und sich dann die Leute gegenseitig in den Kommentaren rund gemacht haben. Also habe ich die Reißleine gezogen und alles gelöscht. Hätte es einige Stunden früher schon machen sollen. Aber ich sitze nicht ständig hier am Rechner und schaue, was an Kommentaren eintrifft, bewerte diese a priori und lösche vorsorglich. Sondern ich schaue, wie läuft es weiter – und wenn dann ein Thead in meinen Augen total entgleist, greife ich ein. War leider mal wieder so ein Fall, wo Moderation keinen Spaß macht.
Ändert nichts an der Tatsache, dass sich der hessische Beauftragte für Datenschutz und Informationsfreiheit hier massiv in die eigene Tasche lügt.
Da kann ich persönlich ja durchaus mitgehen. Im Kommentar, auf den ich geantwortet hatte, ging es aber nicht darum, dass der HBDI sich "massiv in die Tasche lügt", sondern um den Vorwurf gegenüber mir als Blog-Betreiber, dass ich kneife, weil ich bestimmte Diskussionsstränge (aus für mich guten Gründen) gelöscht habe.
Hmm… weil er äußert, dass man das "könnte" und nicht sollte oder müßte?
Die Betonung liegt doch mit dem "kann" einfach nur auf der grundsätzlich bestehenden MÖGLICHKEIT und nicht, ob's sinnvoll oder praktikabel umsetzbar ist!
Und ja, vllt. stellt er das auch – wie bei (fast) allen politischen Akteuren vorkommend – interessenbasiert zu unverbindlich formuliert dar.
Es gibt keine solche Möglichkeit.
Wieso arg abgedriftet?
Wenn diese Position nun mal politisch besetzt wurde, wonach es ja aussieht, dann gehört das sehr wohl zum Thema – denn es geht ja schließlich auch noch um Kompetenz bei Stellenbesetzungen eines Datenschutzbeauftragten oder?
Den Beitrag von Christian Krause, der Danisch als Verschwörungstheoretiker und Querulant abstempelt, ohne Fakten zu liefern, lässt du aber erst durch, und meine Nachfrage an Herrn Krause wird gar nicht durchgelassen?
Was ist das für eine Intransparanz?
Zum Thema Danisch: Ja, er bzw. seine Inhalte und Ausdrucksweise sidn streitbar, keine Frage – dennoch deckt er regelmäßig Machenschaften auf, die der Normalo so vermutlich nie erfahren würde.
Wenn du sowas nicht im Blog haben möchtest, dann solltest du klare Regeln aufstellen, und jegliche Politikerwähnungen hier unterbinden, gerade wenn einem gewisse Darstellungen missfallen – sieht dann zumindest besser aus als im aktuellen Fall ;)
Der Rossnagel ist mittlerweile 75 und hat das Amt mit 71 übernommen.
Ich bezweifle das er in dem Thema echtes Fachwissen hat.
Er muss als Behördenleiter kein tiefes Fachwissen mehr haben, was die IT betrifft. Es geht um eine juristische Einschätzung, die im dümmsten Fall das Papier nicht wert ist, auf dem sie verfasst ist. Diese Diskussion führt hier keinen Deut weiter. Die Frage aller Fragen: Können Datenschutzbeauftragte und Administratoren mit dem Dokument, was der HDBI bereitgestellt hat, MS365 DSGVO-konform einsetzen und bleibt das für die absehbare Zukunft auch so – selbst wenn das Transatlantic Data Transfer Framework gekippt wird.
Günter du lenkst ab!
Hier verweisen genügend Leute auf die Fehlbesetzung dieser wichtigen Stelle, und begründen dies auch – diese Diskussion so abzuwürgen halte ich für schlechten Stil – dann darf man so eine Büchse nicht aufmachen.
Hier wurde es jetzt auch aufgeschnappt, aber dort darf man erst recht keine Hintergründe aufzeigen ;)
https://www.kuketz-blog.de/kommentar-papier-statt-kontrolle-microsoft-365-erhaelt-in-hessen-gruenes-licht-weil-die-aufsicht-ueberfordert-ist/
Die Sache ist einfach: Mein Blog, meine Entscheidung – am Ende des Tages halte ich die Knochen hin und hab dafür zu sorgen, dass der Blog ein bestimmtes Format für die Leserschaft bereitstellt.
Wenn jemand geschrieben hätte: "Dr. Roßnagel ist Jurist, IT-fachfremd, und inzwischen 75, eine Untersuchung in der Sache hat nachweislich nicht stattgefunden, alles sehr bedenklich und nichts wert", wäre es stehen geblieben. Der Grund, warum ich den Thread gelöscht habe, wurde von mir dargelegt – und der Artikel von Kollege Mike Kuketz, der m.W. beim Landesdatenschutzbeauftragten von BW arbeitet, arbeitet sich an Sachargumenten ab (die ich durchaus teile). Er benötigt keine Quellen wie Danisch zu einer bestimmten Person. Ein feiner Unterschied in der Diskussion – und damit bin ich aus der Diskussion raus.
Wenn ich es richtig verstanden haben, kommt die Datenschutzbehörde nur zu dem Entschluss, dass MS365 datenschutzkonform ist, da Microsoft hier einen eigenen Vertrag mit spezifischen Anpassungen für öffentliche Stellen bereitstellt.
Für normale Nutzer und Unternehmen wird Microsoft dies kaum umsetzen, sodass der Einsatz für diese weiterhin problematisch ist.
Es ist technisch nicht möglich, für niemanden, egal mit welchem Vertrag da wo wie was vernebelt wird. Siehe auch: Cloud Act.
Präzise erkannt
Noch viel schlimmer:
Öffentliche Stellen == Behörden/Ämter … und die kreisen hinsichtlich Daten nicht nur um sich selbst, die verarbeiten Firmen- und Bürgerdaten. Da kannst Du als Privatmann aufpassen wie Du willst — die Behörden konterkarieren das, indem sie personenbezogene Daten einfach so bei den großen Konzernen lagern und verarbeiten lassen.
Da kriegst Du Mails von einer Behörde, mit Vertraulichkeits-Disclaimer und allem Pipapo — aus der AWS-Cloud.
Ein Tollhaus.
Es ist schon schlimm genug, dass jedes Bundesland einen eigenen Datenschutzbeauftragten hat. In der Regel sind diese auch nicht immer einer Meinung. Was ist wohl die richtige Auslegung? Klar ist, dass M365 niemals verboten werden wird, da ansonsten sehr viele Unternehmen ein gravierendes Problem hätten. Wir haben ganz andere Probleme als Office365.
Und damit auch klar ist, dass das ganze "Office 365 DSGVO-konform" Thema ein einziges großes Schauspiel ist. Zumindest einigen ist das klar.
Korrekt!
Zitat laut Mike Kuketz auf seinem Blog (der Link wurde in den Kommentaren bereits erwähnt):
"Microsoft 365 kann laut hessischem Datenschutzbeauftragten datenschutzkonform eingesetzt werden – unter bestimmten Voraussetzungen. Mit passenden Nutzereinstellungen sei der Dienst datenschutzkonform nutzbar, heißt es. Das klingt nach gründlicher Prüfung, nach technischer Analyse der Dienste, nach einem tiefen Blick in Protokolle, Telemetrie und Datenflüsse. Nur: Genau das ist nicht passiert."
"Damit ist klar, was diese Aussage bedeutet: Die Aufsicht war technisch nicht in der Lage, Microsoft 365 zu prüfen – und bewertet den Dienst dennoch als grundsätzlich datenschutzkonform nutzbar. Das ist im Kern das Eingeständnis, dass die Behörde bei einem zentralen Cloud-Produkt eines der größten Softwarekonzerne der Welt auf Blindflug unterwegs ist – und trotzdem "grünes Licht" erteilt."
"Unser" Thüringer Datenschutzbeauftragter sagt ähnliches: "Ihr könnt M365 datenschutzkonform nutzen, wenn ich ein paar Einstellungen vorgenommen habe".
Frau Brorhilker ist sicher dem ein oder anderen aus dem Steuerhinterziehungsskandal bekannt.
https://www.handelsblatt.com/audio/crime/handelsblatt-crime-fruehere-cum-ex-chefermittlerin-anne-brorhilker-die-finanzbranche-leistet-sich-einen-unglaublichen-lobbyapparat/100175008.html
Hintergrund, warum ich das aufführe, im Rahmen des Podcasts wird klarer für Außenstehende, wie Behörden funktionieren.
Daraus kann man ableiten, dass leitende Personen oftmals das Wissen der Ebenen darunter nutzen.
Ich fand das sehr spannend.
Und… auch 70+ Personen können noch lernen.