Diskussion zum Einsatz von Microsoft Office 365
Mit Bewunderung verfolge Ich die laufende Diskussion zum Einsatz von Microsoft Office 365.
Die Datenschutzkonferenz des Bundes und der Länder (DSK) hat am 22. September mit knapper Mehrheit beschlossen, dass derzeit "kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich ist".
Sie folgte damit einer Bewertung ihres Arbeitskreises Verwaltung vom 15. Juli. Dieser hatte über ein halbes Jahr lang geprüft, ob die Datenschutzbestimmungen und Online-Geschäftsbedingungen für das Cloud-basierte Softwarepaket mit Artikel 28 der Datenschutz-Grundverordnung (DSGVO) zur Auftragsdatenverarbeitung vereinbar sind.
Dies ist nach Ansicht der Aufsichtsbehörden nicht der Fall. Wer die Cloud-Variante etwa von Word, Excel oder Powerpoint nutzt, handelt demnach nicht rechtskonform.
Die Datenschützer selbst waren sehr gespalten
Die Datenschützer selbst waren sehr gespalten, der Urteil fiel mit einer Stimme Mehrheit. Darauf hin startete ein "Schlagabtausch" zwischen den Anhänger und Gegner von Microsoft. Ein Kommentar stellt die Königsfrage: wie nutzt man Windows und Office denn jetzt DSGVO konform?
"...Wir erhalten im Betrieb jährliche Unterweisungen durch unseren Datenschutzbeauftragten, deren Teilnahme wir signieren müssen (normalerweise bekommt man für Schulungen umgekehrt Teilnahme-Bescheinigungen).
Wir sollen die Systeme so konfigurieren, dass keine Daten nach Amerika abfließen können.
Seit 5 Jahren fehlt dazu aber die entsprechende Anleitung bzw. Umsetzung durch den Betrieb. Und seit 5 Jahren lautet seine Antwort dazu "Ja Herr Binse, ich weiß das ihre Frage noch nicht beantwortet ist. Ich melde mich sobald ich mehr dazu weiß". Direkt danach weist er nochmal darauf hin, dass wir alle für Verstöße private haftbar gemacht werden können. So eine scheinheilige Scheiße!"
https://www.heise.de/forum/heise-online/Kommentare/Datenschuetzer-uneinig-ueber-Microsoft-Office-365/Wie-nutzt-man-Windows-und-Office-denn-jetzt-DSGVO-konform/posting-37537837/show/
Die Beurteilung seitens Datenschützenkonferenz bring meiner Ansicht nach folgende Komplikationen mit.
Das wichtigste - es geht nicht nur um Microsoft Office365. USA generell werden von EuGH als "unsicheres Drittland" eingestuft. Die auffälligsten Beispiele der Gefahr für den Datenschutz sind Telemetrie-Daten bei jedem modernen Microsoft-Produkt, Aufbewahrung von Personenbezogenen Daten im Cloud (Stichwort "Cloud Act") und die Möglichkeit, unauffällig Ihre Daten abzuzweigen (Stichwort "Lawful Interception").
Was das bedeutet?
Die Telemetrie-Daten werden z.b. von Windows aus verschlüsselt übertragen. Es ist unbekannt, was versendet wird. Daher macht es keinen Sinn, ein LibraOffice Paket auf Windows 10 zu betreiben - Ihre Daten können genau so gut abfließen wie von Microsoft Office selbst.
Die Aufbewahrung von personenbezogenen Daten in einem sicherem "europäischem" Microsoft (Amazon, Google usw.) Cloud in Frankfurt am Main kann gegen "Cloud Act" nichts bewirken. Alle amerikanische Unternehmen sind verpflichten, den unauffälligen Zugang zu den Servern zu verschaffen, sogar wenn die in Frankfurt am Main stehen und europäische personenbezogene Daten beinhalten (oder insbesondere?).
Darüber hinaus bietet entsprechende Netzwerktechnik (z.B. Cisco) Möglichkeiten, den Traffik durch "lawful interception" an dem gegebenen Device unauffällig für den Kunden abzuzweigen. Entsprechend handelt es sich um amerikanischen "Law", nicht nur europäischen.
Immer noch, es steht jedem persönlich frei, Microsoft Office365 zu haben. Sobald man damit, ohne eine Genehmigung zu bekommen, fremde personenbezogenen Daten verarbeitet, z.B. Bilder oder bestimmte Emails, handelt man eigentlich rechtswidrig.
Die Wahrscheinlichkeit, von Landesdatenschützen dafür belangt zu werden, halte Ich für nicht existent.
Die zweite Stufe - ein Selbständiger. Hier kommt es auf das Bundesland an, die Aufmerksamkeit von Datenschützen ist nicht auf kleinere Unternehmen gerichtet (noch). Solange eine Abmahnwelle ausbleibt, hat man genug Zeit sich umschulen zu lassen
Bei einem kleinerem Unternehmen landen Mitarbeiter-Konten im Microsoft-Cloud. Nicht mal eine schriftliche Genehmigung seitens Mitarbeiter zu Datenverarbeitung in "unsicheren Drittländern" befreit das Unternehmen von eigenen Pflichten nach DSGVO. Also, solange man keinen Streit mit einem aussteigenden Mitarbeiter hat, sollte man eigene IT Landschaft überdenken. Je nach Bundesland hat man mehr oder weniger Zeit zu handeln.
Etwas schwieriger gestaltet sich die Situation bei vielen Unternehmen, die Kundendaten verarbeiten, die als personenbezogen eingestuft werden.
Hier soll man leider auch interne Kontrollmechanismen so transparent gestalten, dass im Falle einer Kundenanfrage entsprechende Geschäftsprozesse klar dargestellt werden können und die Daten auf Kundenwunsch auch entfernt werden könnten (zumindest theoretisch).
Klar, solche Anfragen könne eigentlich nur von IT-affinen Kunden und deren Anwälten kommen , um so schwieriger wird es im Streitfall.
Besondere Härtefälle werden Business-Anwendungen darstellen, die auf .NET Framework programmiert sind und nicht auf ein anderes Betriebssystem umgestellt werden können. Und ein Grenzfall stellt die Verarbeitung von "besonders sensiblen" personenbezogenen Daten, wie z.B. im Falle eines Pflegedienstes.
Es ist mir durchaus bewusst, wie stark der Einfluss von amerikanischen IT Unternehmen in der Welt ist. Und genau hier liegt die Chance, da das Angebot immens umfangreich ist und sehr vieles bietet. Nur wegen fehlenden Marketing-ausgaben sind solche Lösungen weniger bekannt und verbreitet.
Vollkommen unrealistisch, morgen von jemanden eine "saubere" IT Landschaft zu verlangen. Genau so wenig können Datenschützen eine generelle Richtlinie, gleich für alle Unternehmen, vorschreiben.
Nichtsdestotrotz gibt es durchaus allgemein sinnvolle Schritte, um nach vorne zu kommen:
- Analysiert eigene Daten. Wo und wie werden Daten aufbewahrt und verarbeitet? Sind die personenbezogen oder nicht? Stellen die evtl. ein kommerzielles oder technische Geheimnis dar?
- Ist es möglich, eine Verschlüsselung und wirkungsvolle Zugriffskorntroll- Mechanismen zu implementieren? In vielen Fällen bedeutet es eigene Infrastruktur
- Was in welche Reihenfolge soll auf sichere IT Lösungen umgestellt werden? Oft sollte man nicht mit Offce-Notebooks sondern mit einem OpenLDAP Server statt Active Directory anfangen. Auch Jitsi statt Teams kann durchaus eine Alternative bieten.
- Wer kann sichere Alternativen für die bestehende Geschäftsanwendungen anbieten. Solange SAP Aktien auf NASDAQ gehandelt werden und Telekom von T-Mobile in USA profitiert, würde Ich es nicht als sichere alternativen Betrachten. So eine Umstellung benötigt mindestens 2-3 Jahre und kann daher sorgfältig geplant werden
Einige mir bekannte Großunternehmen setzen bereits seit Jahren eine Strategie "weg von Microsoft-Monopol. Es wird Zeit für weitere Schritte, obwohl die Zeit- und Kostenintensiv ausfallen werden.