News Datenschutz-Aufsichtsbehörde: Teams und Zoom lassen sich nicht DSGVO-konform nutzen

[DerHotze]

@Sekorhex das war ein Beispiel.
Aber beweisen kannst du es nicht ohne alle Kassenzettel aufzuheben und jeder kann sehen wann du was gekauft hast.

@TNM
Der Unternehmer muss allerdings nur versichern die Daten der Nutzer nur zu Verbindungszwecken zu verarbeiten.

Damit ist auch schon alles getan, wenn jemand vermutet dass es nicht so ist, dann muss das bewiesen werden. Und zwar nicht vom Unternehmer!

Sollte es zu einem Audit kommen oder von einem Sachverständigen untersucht und Verstöße bestätigt werden, wäre die kacke am dampfen.

Warum ist das Wort von Microsoft weniger wert wie das eines Hotelliers oder einer beliebigen Webseite mit Cookies?

Da verlangt keiner Einsicht, aber jeder will wissen wie genau Microsoft seine Software Umsetzung gebaut hat.
Es muss meiner Meinung nach nicht alles (Software) veröffentlicht werden!

 

[h00bi]

Ich finde es sehr schade dass CB hier nicht zwischen Teams über o365 und kostenloses Teams unterscheidet.
Die Studie macht das und das ist auch wichtig.

Es ist nämlich ein himmelweiter Unterschied ob ich dafür bezahle und das nicht okay geht oder ob ich einfach sage ich akzeptiere das, weil ich dafür nicht bezahlen will.

Die DSGVO hat insofern versagt, dass die Leute, die mit Daten schindluder getrieben haben, das auch weiterhin machen. Nur die Unternehmer, die damit eigentlich gar nix am Hut haben und sowieso sauber bleiben wollen müssen sich nun um so viele Dinge kümmern und teure Betrater ranholen weil die DSGVO völlig undurchsichtig ist.

 

[Ferax]

Das ist nicht korrekt

Kannst du das auch belegen?
Wichtig ist allerdings auch, dass das lokale Recht angewendet wird.
Da haben wir bei MS ja ohnehin ein Thema.

 

[Autokiller677]

Wenn jemand eine Software entwickelt und komplett verschlossen hält, dann hat der jenige einfach was zu verbergen.

Ja. Sein geistiges Eigentum und seine Innovation in der Software.

Lebensmittelhersteller gehen ja auch nicht hin, und veröffentlichen ihr ganzes Rezept. Haben die jetzt deshalb auch alle Zyankali darein gemischt und wollen das nur verbergen? Oder wollen die einfach nicht, dass jeder das nachkochen kann?

Solang es kein Gesetz gibt, dass OpenSource zur Prüfung der Datenschutzeinhaltung verlangt, kann man MS nicht nur auf Basis von "ist ja Closed Source" Verletzungen des Datenschutzes vorwerfen.

 

[species_0001]

@Ferax
https://www.microsoft.com/de-de/microsoft-365/microsoft-365-local-datacenter
Dass die Daten physisch hier liegen darf man sicher als gegeben ansehen. Wer davon alles ne Kopie bekommt... wer weiß.

 

[Wishbringer]

@h00bi:
Ob die DSGVO versagt hat, oder "nur" die Unternehmen, die diese nicht korrekt umsetzen, ist in meinen Augen genau anders herum.
Vielleicht auch noch die unterbesetzten Aufsichtsbehörden, die den Fluten an Meldungen nicht nachkommen.
Aber auch die sind nicht schuld, wenn sie von der Regierung nicht entsprechend ausgestattet werden.

Wer nutzt einfach fremde Bilder und verwertet sie ohne Einverständnis?
Wer gibt ungefragt Daten weiter, erstellt Profile und schickt unaufgefordert Werbung?
Bei wem entstehen Datenlecks und die Betroffenen werden nicht informiert?

Dafür der DSGVO die Schuld zu geben, ist fast genauso, als würde man dem Paragraphen, "das Töten anderer Menschen ist nicht erlaubt", die Schuld dafür geben, dass Menschen ermordet werden.
Oder dem Gesetz vorwerfen, dass aufgrund von Personalmangel bei der Polizei nicht alle Fälle aufgeklärt werden.
=> Blödsinn!

Die DSGVO sorgt für eine Handhabe, dass die o.g. Verfehlungen verfolgt werden können.

 

[Ferax]

@Ferax
https://www.microsoft.com/de-de/microsoft-365/microsoft-365-local-datacenter
Dass die Daten physisch hier liegen darf man sicher als gegeben ansehen. Wer davon alles ne Kopie bekommt... wer weiß.

Deswegen schrieb ich lokales Recht.
Heute sagt der Standort leider weniger über das anliegende Recht aus.
Man könnte sagen auch das Eigentumsrecht ist da ... nunja.
Zugegeben ich habe es vorab mit dem Standort recht simpel formuliert.

 

[Foggle]

@Foggle diese Aussage kann ich leider nicht belegen, genau so wenig wie andersrum belegt werden kann dass da personenbezogene Daten übermittelt werden.

Die Aussage scheitert ja schon an der Definition von den erhobenen Telemetriedaten.

IP, Windows-Installations-ID/Seriennummern, Online(zwangs)konto machen Nutzer identifizierbar. Telemetriedaten fallen so viele an, da alles analysiert wird. Wenn da nichts personenbezogenes dabei ist wo man hinterfragen sollte, machst du entweder überhaupt nichts mit deinem Rechner (bist nicht mal im Internet unterwegs) oder du lebst gerne komplett gläsern.

 

[chithanh]

Warum ist das Wort von Microsoft weniger wert wie das eines Hotelliers oder einer beliebigen Webseite mit Cookies?

Da verlangt keiner Einsicht, aber jeder will wissen wie genau Microsoft seine Software Umsetzung gebaut hat.
Es muss meiner Meinung nach nicht alles (Software) veröffentlicht werden!

Weil der einzelne Hotelier nicht mit den Daten von tausenden oder gar Millionen von Bürgern hantiert. Die EU-Datenschützer haben ebenfalls davor gewarnt, Microsoft die Verantwortung für den Datenschutz zu übertragen.

Microsoft übernimmt Rolle als Datenschutzverantwortlicher

Rund 45.000 Mitarbeiter in EU-Einrichtungen inklusive der Datenschutzbehörde arbeiteten mit Produkten und Diensten aus Redmond, konstatieren die Kontrolleure. Bei einem Vertrag, der eine Datenverarbeitung in solch großem Maßstab und teils mit hohem Risiko unfasse, seien die betroffenen Personen erheblichen Gefahren ausgesetzt. Eine große Menge personenbezogener Daten könnte in einer Form verwendet werden, die der Auftragnehmer selbst festlege.

Dass sich Microsoft im November bereit erklärte, bei Großkunden wie den EU-Einrichtungen bei Cloud-Diensten wie Azure oder Office 365 selbst die Rolle des datenschutzrechtlich Verantwortlichen zu übernehmen, hilft laut Wiewiórowski wenig. Er warnt: In dem Maße, in dem der Auftragnehmer diese zusätzliche Rolle übernehme, werde die beschaffende Organisation nur sehr begrenzt in der Lage sein, ihn für seine Datenverarbeitung zur Rechenschaft zu ziehen. Die DSGVO lasse zudem eine solchen Outsourcing-Deal bei öffentlichen Behörden aufgrund der berechtigten öffentlichen Interessen des Verantwortlichen strikt genommen gar nicht zu. Jede EU-Institution sollte gerade bei Ausübung öffentlicher Gewalt als alleiniger Datenkontrolleur fungieren.

https://heise.de/-4836018

 

[nein danke]

Es hieß schon vor einiger Zeit, dass wenn sich die internationalen IT-Konzerne nicht an EU-Datenschutzregeln halten, weil für sie zum Beispiel USA-Regeln gelten (wie auch?), aber sie auch zu weit weg sind, um sie rechtlich zu belangen, dann wird der Zwang stattdessen auf indirektem Weg über die Nutzer ausgeübt. Das wurde öffentlich so angesagt. In Deutschland soll es wohl primär Behörden, Verwaltungen etc. betreffen, weil es dort relativ einfach ist, zum Beispiel MS Office per Vorschrift zu verbieten. Dann fiele bei Microsoft ein sicherer Umsatzanteil weg. Weiter gedacht - wenn auch die Kooperation mit den Hochschulen wegfallen würde, dann fiele bei vielen Heranwachsenden auch die Gewöhnung an das Gratis-Windows per Education Programm und co weg und damit die zukünftigen Nutzer. (Denn mal ehrlich, jeder der meinen sollte, dass er sich in Windows gut zurecht findet, der hat das in jahrlanger Arbeit irgendwie erlernt - auch mit den etlichen Macken umzugehen.) Microsoft wird wahrscheinlich trotzdem Wege finden, die Leine wieder zu spannen. Aber sicher ist das nicht.

Die andere Nutzergruppe für den Hebel könnten datenverarbeitende EU-Firmen sein. Diese können direkt finanziell belangt werden, wenn die Einschätzung lauten sollte, dass sie bekanntermaßen rechtswidrig handeln, wenn sie zusammen mit zweifelhaften Anbietern wie Microsoft, Zoom und co Daten verarbeiten.

Das Thema Telemetrie wurde vor nicht alzu langer Zeit auch schon diskutiert. https://www.computerbase.de/2020-02/windows-10-telemetriedaten-deaktivierbar/

 

[DerHotze]

einzelne Hotelier nicht mit den Daten von tausenden oder gar Millionen von Bürgern hantiert.

Marriott International
Datenleck 2018 betraf 500 000 000 Gäste

 

[chithanh]

@DerHotze die Bedenken der Datenschützer gehen nicht darum, was bei einem Datenleck/Sicherheitsvorfall rausgetragen wird, sondern was im ganz normalen Betrieb mit den Daten gemacht wird. Und das Problem war auch nicht der Hotelier, sondern der Dienstleister der 2016 zugekauft wurde (die Angriffe liefen seit 2014).

 

[DerHotze]

Der Punkt auf den ich raus wollte wäre eig. dass man den Unternehmen erst mal trauen muss!
Alles andere entscheidet eine Behörde, unabhängig und unbefangen.
Bedenken kann man melden und dann ist fertig!

Einige hier wollen dass Quellcode veröffentlicht wird.
Andere schimpfen auf MS ohne zu sehen dass es in anderen Bereichen mindestens genau so schlimm ist.

(der Dienstleister gehört zum Konzern, MS hat sicher auch so eine Abteilung)

 

[o0Julia0o]

Gelten die Testergebnisse der Datenschutzbehörde denn als gültig? Kann ich darauf stüzten?

Ich lese zu dem Thema folgendes: "Gleichzeitig macht die LDI NRW aber auch klar, dass eine solche Möglichkeit nur in sehr engen Grenzen besteht. Dazu gehört beispielsweise, dass die Schule Herrin der Daten ist. Das bedeutet, sie betreibt die Videokonferenzplattform entweder selbst oder nutzt einen Anbieter, der einen Vertrag zur Auftragsverarbeitung anbietet. Das ist am ehesten der Fall bei Anbietern aus Deutschland oder der EU."


Wie kann ich das überprüfen? -> "nutzt einen Anbieter, der einen Vertrag zur Auftragsverarbeitung anbietet." Was ist damit gemeint?

 

[DerHotze]

Wie kann ich das überprüfen? -> "nutzt einen Anbieter, der einen Vertrag zur Auftragsverarbeitung anbietet." Was ist damit gemeint?

Frag halt nach!
Art. 15 DSGVO

 

[cbtestarossa]

Was soll MS auch sagen. Sie sind in der Zwickmühle da USA.
Die Frage wäre nur was sie so an Daten ohne "Anordnung von aussen" abgrasen und verwerten.

Das nächste Problem generell sind geschwächte Verschlüsselung und der Wunsch auch Verschlüsselungen aufbrechen zu können.

Daten die zentral unverschlüsselt auf Servern liegen oder unverschlüsselte Komunikation zwischen 2 Servern kommt noch hinzu.

Ganz schlimm ist es bei Emails die zusätzlich auch noch unverschlüsselt abgerufen und gesendet werden können.

 

[o0Julia0o]

Was bedeutet denn einen Vertrag zur Auftragsverarbeitung anbietet? Wenn MS das der Schule anbietet, dann haben die Schüler und Lehrer als Nutzer von Teams das Recht diesen Auftragsverarbeitungsvertrag einzusehen? Oder kann die Schulleitung das einfach ablehnen?

 

[BeBur]

Was bedeutet denn einen Vertrag zur Auftragsverarbeitung anbietet?

Als der Vertrag an sich listet auf (alles ab jetzt 'as far as I know', bin da selber Laie), was wo wie mit pers.-bezogenen Daten geschieht und das muss natürlich zur Gesetzgebung passen.
So wie ich das bei uns mitbekommen habe war z.B. Zoom sehr entgegen kommend und konnte DSGVO-konforme Verträge anbieten wodurch z.B. auch der spätere Wegfall von Privacy Shield kein Problem war. Das heißt im Prinzip, dass dann nicht die "allgemeinen Nutzungsbedingungen" gelten, sondern eben andere ausgehandelte Bedingungen gelten. Wenn jemand davon spricht, dass Zoom nicht DSGVO-konform nutzbar ist, dann bezieht sich das immer auf die regulären Bedingungen, welche Zoom dir als einzelne Privatperson anbietet.

[Privacy Shield war eine Vereinbarung zwischen USA und EU in der es ebenfalls um genau sowas ging und das aber zwischenzeitlich vom EuGH einkassiert worden war.]


Soweit ich mich entsinne hat jeder das Recht, sowohl den Vertrag als auch alle über ihn gesammelten Daten einzusehen. Zusätzlich habe ich gehört, gelten für Schulen noch gesonderte, strengere Gesetze was pers.-bezogene Daten, Video und Co angeht.

 

[o0Julia0o]

Danke, über wen kann ich dieses Recht dann ausüben. Gegenüber Microsoft oder der Schulleitung oder dem Land?

 

[jonderson]

Also du kannst auf jedenfall Infos nach den Vertrag über das IFG abfragen.
fragdenstaat.de

Ansonsten sollte die Schule dein Ansprechpartner sein, da du mit ihr einen "Vertrag" hast.

Wenn du was dagegen hast, würde ich mal die Datenschutzbehörde deines Landes anfragen...