Europäische Datenschutz-Aufsichtsbehörden und US-Clouddienste
Allein in Deutschland gibt es 18 Datenschutzaufsichtsbehörden (jedes Bundesland hat eine eigene, Bayern hat zusätzlich eine für öffentliche Stellen und die Bundes-Datenschutzbehörde), des Weiteren hat jedes europäische Land ebenfalls mindestens eine Datenschutzaufsichtsbehörde. „Viele Köche können den Brei verderben“ – das bedeutet, dass jede Aufsichtsbehörde eine eigene Meinung zu irgendeinem datenschutzrechtlichen Thema haben kann. Die Nutzung von amerikanischen Cloud-Diensten führt immer wieder zu Meinungsverschiedenheiten. Besonders Microsoft steht in der Kritik, dass z. B. bei der Nutzung von Windows 10 oder Office 365 zu viele Telemetriedaten übermittelt werden, und die Benutzer nicht steuern können, ob sie das wirklich wollen. Des Weiteren ist auch immer wieder die Datenübermittlung im Rahmen des U.S. CLOUD Acts ein kontrovers diskutiertes Thema.
Microsoft und die Telemetriedaten
Rückblick: Im Herbst letzten Jahres verhandelte der Zentraleinkauf für IT-Dienstleistungen aller niederländischen Behörden über die Nutzung von Microsoft Office 365, und führte in diesem Rahmen eine Datenschutz-Folgenabschätzung durch. Mit dem negativen Ergebnis, dass nach deren Ansicht durch die Nutzung der Microsoftprodukte zu viele Daten an Microsoft übermittelt würden. Auf Basis dieser Einschätzung (bemerkenswert, dass diese im Rahmen einer kaufmännischen Verhandlung über Lizenzpreise getroffen wurde) sicherte Microsoft bis Frühjahr 2019 eine Optimierung der Einstellungsmöglichkeiten zu. Diese wurde im März 2019 allen Benutzern zur Verfügung gestellt und kann über jedes Office-Produkt in den Kontoeinstellungen im Bereich Datenschutz geändert werden: Nach einer erneuten Datenschutz-Folgenabschätzung im Juni 2019 wurde eine Freigabe durch den Einkauf der niederländischen Behörden erteilt. Thema durch, oder doch nicht? Ein paar Tage später meldete sich der hessische Landesdatenschutzbeauftragte zu Wort und stellte fest, dass Microsoft Office 365 für Schulen nicht DSGVO-konform einsetzbar wäre, und weitete diese Meinung auch auf alle anderen Dienste von Google und Amazon aus. Also, was denn nun? Ich empfehle meinen Kunden eine pragmatische Vorgehensweise bei der Nutzung von US-Clouddiensten. Ja, es werden Telemetriedaten übermittelt, diese helfen Microsoft und im Umkehrschluss auch allen Kunden, die Produkte besser und sicherer zu machen. Wenn z. B. ein Fehler auf einem Rechner auftaucht, der an Microsoft gesendet wird, wird ein eindeutiger Schlüssel generiert, der diesen Rechner identifizieren kann.
Warum braucht Microsoft diese Information?
Microsoft hat meines Erachtens überhaupt kein Interesse an personenbezogenen Daten und wertet diese auch nicht aus, da Microsofts Geschäftsmodell auf dem Verkauf (Subscription) von Lizenzen basiert (bei anderen Herstellern wäre ich mir da nicht so sicher). Microsoft benötigt diese Information um rauszufinden, ob dieser spezifische Fehler tausend Mal auf einem Rechner oder auf 1.000 unterschiedlichen Rechnern auftritt. Und diese Erkenntnisse fließen dann in die Produktentwicklung ein. Somit also ein Vorteil für die Produktstabilität. Die Übermittlung aller Telemetriedaten kann entweder über die o. a. Einstellungen bzw. die Gruppenrichtlinien ganz oder teilweise unterbunden werden. Sicherlich nicht immer intuitiv, aber es ist möglich. Meiner Ansicht nach haben wir zwei Möglichkeiten: Die Aufsichtsbehörden verbieten Microsoft (und auch andere Clouddienste) und katapultieren die gesamte europäische Wirtschaft zurück ins Mittelalter oder Microsoft wird sich über einige Iterationen an die gewünschten Standards der Aufsichtsbehörden annähern. Ich gehe vom letzten Szenario aus und empfehle meinen Kunden daher: abwarten! Das wird sich schon alles richten, und irgendwann wird es zu einer einheitlichen, europäischen Meinung kommen, wie Microsoft DSGVO-konform eingesetzt werden kann. Interessant auch folgender Artikel zur Prüfung von Windows 10 durch das BfDI: https://www.datenschutzbeauftragter-info.de/der-bundesdatenschutzbeauftragte-im-lock-in-von-microsoft/ Anbei ein Link zu den empfohlenen Einstellungen in Windows 10 vom BSI: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/SiSyPHus/Analyse_Telemetriekomponente_1_2.html
Datenübermittlung nach dem CLOUD Act
Ein weiteres Thema ist die Datenübergabe nach dem U. S. CLOUD Act. Auch hier ist die landläufige Meinung, dass die Übermittlung von Daten im Falle eines Auskunftsersuchens durch US-Behörden auf Basis des CLOUD Acts gegen die DSGVO verstößt. Viele Kunden warten nun ab, dass Microsoft endlich ein Rechenzentrum in Deutschland eröffnet und meinen damit gegen den Zugriff durch US-Behörden geschützt zu sein. Sorry, leider nein. Ob die Daten in Deutschland oder Irland / Niederlande liegen, macht überhaupt keinen Unterschied. Warum viele Unternehmen überhaupt auf die Speicherung ihrer Daten in Deutschland warten, kann ich ehrlich gesagt nicht nachvollziehen. Einem Hacker ist es völlig egal wo die Daten liegen, Landesgrenzen schützen hier nicht mehr oder weniger. Zur Datenübermittlung auf Basis des CLOUD Acts hat sich nun der europäische Datenschutzausschuss (EDSA) geäußert, nachdem dieser vom EU-Parlament zu einer Stellungnahme aufgefordert wurde. Zitat aus der Pressemitteilung des BfDI: „In einer ersten Bewertung nimmt der EDSA die Position ein, dass – ohne ein neues Abkommen – eine rechtmäßige Übermittlung der Daten unmittelbar an die ersuchende Sicherheitsbehörde auf der Grundlage der DSGVO nur in sehr engen Grenzen möglich ist.“ und weiter „Sie (die Positionsbestimmung) betont die Notwendigkeit der justiziellen Zusammenarbeit und setzt einen Anreiz, Rechtskonflikte durch völkerrechtliche Abkommen zu klären, statt die datenschutzrechtliche Verantwortung auf die Privatwirtschaft abzuwälzen. Ziel muss es sein, solide Rechtsgrundlagen zu schaffen, die sich unseren Datenschutzvorschriften anpassen und nicht unsere Gesetze möglichst weit auszulegen, um entsprechende Datenübermittlungen irgendwie legitimieren zu können.“. Anbei der Link zum gesamten Artikel: https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2019/20_EDSA_CLOUDACT_Video%C3%BCberwachung.html Auch hier eine Ergänzung: Microsoft prüft all diese Anfragen – teilweise innerhalb weniger Minuten – nach deutschem, europäischen und US amerikanischem Recht. Vielen Auskunftsersuchen wird nicht stattgegeben. Eine Übersicht wird von Microsoft regelmäßig im Transparenzbericht veröffentlicht: https://www.microsoft.com/en-us/corporate-responsibility/lerr/ Bildquelle: Microsoft
Welche Maßnahmen sollten Unternehmen vor dem Einsatz von Microsoft Copilot für Microsoft 365 umsetzen, um eine sichere und datenschutzfreundliche Einführung zu ermöglichen.
Vor gut einer Woche hat Microsoft ein neues Data Protection Addendum veröffentlicht – ziemlich genau ein Jahr nach der letzten Aktualisierung. Ergänzend wurde Microsoft ein Transfer Impact Assessment veröffentlicht.