Nach zweijährigen Verhandlungen mit Microsoft hat der gemeinsame Ausschuss der deutschen Bundesdatenschutzbehörde und der 17 Landesregulierungsbehörden (DSK) eine Stellungnahme veröffentlicht, die im Wesentlichen besagt, dass Schulen und Behörden Microsoft 365 (MS365) derzeit nicht auf rechtmäßige Weise im Rahmen der DSGVO nutzen können. Das geht aus einer News des Mail-Anbieters Tutanota hervor. Eine Zusammenfassung der Stellungnahme der DSK ist als PDF verfügbar.
Anpassungen gefordert
Die DSK hat in ihrer Sitzung am 22. September 2020 eine Arbeitsgruppe unter Federführung Brandenburgs und des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) gebeten, Gespräche mit Microsoft aufzunehmen, »um zeitnah datenschutzgerechte Nachbesserungen sowie Anpassungen an die durch die Schrems II-Entscheidung des EuGH aufgezeigten Maßstäbe an Drittstaatentransfers für die Anwendungspraxis öffentlicher und nicht öffentlicher Stellen zu erreichen«.
Zwei Jahre verhandelt
Bei den zweijährigen Verhandlungen, in deren Rahmen 14 mehrstündige Videokonferenzen stattfanden, ging es in der Hauptsache um die beanstandete Erfüllung der Anforderungen von Artikel 28 Absatz 3 Datenschutz-Grundverordnung (DS-GVO), die besagt, der Auftragsverarbeiter, in dem Fall Miocrosoft, muss explizit bei der Erfüllung der Verpflichtungen des Verantwortlichen hinsichtlich der Betroffenenrechte (z.B. Auskunftsrecht) unterstützen.
Viele Punkte nicht ausreichend geklärt
Als Ergebnis hat Microsoft im September 2022 einen aktualisierten Datenschutznachtrag zu den Produkten und Services von Microsoft vorgestellt. Laut Abschlussbericht des DSK adressiert Microsoft damit einen Teil der Kritikpunkte des AK Verwaltung. Insgesamt konnte die Arbeitsgruppe in den vom AK Verwaltung benannten Kritikpunkten nur geringfügige Verbesserungen erreichen. Diese Feststellung wurde getroffen, da »Microsoft nicht vollumfänglich offenlegt, welche Verarbeitungen im Einzelnen stattfinden. Zudem legt Microsoft weder vollständig dar, welche Verarbeitungen im Auftrag des Kunden noch welche zu eigenen Zwecken stattfinden«.
Ausschlusskriterium
Dabei ging es um so wichtige Fragen wie die Löschung und Rückgabe personenbezogener Daten, Informationen über Unterauftragsverarbeiter und Datenübermittlung in Drittstaaten, Microsoft steht auf dem Standpunkt, eine Nutzung von Microsoft 365 ohne Übermittlungen personenbezogener Daten in die USA sei nicht möglich. Für Übermittlungen personenbezogener Daten in andere Drittländer als die USA existiert nicht einmal eine Bewertungsgrundlage.
Für Verwendung in Schulen derzeit nicht geeignet
Insgesamt kommt die Bewertung zu dem Schluss, dass eine Verwendung personenbezogener Daten der Nutzenden, etwa Lehrer oder Schüler zu eigenen Zwecken des Anbieters den Einsatz eines Auftragsverarbeiters im öffentlichen Bereich, insbesondere an Schulen, ausschließt. Microsoft sieht das naturgemäß allerdings anders. Matthias Pfau, Gründer des verschlüsselten E-Mail-Dienstes Tutanota sagt dazu:
Es ist unglaublich, dass amerikanische Online-Dienste über vier Jahre nach Verabschiedung der europäischen DSGVO diese weiterhin mit den Füßen treten. Offensichtlich nehmen große amerikanische Konzerne etwaige Beschwerden und auch Strafzahlungen in Kauf, da das Geschäftsmodell – »nutze meinen Service und ich nutze deine Daten« – extrem lukrativ für sie ist. Statt auf freiwillige Kooperation zu setzen, müssen hier viel härtere Konsequenzen gezogen werden; bspw. ganz andere Systeme in den Schulen zum Einsatz kommen. Linux mit LibreOffice ist zum Beispiel eine sehr gute Alternative, auf das Schulen und Behörden umgehend umstellen sollten. So lange Schulen und Behörden weiterhin Microsoft nutzen – wenn auch lokal installiert – sieht Microsoft offensichtlich keinen Grund, die europäischen Datenschutzregeln zu beachten.
Matthias Pfau, Tutanota
Microsoft heult rum:
https://www.golem.de/news/datenschutz-bei-office-365-kunden-muessen-funktionen-nicht-vollstaendig-verstehen-2211-170113.html
Tja es gibt eben langfristige Vertraege mit MS.
Das steht der open-source initiative fuer oeffentliche Stellen im Wege.
Ich glaube auch nicht das open-source gewollt ist, dem stehen ganz andere Interessen gegenueber.
Allenfalls wird dann soetwas wie suse oder redhat eingesetzt werden, was keinen all zu grossen Unterschied macht.
Wie kannst du bei deiner extremen Einstellung überhaupt noch Linux nutzen, wo doch der Kernel heutzutage fast gänzlich von »bösen« Unternehmen entwickelt wird?
🙂 naja es fehlt schlichtweg an einer Alternative.
Und das suse nunmal sehr sehr eng mit MS verbunden ist, ist ja kein Geheimnis.
🙂
Nee arbeitstechnisch arbeite ich ja auch im open-source Bereich schon über 20 Jahre. Alles gut.
Temple OS?
Diverse BSDs?
MS Office und Microsoft 365 hätte nie den Weg in öffentlichen Behörden und Schulen antreten dürfen.
Wenn ich hier lese, dass man zwei Jahre lang vergeblich Verhandlungen mit Microsoft führen muss, damit MS bitte bitte vielleicht endlich die Gesetze einhält, dann sagt das schon viel über die derzeitige Lage aus.
Freie Software in Behörden und Schulen ist ein absolutes Muss für eine demokratische Gesellschaft. Aber die Politik in diesem Lande scheint da andere Interessen zu haben.
Man will halt nichts ändern, weil das ja arbeit wäre. Sehe ich auch bei alten Leuten jetzt, denen das Geld ausgegangen ist und sich wundern das man kein Office 365 Abo braucht, wenn die mal LibreOffice oder Abiword gesehen haben. Und merken das kann man noch lernen, um einen Behördenbrief zu schreiben. (Für mehr brauchen die kein Office mehr) Da wird dann sofort gekündigt…
Wie gut, das es Alternativen gibt, wenn man schon auf Windows setzt, dann sollte man wenigstens auf freie Anwendersoftware setzen. Allerdings erfordert dies auch ein Umschalten in den Köpfen der Verantwortlichen.
Noch viel schlimmer: Diese Verantwortlichen Köpfe beeinflussen unsere Kinder maßgeblich. Da werden die Weichen gestellt. Ich habe zwei schulpflichtige Exemplare und muss viel kämpfen. Unglaublich was da auch ein Blödsinn verzapft wird und wie unwissend viele Lehrer sind. Ich möchte nicht alle über einen Kamm scheren und bin mir wohl bewusst wie schwierig die Situation ist.
Ich kann mich noch daran erinnern, wie ich anfänglich noch versucht habe, Leute davon zu überzeugen, das es gute alternativen gibt, ich habe es später dran gegeben, auch bei privaten Leuten. Ober während diverser Schulungsmaßammen, ich stieß meisten auf Unverständnis.
Ich bin auch sparsamer geworden, aber ich meinte vor allem Kämpfe innerhalb der Familie. Ich finde das ist der “kleinste gemeinsame Teiler”.
Da verdaut es so manche Schule einfach nur.