M365 (O365) Business nun DSGVO konform oder nicht?

Hallo,

ich denke du hast es richtig zusammengefasst.

Man muß halt der Firma das nötige Vertrauen schenken, um beruhigt schlafen zu können. Über ZeroTrust solltest du dann besser nicht nachdenken.

Ich sehe es so, dass jeder! der MS365 nutzt, nicht DSGVO konform handelt. Ist aber meine persönliche Interpretation.

Grüße

p.s Rechtschreibung ..!

Ja. Und gag-orders gibt es auch nicht und US-Firmen können nicht gezwungen werden Daten, egal wo sie liegen an die Homeland Security auszuliefern.

Träum weiter.

Solange die Rechtssituation sich in den USA sich nicht wesentlich ändert und alle außer US-Amerikanern als rechtlos gelten, solange sie sich außerhalb der USA aufhalten, sind solche Versprechen von us-amerikanischen Firmen nichts Wert.

lks

Im März 2024 hat die Europäische Datenschutzbehörde (EDSB) festgestellt, dass die EU-Kommission gegen Datenschutzregeln verstößt, weil sie selbst Microsoft 365 nutzt. Das betrifft mehrere Teile der EU-Datenschutzverordnung für Institutionen (Verordnung 2018/1725).

Siehe dazu auch:

• EU Commission breached data protection rules using Microsoft 365, EU watchdog found und
• European Commission’s use of Microsoft 365 infringes data protection law for EU institutions and bodies.

Microsoft 365 ist laut EU-Datenschutzbehörde aktuell nicht DSGVO-konform.

Der EDSB hat beschlossen, dass die EU-Kommission ab dem 9. Dezember 2024 keine Daten mehr an Microsoft und seine verbundenen Unternehmen in Ländern außerhalb der EU/des EWR schicken darf, ohne dass es dafür einen Beschluss gibt.

Microsoft hat bis Dezember 2024 Zeit, um DSGVO-konform zu werden.

Andernfalls wird der Einsatz von Microsoft 365 innerhalb der EU-Grenzen in Verwaltungen, Agenturen, Kommunen, Schulen etc. sehr schwierig, wenn nicht gar unmöglich.

Das kommt meiner Meinung nach auf die genutzten Dienste und auf das Ergebnis der durchgeführten DSFA an. Es ist immer eine Einzelfallbetrachtung.

Allgemein dürfte es wohl trotz EU Data Boundary, EU-U.S. Data Privacy Framework, ... eher schlecht aussehen.

Grundsätzlich betrifft dies alles, was mit Microsoft 365 zu tun hat, einschließlich des Betriebssystems Windows 10 oder 11. Denn dort lässt sich die Übertragung von Metadaten (Microsoft nennt sie Diagnosedaten) nicht komplett abschalten. Dabei werden personenbezogener Daten übertragen.

Also soweit mir bekannt ist der aktuelle Zustand wieder auf "alles böse".
Unsere Datenschutzaufsicht urteilt aktuell aber noch nicht, da sich der Zustand gefühlt alle paar Monate zwischen "akzeptabel" und "böse" ändert.

Aber selbst wenn es bei "böse" bleibt, so kann der Datenschutz nur eine Empfehlung abgeben, verantwortlich sind andere.

P.S.: Wenn die Amis wieder einen raushauen beim nächsten Präsidenten, dann gibt's sowieso wieder ein paar aufregende Jahre.
Ganz unabhängig von MS365 und der DSGVO.

Grüße
ToWa

Moin,

Genau. Und das verbleibt so lange, wie ein US-amerikanisches Unternehmen von den USA aus Zugriff auf Daten in Europa hat, weil es nach amerikanischem Recht zum Datenabgreifen und Weiterleiten an amerikanische Behörden gezwungen werden kann. Sprich: ein Rechenzentrum in Europa hilft da kein bisschen.

Ja, tatsächlich ist das so. Es wird nur nicht geahndet, weil es "jeder" nutzt, v.a. aber auch die Staaten selbst.

Nein, nicht wird, sondern ist.

Meiner Meinung nach sieht das anders aus. Der Zustand ändert sich nicht. Es gibt schlicht kein Akzeptabel. Das spricht nur niemand aus (jedenfalls niemand mit Änderungsmacht).

Was es aber gibt, ist eine rein faktische Machtpolitik. Die Datenschutzbehörden verweigern ihre Arbeit, denn sie sind zwar auch für Beratung zuständig, v.a. für Sanktion. An dieses Thema wagt sich nur niemand heran. Würde konsequent durchgegriffen, hätten zu viele mächtige Personen - siehe oben, z.B. die Kommission - keine Mails mehr.

Es ist seit Beginn der DSGVO einhellige Meinung, dass ein Transfer von Daten außerhalb des EU-Gebiets allenfalls dann erlaubt sein kann, wenn am "Zielort" ein vergleichbares Datenschutzniveau herrscht. Das gab es in den USA nicht, das gibt es in den USA nicht und das wird es dort genau so wenig geben, wie eine Abschaffung des Rechts auf Waffenbesitz. Dafür sind die Strukturen schon zu festgefahren.

Die USA waren daher für eine Datenverarbeitung von Beginn an raus. Aber weil amerikanische Unternehmen eben gezwungen werden können, Daten in ihrer Zugriffsmacht (aber außerhalb des US-amerikanischen Staatsgebietes) "heimzuholen" und weiterzuleiten, kann es auch keinen DSGVO-konformen Betrieb mit amerikanischen Cloudunternehmen geben.

Weil aber niemand die Phantasie hat, wie man die - als unverzichtbar bei den meisten eingestuften - amerikanischen Dienste ersetzen oder DSGVO-konform einbinden kann, werden schlicht irgendwelche Krücken (safe harbor und Nachfolger) geschaffen, die mit Blick auf das Ergebnis ("wir wollen aber die Dienste nutzen können") zusammengezimmert werden - und bisher richtigerweise vom EuGH ein um das andere Mal verworfen wurden.

Dass Microsoft selbst sich als "DSGVO-konform" einstuft, vermag nicht zu wundern. Dabei wäre ein DSGVO-konformer Betrieb von vielen MS-Diensten ja unproblematisch - einfach alle Verbindungen zur Cloud kappen, fertig. Doch auch das ist nicht gewollt, hier von der Wirtschaft. Und da ist Microsoft leider nicht alleine... Und die EU als großer Wirtschaftsraum wiederum ist den wirtschaftlichen Teil selbst schuld. Es verbietet ja niemand, richtig gute Alternativen zu beispielsweise den Office-Produkten oder Teams zu schaffen (bei Exchange wird die Luft da schon dünner, wenn es um richtig große Organisationen geht...).

Und dass dann die vielen Anwender draußen die Cloud-Produkte nutzen, wenn es keine Sanktion gibt (sondern nur ab und zu aufflammende Diskussionen), vermag auch nicht zu wundern (aus Anwendersicht gibt es ja auch wirklich viele interessante, arbeitserleichternde Dienste). Das führt dann zu einer selbstverstärkenden Wanderung in die Cloud. Je mehr Cloud-Produkte eingesetzt werden, umso schwieriger wird der Weg zurück und zugleich steigt die Masse an Usern an. Das wiederum führt dazu, dass Politiker es als problematisch und wählerfeindlich empfinden, die doch so arg wichtigen Produkte und Dienste zu sanktionieren, weil dann die eigene Wirtschaft betroffen ist....

Gruß

DivideByZero

Moin.

Das es MS technisch relativ problemlos möglich sein dürfte, die in Europa oder gar explizit in DE gehosteten Daten einzusehen und im Zweifel auch in ein anderes Land zu transferieren, sollte jedem klar sein. Viel schlimmer finde ich jedoch, dass die Buben in Redmond ihren Laden nicht mehr im Griff und komplett den Überblick über ihre Online-Welt verloren haben.

Allein die drei bekannt gewordenen Einbrüche in Azure, M365/O365 und ein offen im Internet erreichbarer SharePoint, auf dem u.a. auch Zugangsdaten _im Klartext!_ abgelegt waren, lassen nur einen Schluß zu: Selbst wenn die Daten in EU/DE gehostet werden und dort verbleiben - irgendwer liest seit geraumer Zeit mit. Das komplette MS-Cloud-Universum ist m.M.n. als kompromittiert zu betrachten.

Cheers,
jsysde

Moin @firefly,


das geht sehr wohl, also die komplette Abschaltung der Übertragung von Metadaten, aber nur bei den Enterprise Versionen von W10 und W11. 😔

Gruss Alex

Hallo

Ein anderer Aspekt ist, dass der Admin der MS 365 "betreibt" für die Rechtsverstösse von MS "haftet".
Auch wenn der Mitarbeiter nicht in der IT arbeitet. D.h. als Fachmann bestimmte Aufgaben in MS 365 übernommen hat. Wir haben das Anfang Jahr in einer Firma mit gegen 10'000 Ma mit der Rechtsabteilung diskutiert. Bis jetzt ist IMO noch kein solcher Fall bekannt. Aber die Rechtsabteilung hatte diese Möglichkeit nicht ausgeschlossen.

www.dr-datenschutz.de/folgen-von-datenschutzverstoessen-im-angestelltenverhaeltnis/
www.rosenthal.ch/downloads/Rosenthal-M365-Anwaltskanzlei.pdf

Wenn das in der Praxis geschehen sollte, ohne das der Mitarbeiter bewusst / nicht geschult / etc. gegen den Datenschutz verstossen hat, dann hat MS in Europa ein Problem...

Beste Grüsse

Solange das EU-U.S. Data Privacy Framework aus 2023 durch ein neues "Schrems-Urteil" nicht als unzureichend aufgehoben wird, solange besteht für die Unternehmen Rechtssicherheit und „Arbeitsruhe“ (passende Implementierungen vorausgesetzt).

Das bedeutet natürlich nicht, dass ggf. SVK, TIAs und weitere Risikoabwägungen obsolet sind.

Hallo

Alles ist solange sicher, bis es zu einer Anklage kommt und ein Richter ein Urteil fällt.
Siehe Facebook in Irland.

Ich habe nur das geschildert, was mein aktueller Kenntnisstand dazu ist.

Beste Grüsse

Für die reine Datenübermittlung (sozusagen "Storageort"=USA) kann das in Betracht kommen, für eine komplexe Anwendung wie MS365 nicht, denn der sog. Anwendungserlass und das Privacy Framework regeln Fragen der reinen Datenübermittlung, also die Frage, ob überhaupt Daten dahin fließen dürften (und solange der EuGH nicht wieder eine Kehrtwendung macht, wie gerade bei der Speicherung von IP-Adressen, ist eigentlich absehbar, dass ein Schrems III-Urteil folgen wird...). Es regelt nicht, ob eine Grundlage für den Inhalt und die Art der Erhebung der Daten gegeben ist, und gibt in diesen Bereichen auch keine Rechtssicherheit.

Sprich: Tracking durch den Hersteller, Auswerten der in die USA übermittelten Daten in den USA durch Dritte - solche "Anwendungsfälle" sind datenschutzrechtlich mit den USA nicht machbar, auch nicht mit Privacy Framework.

Aber genau das Privacy Framework ist halt ein wunderbares Beispiel dafür, warum wir im Alltag bei "kleinen" Datenschutzverstößen von Strafen hören, bei den wirklich großen Anbietern und deren Kunden aber nicht: denn die Kommission will auf Biegen und Brechen mit Blick auf das Ergebnis den vollen Datenaustausch mit den USA. Und daher gibt es auch keine flächendeckenden Sanktionen.

Man könnte ja noch diskutieren, ob man das will, oder eine Mehrheit entscheidet sich dafür (Kommission+Parlament) und die Minderheit hat das hinzunehmen. Aber es ist halt paradox, in der EU eine gesetzliche Regelung zu schaffen, die im transatlantischen Bereich einfach ignoriert wird.

Zum Thema Tracking ergänzend: da würden auch keine Einwilligungen aller Mitarbeitenden und Geschäftspartner helfen. Denn eines der großen Fragezeichen bei Microsoft sind Art und Umfang der Telemetriedaten, die nicht dokumentiert und veröffentlicht sind. Selbst die europäischen Staaten erhalten darauf keine vollständige Antwort (jedenfalls, soweit man das in der Presse lesen kann). Damit ist auch keine geeignete Einwilligung denkbar.

Gruß

DivideByZero

Die praktisch relevantere Frage für Unternehmen ist, ob ihre zuständige Aufsichtsbehörde einen Datenschutzverstoß feststellen würde. Das kann bei richtigem Vorgehen praktisch ausgeschlossen werden, da Microsoft bislang ein zu bewegliches Ziel ist. Der dem Beschluss der DSK von 2022 zugrundeliegendeSachverhalt hat keine zwei Monate gehalten.
Es ist auch keine Motivation der Datenschutzbehörden erkennbar, Anwender zu sanktionieren, sondern man möchte offensichtlich die besagte Bewegung vorantreiben und steuern.

Neben der Vereinbarung des aktuellsten AVV ist nach der derzeitigen Beschlusslage bzgl. des Cloud-Act auch eine TFA bzw. ein Äquivalent vorzuhnehmen. In dem steckt die eigentliche Arbeit für den Verantwortlichen, weil Microsoft als Zuständiger für eine solche TFA wenig trasparent ist. Angesichts des von der DSK geforderten Prüfungsmaßstabs spielt das formell zwar keine Rolle - der Verantwortliche führt de facto eine TFA durch. Aber die Ergebnisse lesen sich aufgrund der nötigen Annahmen und Spekulationen meist nicht allzu überzeugend.

Hallo

Ich bin kein Jurist, habe jedoch wie so viele ab und an damit zu tun.
Wenn 2024 ein Office 365 Verantwortlicher einer grösseren Firma von der eigenen Rechtsabteilung in einem offiziellen Hearing erfährt, dass die Rechtssicherheit nicht 100% geben ist, dann nehme ich das Ernst.
Unabhängig wie viele "Copy & Paste" Infos hier eingebracht werden.

Ein Artikel von 19. April 2024 einer Fachsite fasst es wie folgt zusammen
Wer glaubt, mit dem Data Privacy Framework (DPF) sei nun alles im Datenschutz bei Nutzung von Microsoft 365 und vergleichbaren Diensten geklärt, der irrt sich. Das zeigt auch eine aktuelle Entscheidung des Europäischen Datenschutzbeauftragten (EDSB).
Quelle

Dieser FAZ Artikel"Ein gallisches Dorf gibt es noch" von 20.2.2024 ist hinter der Paywall.

Speziell unter Berücksichtigung, dass die
- USA in den letzten Jahren immer unberechenbarer agiert
- Thierry Breton EU steht den US Präsidenten im Streben nach Macht in Nichts nach
- KI Entscheide automatisch fällt
-- überprüft von schlechtbezahlten Externen aus der dritten Welt

Der Jurist Max Schrems hat mit einer Klage vor dem EuGH erreicht, dass das Safe Harbor Abkommen aufgehoben wurde. Es gibt weitere Beispiele, wo eine erfolgreiche Klage die Rechtssituation plötzlich änderte.
Ein vergleichbare rechtliche Diskussion ist ja bei LLM Modellen und den Trainingsdaten am laufen. "Sicher" ist da - IMO - gar nichts. Erst Recht nicht in europäischen Ländern ausserhalb der EU. Das als Antwort auf die Frage des TN.

Nur zur Erinnerung: EU ist nicht Europa. Europa hat es und wird es noch lange geben, nachdem die EU als Notiz in den Geschichtsbüchern abgelegt ist...

Beste Grüsse

Das nächste Problem könnte sich auch aus den beiden Ausdrücken "gesichert" und "nicht gesichert" ergeben.

Wenn wir mal unterstellen, dass "vermutlich" die Daten in den USA unsicher sind, bedeutet dieses "vermutlich" eben automatisch auch noch nicht "rechtlich gesichert unsicher".

Hallo -WeBu-

Da hast Du Recht. Gerade bei Juristen ist die Wortklauberei Pflichtfach.

Persönlich finde ich es einfach unangenehm, dass Menschen Ihre Arbeit gemäss Weisungen erledigen. Jedoch nicht zu 100% sicher vor einer massiven Anklage stehen. Datenschutz Verletzungen ziehen empfindliche Strafen nach sich.

Zweitens ist es auch hier eine Frage der Bürokratie, die Geld und Nerven hat. Für kleinere Betriebe eine laufend erhöhte Belastung. Auch in der Schweiz, die weniger unter Bürokratie leidet als in der EU / DE kenne ich persönlich Betriebe / Bauern / etc. die auf Grund der zunehmenden Formulare und Anforderungen irgendwann entnervt aufgaben. In der Region haben in den letzten 22 Jahren mehrere Bäckerei Betriebe aufgegeben bzw. haben fusioniert.

Wenn Betrieb mit geringer Marche jetzt auch noch umfassende Anwaltsmandate stemmen müssen, nur um Word / Excel / Outlook zu betreiben, ist das nicht wünschbar. Hier macht es aus meiner Sicht Sinn auf "MS 365" zu verzichten und einmalige Lizenzen zu nutzen.

Last but not least:
Es ist die Unsicherheit ("Damklos Schwert") die belastet...

Beste Grüsse

@PeterGyger
Wichtig ist mE zuallererst zwei Unterscheidungen zu treffen:

a) Ist ein Gesetz / Verordnung "rechtwidrig", sprich, ist das was die EU / der jeweilige Gesetzgeber als Gesetz beschlossen hat mit einem übergeordneten oder einem kollidierenden Recht nicht vereinbar. Solange dies nicht festgestellt wurde ist jeder diesem Recht Unterworfene "haftungsfrei", sofern er dieses Gesetz befolgt.

b) Setze ich als einem Gesetz Unterworfener dieses nicht vollständig in dem Sinne um, dass es in meinem Kontext (Scope) als erfüllt betrachtet werden kann.

Durch das nach dem Schrems II-Urteil neu aufgelegte Abkommen zwischen EU-USA kann zumindest auf dieser Basis im Sinne von a) und b) davon ausgegangen werden, dass einem Unternehmen keine schuldhafte Verletzung des Datenschutzrechts unterstellt werden kann, solange kein neues Schrems-Urteil ergeht und das Unternehmen sich an den aktuell gültigen Rechtsrahmen hält.

Es ist und bleibt keine Aufgabe von Unternehmen den Rechtsrahmen selbst in Frage zu stellen, sondern nur insofern, wie dieser für einen selbst umgesetzt werden muss und sich dafür ggf. zusätzlicher fachlicher juristischer Beratung zu bedienen.

Es ist auch mir kein Fall bekannt, dass ein Unternehmen vor den Schrems-Urteilen zu einer Strafe verdonnert wurden, da sie sich an das geltende Gesetz gehalten haben. Nach den Schrems-Urteilen gab es in der Tat eine Unsicherheit, ob daraus quasi adhoc ein Rechtsverstoß gegeben sei, da der Rechtsrahmen in Teilen aufgehoben wurde. Gleichzeitig wurde im Urteil betont, dass durch zusätzliche Maßnahmen sehr wohl ein angemessenes Schutzniveau erreicht werden konnte.

Im Grunde also genau das, was auch der Bundesdatenschutzbeauftragte dazu ausführt:
https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Europa-Internationales/Au ....

Hallo MayBeSec

Bist Du ein Bot oder ein Uni Referent?
Deine Antworten lassen nur eine der zwei Möglichkeiten offen.

Ich habe Dir die u.a. die offizielle Einschätzung einer relevanten Fachzeitschrift vom 19. April 2024 zitiert.
Darüber hinaus habe ich in einem Beispiel gezeigt, wie ein richterliches Urteil ein fundamentales Rechtskonstrukt wie "Safe Harbor" eliminiert hat.

Wenn ich in der Rolle des Fragenden wäre, würde mich Dein dozieren keinen Schritt weiter bringen.

Kann ich Dich wie z.B. Morpheus (Online Präsenz) offiziell zitieren und den Rechtsexperten als seriöse Quelle weiter empfehlen? Für den TN der diese Frage hier stellt ist die Verlässlichkeit Deiner Info sicher ein wichtiger Faktor.

Beste Grüsse

Ich zitiere Deinen zitierten Artikel in der Fachschrift:

"Nach seiner Untersuchung hat der EDSB festgestellt, dass die Europäische Kommission bei der Nutzung von Microsoft 365 gegen mehrere wichtige Datenschutzvorschriften verstoßen hat. In seiner Entscheidung legt der EDSB Korrekturmaßnahmen, die die EU-Kommission umsetzen muss, fest."

Was genau verstehst Du denn nicht an "Korrekturmaßnahmen", damit die vom EDSB festgestellten Mängel behoben werden?

Was genau ist denn jetzt der Widerspruch zu Deinem zitierten Artikel und meiner oben geäußerten Feststellung, dass nämlich bei korrekter Umsetzung des aktuell gültigen Rechts sehr wohl ein auf die USA bezogener datenschutzkonformer Betrieb möglich ist?

Der ganze Artikel listet ja geradezu die Themenfelder auf, die beachtet werden müssen um eine aus Sicht der Datenschützer sauber Implementierung hinzubekommen.

Vielleicht wäre es also angebrachter anstatt ad hominem mich anzugreifen, den Artikel und die darin genannten Handlungsfelder schlicht umzusetzen. Dann klappt's auch mit der DSGVO und M365.