News Datenschutz-Aufsichtsbehörde: Teams und Zoom lassen sich nicht DSGVO-konform nutzen

[Madman1209]

Hi,

Sorry, aber das ist Blödsinn. Der Zugriff ist unabhängig von der Staatsangehörigkeit.

du hast von deinen eigenen Daten gesprochen, da darfst du natürlich zugreifen. Aber ein indisches Subunternehmen, dass auf Daten zugreift, die ich bei einem Auftragsverarbeiter in der Cloud liegen habe, ist nur mit Hürden überhaupt DSGVO-konform zu bekommen! Punkt!

Und ein onPrem Microsoft-Server in meinem RZ darf über einen entsprechend konfigurierten Zugriff auch von Drittstaaten betreut werden.

Nochmal: in deinem RZ kannst du machen was du möchtest, wenn es nur deine Daten sind. Wenn ich dir Daten anvertraue, die du hostest, sieht das völlig anders aus!

Geh doch einfach mal nicht davon aus, dass hier jeder seine Daten in einem RZ hostet sondern einfach von dem klassischen Fall: Microsoft Cloud Dienst. Ich zitiere mal:

Daher ist auch das bloße Speichern von Daten in einer Cloud aber auch das Übermitteln in Form des Einsichtgewährens im Rahmen von Fernwartungszugriffen als Datenverarbeitung von der DSGVO erfasst.

​

Um nun doch Daten in einem Drittland verarbeiten zu dürfen, muss dort ein angemessenes Datenschutzniveau bestehen. Jemand, ein Unternehmen, der für die Verarbeitung von Daten verantwortlich ist (=Verantwortlicher) muss also in zwei Schritten prüfen, ob er

a) überhaupt die Daten verarbeiten darf und

b) ob er diese in einem Drittstaat verarbeiten (lassen) darf.

Zu den Kriterien für ein angemessenes Datenschutzniveau zählen:​

• Gibt es eine unabhängige Datenschutzaufsichtsbehörde?​
• Gibt es auch für betroffene EU-Bürger ein wirksames und durchsetzbares Recht sowie wirksame verwaltungsrechtliche und gerichtliche Rechtsbehelfe, um ihre Datenschutzrechte wahrnehmen zu können?​

und wenn das nicht der Fall ist kannst du es nicht mit der DSGVO vereinbaren! Ganz einfach. Sofern nicht sichergestellt ist, dass ein angemessenes Datenschutzniveau in dem Drittland vorherrscht ist das nicht machbar!

Der Zugriff muss durch Maßnahmen entsprechend beschränkt sein.

niemand behauptet etwas anderes. Aber wenn in dem Land das Datenschutzniveau nicht angemessen ist spielt es keine Rolle, wie gut du die Daten absicherst, dann ist es nicht gestattet!

Also die Betonung lieg auf EINEN Zweck?

die Betonung liegt auf fest definierter Zweck und Zweckgebundenheit!

VG,
Mad

 

[united24]

Again und again:

Solange es ein US Unternehmen ist, unterliegt es dem Cloud Act. Und damit kann und darf der US Staat JEDERZEIT egal auf welche Art von Daten zugreifen, schnüffeln oder sonst dergleichen machen.
Es ist wie es ist. Es ist egal wo der US Dienst ausgeführt wird, bzw. Zwischengespeichert.
Das soll lediglich das suggerieren, man wäre ja zumindest mit den Daten in der EU.

Da aber sämtlicher IP Traffic über die USA läuft, ist alleine das schon ein Problem.

Aber darum geht es nicht. Es geht alleine um den US Cloud Act. Das ist der Dreh und Angel Punkt und hier hat man den sogenannten Freischein.

Und genau aus diesem Grund, gibt es diese Diskussionen. Nur hat man Angst in Europa, hier mal den Riegel vorzuschieben, weil die Unternehmen ja "angeblich" davon abhängig sind.

Email ist Email, genauso wie jede X-beliebige Konferenz Software.
Die Vorstand Idioten die noch weniger Ahnung, rennen halt dem Mainstream hinterher.
Man kann nur noch den Kopf schütteln, wie man in der EU sich so abhängig macht.
Egal ob Amazon, Google, MS, Apple usw.

Egal was der Trump ist, aber hier sieht man, welche Macht mittlerweile Plattformen haben und eine Person / Firma oder sogar ein Land mal schnell ausknipsen kann.

 

[Serana]

Ehrlich gesagt verstehe ich die ganze Diskussion nicht. Wer als Deutscher will, daß seine Daten im Ernstfall nur von den deutschen Behörden eingesehen werden können, der muß eben zu einem deutschen Unternehmen gehen dessen Server auch tatsächlich in Deutschland stehen. Wer als Japaner will, daß seine Daten im Ernstfall nur von den japanischen Behörden eingesehen werden können, muß eben zu einem japanischen Unternehmen mit Servern in Japan gehen. Das in jedem Land auf der Welt so. Kein Unternehmen wird es sich mit der Regierung an seinem Firmensitz ernsthaft verscherzen wollen.

Wenn ein z.B. österreichisches Unternehmen die Wahl hat sich entweder mit der Regierung in Wien zu verkrachen oder (bei Entdeckung) einen deutschen Datenschützer zu verärgern, wie glaubt ihr, wird sich das Unternehmen wohl entscheiden?

DSGVO und US Cloud Act hin oder her ist hier vollkommen egal. Wenn ihr als Deutsche wollt, daß eure Daten nur von der deutschen Regierung eingesehen werden dann geht zu einem deutschen Unternehmen mit Servern in Deutschland. Alles andere ist Selbstbetrug. Das mag dann zwar juristisch wasserdicht sein, hat aber in der Realität keinerlei Bedeutung.

 

[Madman1209]

Hi,

dann geht zu einem deutschen Unternehmen mit Servern in Deutschland. Alles andere ist Selbstbetrug.

dann muss aber eben zusätzlich sichergestellt sein, dass auch Fernzugriff und Wartung nur aus Deutschland erfolgt. Wieviele solche Firmen gibt es, die "durch und durch deutsch" sind, was das angeht? Ich kenne kaum welche...

VG,
Mad

 

[o0Julia0o]

Aber darum geht es nicht. Es geht alleine um den US Cloud Act. Das ist der Dreh und Angel Punkt und hier hat man den sogenannten Freischein.

Also verstößt MS Teams Educaition gegen ein Gesetz? Ich darf also gestrost die Nutzung ablehnen, wenn ich zur Nutzung gezwungen werde? Denn meine Stimme könnte irgendwo in den USA aufgezichnet werden?

Ehrlich gesagt verstehe ich die ganze Diskussion nicht. [...] DSGVO und US Cloud Act hin oder her ist hier vollkommen egal. Wenn ihr als Deutsche wollt, daß eure Daten nur von der deutschen Regierung eingesehen werden dann geht zu einem deutschen Unternehmen mit Servern in Deutschland.

Als Mitarbeiter, hat man ja nicht imme die Chance das bestimmen zu dürfen. Aber evlt. kann man sagen, man nutzt es nicht, das es gegen irgendein Recht verstößt.

 

[Zensai]

Da aber sämtlicher IP Traffic über die USA läuft, ist alleine das schon ein Problem.

Für die Aussage bist du noch immer einen Beleg schuldig. Wenn ich hier Exchange, Teams oder sonstwas anspreche, läuft das ausschließlich innerhalb der EU ab, wenn ich nicht explizit eine Replikation/Fallbackroute über ein anderes Datacenter habe.

 

[Serana]

@o0Julia0o
Es ging mir da weniger um den juristischen Aspekt, sondern mehr um die Wirklichkeit.

In der Theorie ist es z.B. für ein deutsches Unternehmen rechtlich absolut kein Problem mit einem französischen Unternehmen auch dann zusammen zu arbeiten, wenn es um Daten geht für die die DSGVO relevant ist. Du könntest dich bei einer eventuellen Weigerung also nicht auf rechtliche Bedenken berufen.

Wenn dieses französische Unternehmen aber vor dem Problem steht, daß sich der französische Geheimdienst DGSE für die Daten aus Deutschland interessiert und als Begründung die nationale Sicherheit in Stellung bringt, was glaubst du wohl wie sich dieses Unternehmen entscheidet? Entweder man verdirbt es sich mit dem DGSE oder riskiert (wenn auch nur im Fall der Entdeckung) Streit mit einem deutschen Datenschutzbeauftragten.

Die Frage ist immer, wer genau sich wo für welche Daten interessiert. Abhängig davon wer der jeweilige Interessent ist wird sich ein Unternehmen nicht unbedingt dafür entscheiden den Datenschutz hoch zu halten. Deshalb ist auch die Nutzung von hochwertiger Verschlüsselung so wichtig. Dann kann nämlich z.B. Google problemlos die in der Cloud gespeicherten Daten herausgeben. An einer vom Nutzer vorgenommenen Verschlüsselung (vorausgesetzt Algorithmus und Schlüssellänge taugen etwas) dürfte sich auch die NSA die Zähne ausbeißen. Google wäre auch außen vor, weil die ja durch die Verschlüsselung gar nicht wissen KÖNNEN was da für Daten gespeichert sind.

Ich will damit nicht sagen, daß man die DSGVO in die Tonne treten kann. Immerhin regelt sie in ihrem Geltungsbereich verbindlich was Unternehmen mit geschützten Daten machen dürfen und was nicht. Nur sollte man eben nicht die Zwangsvorstellung entwickeln, daß die DSGVO in jedem Fall vor Begehrlichkeiten staatlicher Akteure schützt.

 

[o0Julia0o]

In der Theorie ist es z.B. für ein deutsches Unternehmen rechtlich absolut kein Problem mit einem französischen Unternehmen auch dann zusammen zu arbeiten, wenn es um Daten geht für die die DSGVO relevant ist. Du könntest dich bei einer eventuellen Weigerung also nicht auf rechtliche Bedenken berufen.
Aber mit einem Unternehmen in den USA wäre das (Privady-Shild Abkommen) nicht möglich. Dann könnte ich mich als Mitarbeiter dagegen wehren.

An einer vom Nutzer vorgenommenen Verschlüsselung (vorausgesetzt Algorithmus und Schlüssellänge taugen etwas) dürfte sich auch die NSA die Zähne ausbeißen. Google wäre auch außen vor, weil die ja durch die Verschlüsselung gar nicht wissen KÖNNEN was da für Daten gespeichert sind.

Naja, baut nicht gerade Google an Quantencomputern. Also was bei der Entwicklung vom Coca-Cola-Rezept nocht nen sicherer Algorythmus für die Zukunft war, knackt heute jeder Taschenrechner. Und heute weiß man sogar, im Gegensatz zu früher, dass Google bald solche flotten Rechner hat.

 

[jonderson]

@o0Julia0o Eventuell hilft dir das hier:
https://netzpolitik.org/2021/microsoft-teams-oder-nichts/

Und insbesondere dieser Kommentar dazu:

Lieber Lukas, vielen Dank für Deine Schilderungen. Ich bin als betrieblicher Datenschutzbeauftragter in der Privatwirtschaft tätig, kenne aber ähnliche Schilderungen von Lehrerinnen und Lehrern an Schule in Baden-Württembergaus aus meinem privaten Umfeld. Lehrern (aber auch Eltern), die nicht einfach mitmachen, wird schon zu verstehen gegeben, wie sie sich zu verhalten haben. Bitte halte durch!

Du schreibst zum Thema Einwilligung. Hierzu folgende Ergänzung: Einwilligungen müssen freiwillig abgegeben werden und informiert erfolgen. Wenn sie nicht freiwillig sind und die betroffene Person nicht weiß, in was sie einwilligt, dann ist diese nicht gültig.

In Situationen wie der von Dir geschilderten ist fraglich, ob eine Einwilligung überhaupt freiwillig erfolgen kann. Das hat der Gesetzgeber gesehen, und in Erwägungsgrund 43 DSGVO klar gestellt: gegenüber Behörden oder wenn anderweitig ein Ungleichgewicht zwischen den Parteien besteht, kann eine Einwilligung grundsätzlich keine gültige Rechtsgrundlage darstellen! Denn diese wäre nicht freiwillig. Siehe https://dsgvo-gesetz.de/erwaegungsgruende/nr-43/

Außerdem stellt sich bei Microsoft Teams oder Microsoft 365 die Frage, ob denn überhaupt eine informierte Einwilligung eingeholt wird oder werden kann. Denn dazu müsste erst ein mal offen gelegt werden, welche Verarbeitungen mit welchen Daten erfolgt. Das macht Microsoft allerdings nicht. Was passiert mit den Daten? Keiner weiß es. Auch die Grund

Und natürlich kommt nun auch noch dazu, dass eine Übermittlung von Daten in die USA stattfindet. Dafür gibt es spätestens seit dem Urteil zu Schrems II des Europäischen Gerichtshofs keine Rechtsgrundlage mehr.

 

[o0Julia0o]

Office365-Einsatz wird vom LDI NRW nicht empfohlen:
"Wie sieht die datenschutzrechtliche Bewertung für den Einsatz von Microsoft Office 365 für den schulischen Einsatz in NRW aus? (55)
Von der LDI NRW ist mitgeteilt worden, dass ein bundesländerübergreifendes Verfahren zur datenschutzrechtlichen Beurteilung von Microsoft Office 365 stattfindet, das noch nicht abgeschlossen ist. Vor diesem Hintergrund konnte die LDI eine Verwendung von MS Office 365 bislang nicht empfehlen. Zudem hat der hessische Landesbeauftragte eine geänderte Stellungnahme vom 09.07.2019 für den Einsatz des Produkts in den Schulen veröffentlicht, in welcher er die Datenverarbeitung von Microsoft Office 365 im schulischen Kontext nun nicht mehr empfiehlt. Dies entspricht der Einschätzung der LDI NRW.

Stellungnahme des Hessischen Beauftragten für Datenschutz und Informationsfreiheit

Unter den geänderten Voraussetzungen ist daher die Verarbeitung von jeglichen personenbezogenen oder personenbeziehbaren Daten innerhalb von Microsoft Office 365 datenschutzrechtlich bedenklich.

Eine Verwendung von Microsoft Office 365 hinsichtlich der Verarbeitung personenbezogener Daten kann daher nicht empfohlen werden. An dieser Bewertung ändert auch die erneute Stellungnahme des hessischen Landesbeauftragten vom 02.08.2019 nichts, weil mit ihr lediglich eine weitere übergangsweise Bewertung für hessische Schulen getroffen wird unter gleichzeitiger Feststellung, dass die Zulässigkeit des Einsatzes von Office 365 noch nicht abschließend geklärt ist. Es wird empfohlen, in die Überlegungen einer Beschaffung und Nutzung von cloudbasierten Anwendungen den Umstand einzubeziehen, dass landesseitig mit LOGINEO NRW ein eigenes Angebot für die Datenspeicherung und den E-Mail-Verkehr beabsichtigt ist. Alternativ zu cloudbasierten Anwendungen wie Office 365 können auch Desktop-Anwendungen wie MS Office 2016 oder Libre Office genutzt werden."
Quelle: https://www.medienberatung.schulmin...fen-Datenschutz/FAQs-Datenschutz/Anwendungen/

Ist MS Teams for Education von Office365 denn zu trennen?