Microsoft im Clinch mit Datenschützern - CIO

mscopcopcop.blogspot.com

Laut deutschen und europäischen Datenschutzbehörden sind viele cloudbasierte Microsoft-Produkte nicht DSGVO-konform nutzbar.
Foto: Alberto Garcia Guillen - shutterstock.com

Videokonferenzsysteme wie Microsoft Teams oder Zoom boomen dank Corona. Dadurch geraten sie auch in den Fokus der datenschutzrechtlichen Aufsichtsbehörden. Die Berliner Aufsichtsbehörde hat nun die Ergebnisse (PDF) ihrer Kurzprüfung von Videokonferenzdiensten veröffentlicht, die sich vor allem auf die Ausgestaltung der Auftragsverarbeitungsverträge konzentrierte. Das Fazit: Kaum einer der geprüften Videokonferenzdienste kann nach Ansicht der Behörde datenschutzkonform eingesetzt werden. Insbesondere bei Microsoft Teams hat die Behörde zahlreiche Mängel im Auftragsverarbeitungsvertrag von Microsoft identifiziert.

Microsoft Teams ist fester Bestandteil von Microsoft 365Microsoft 365 (ehemals Office 365) und unterliegt deren Bestimmungen hinsichtlich Online Services Terms und Auftragsverarbeitungsvertrag (Data Processing Agreement, DPA). Das führt dazu, dass es zum jetzigen Zeitpunkt laut der Behörde nicht möglich ist, die cloudbasierten Versionen von Word, PowerPoint und weiteren Produkten sowie Microsoft Azure rechtskonform zu nutzen. Alles zu Office 365 auf CIO.de

Obwohl MicrosoftMicrosoft die Nutzungsbedingungen erst kürzlich überarbeitet hatte, enthalte der Auftragsverarbeitungsvertrag noch immer unklare und widersprüchliche Regelungen und weiche damit von den gesetzlichen Mindestanforderungen ab. In diesem Zusammenhang kündigte die Behörde auch an, die bemängelten Punkte besonders berücksichtigen zu wollen, wenn sie Unternehmen überprüfe. Vor diesem Hintergrund sollten vor allem Unternehmen mit Sitz in Berlin, die cloudbasierte Videokonferenzsysteme und Microsoft 365 einsetzen, untersuchen, inwiefern sie selbst nachbessern oder vorerst auf den Einsatz verzichten können. Alles zu Microsoft auf CIO.de

1. Google Meet
   Google Meet ermöglicht web-basierte Video- und Telefonkonferenzen. In der ab Mai verfügbaren Gratisversion erlaubt der Dienst Konferenzen mit bis zu 100 Teilnehmern mit einer Dauer von maximal 60 Minuten - diese Einschränkung tritt aber erst ab Oktober 2020 in Kraft. Wie die meisten Google-Dienste ist Meet für Google Chrome und andere Browser auf Chromium-Basis konzipiert und funktioniert hier ohne Plugins. Daneben sind mobile Anwendungen für Android und iOS verfügbar.
2. Facebook Messenger Rooms
   Mit Messenger Rooms können Nutzer direkt von Messenger oder Facebook aus einen Konferenzraum einrichten und bis zu 20 - später 50 - Teilnehmer zu einem Videotelefonat einladen - auch wenn sie kein Facebook-Konto haben. Eine zeitliche Begrenzung gibt es nicht. Die Teilnahme ist via Smartphone oder PC über den Browser möglich und erfordert laut Facebook keine Downloads. Nutzer der Messenger-App haben allerdings Zugriff auf diverse AR-Effekte (z.B. Hasenohren) und neue KI-gestützte Funktionen wie immersive 360-Grad-Hintergründe und stimmungsvolle Beleuchtung.
3. Skype
   Als wohl bekanntester VoIP-Dienst bietet Sype auch eine Reihe von Video-Chat- sowie Videokonferenz-Funktionen. Skype for Business wurde inzwischen von Microsoft durch die Teams-Plattform ersetzt.
4. Teams
   Der Nachfolger von Lync und Skype for Business ist kein alleinstehendes Produkt, sondern ein Teil der Microsoft Office 365 Suite. Allerdings ist Teams kostenlos verfügbar und eignet sich mit bis zu 300 Mitgliedern für kleine Unternehmen. Auch Gastzugang sowie Einzel- und Gruppen-Videotelefonate, Bildschirmfreigabe sind an Bord.
5. Google Duo
   Google Duo ist als kostenloses Videotelefonie-Tool in erster Linie für Privatanwender konzipiert. Die maximale Anzahl der Teilnehmer wurde in der Android- und iOS-App erst vor kurzem von acht auf zwölf Personen erhöht und soll laut Google weiter steigen. Duo steht als Web-Applikation für PC, Mac und Chromebook sowie als Mobile App für Android- und iOS-Geräte zur Verfügung.
6. Jitsi Meet
   Eine einfach nutzbare Lösung für Videokonferenzen, die aber dennoch viele Funktionen anbietet, ist Jitsi Meet. Die kostenlose Lösung basiert auf dem offenen WebRTC-Standard und kann auf dem PC direkt und ohne Registrierung im Browser (Chrome) genutzt werden. Für Smartphones und Tablets stehen Apps (Android, iOS) bereit.
7. Whereby
   Kostenlos für Videokonferenzen mit bis zu vier Teilnehmern ist der norwegische Dienst Whereby (früher appear.in). . Die Lösung ist WebRTC-basiert, das heißt, die Gäste können sich einfach und ohne Registrierung über den Browser zuschalten. Optional stehen Apps für Android und iOS zur Verfügung.
8. Tinychat
   Nach erfolgter Registrierung bietet das kostenlose Tinychat die Möglichkeit schnell und bequem eine neue Video-Konfernez zu eröffnen. Hierzu muss lediglich einen neuer "Room" erstellt und die generierte URL an die Konferenzteilnehmer verschickt werden.
9. Lifesize
   Lifesize bietet Unternehmen, die von der Coronavirus-Epidemie betroffen sind über einen Zeitraum von sechs Monaten kostenlose Lizenzen an. Meetings und Anrufdauer sind unbegrenzt - dabei steht die Lifesize-Lösung sowohl für Desktops, als auch für Mobilgeräte zur Verfügung.
10. Zoom
    Zoom positioniert sich als einer der führenden Anbieter für Videokonferenzen. Das Tool zeichnet sich in erster Linie durch die einfache Nutzung und ein attraktives Freemium-Angebot aus: Bereits mit der kostenlosen Version sind Videokonferenzen mit bis zu 100 Teilnehmern möglich.
11. GoToMeeting
    LogMeIn hat seine Videokonferenzsoftware GoToMeeting Ende 2019 komplett überarbeitet und neue Funktionen implementiert. Unter anderem funktioniert die Lösung nun im Browser via WebRTC sowie über Desktop- und Mobile-Apps. Die Abopläne beginnen bei 10,75 Euro pro Monat und Host für die Professional-Version.
12. WebEx
    Cisco bietet WebEx im Zuge der Coronavirus-Pandemie bis auf weiteres kostenlos an. Zeitlich unbegrenzte Meetings mit bis zu 100 Teilnehmern, HD-Video, Audio-Einwahl, persönlicher Konferenzraum, Bildschirmfreigabe auf Desktop- und Mobilgeräten, sowie 1GB Cloud-Speicher und Aufzeichnungen sind inklusive.

In einer Stellungnahme von Microsoft zu dem Urteil der Datenschützer widerspricht der Konzern der Behörde deutlich. Microsoft sei überzeugt, dass die Produkte im Allgemeinen und auch Microsoft Teams im Speziellen datenschutzkonform eingesetzt werden könnten. Dabei geht Microsoft im Detail auf die einzelnen Kritikpunkte ein. Insbesondere die Mängel im Auftragsverarbeitungsvertrag seien hauptsächlich auf Übersetzungsfehler zurückzuführen.

Dabei kritisiert Microsoft auch, dass sich die Behörde nicht mit den von Microsoft zur Verfügung gestellten Informationen beschäftigt hätte und daher zu einem falschen Ergebnis gekommen sei. Gleichzeitig scheint Microsoft auf der eigenen Einschätzung zu beharren und die von der Aufsichtsbehörde bemängelten Punkte nicht nachbessern zu wollen.

Bei diesem Streit trägt letztendlich der Microsoft-Kunde das Risiko. Er ist datenschutzrechtlich dafür verantwortlich, wenn der Auftragsverarbeitungsvertrag nicht den gesetzlichen Anforderungen genügt. Einen ausreichenden Nachweis zur Datenschutzkonformität wird der Kunde wohl nicht erbringen können.

Parallel zur Berliner Aufsichtsbehörde hat auch der europäische Datenschutzbeauftragte Microsoft-Produkte und -Dienste überprüft, die von EU-Institutionen genutzt werden. Das Ergebnis veröffentlichte er nun in einem knapp 30 Seiten langen Bericht (PDF), der auch für Unternehmen interessant ist. Er kritisiert im Wesentlichen die folgenden fünf Punkte:

1. Eigenständige Verarbeitung durch Microsoft: Microsoft behalte sich nach den eigenen Bestimmungen für Online-Dienste das Recht vor, die Parameter der Auftragsverarbeitung und deren vertraglichen Verpflichtungen zu ändern und selbst zu definieren. Hiermit verlasse Microsoft in unangemessener Weise die Rolle als Auftragsverarbeiter und werde selbst zum Verantwortlichen.

2. Fehlende Kontrollmöglichkeit über Unterauftragsverarbeiter: Die Microsoft-Kunden hätten weder die Kontrolle darüber, wer als Subunternehmer in Bezug auf die Auftragsverarbeitung eingesetzt wird, noch bestünden entsprechende Prüfungsrechte gegenüber den Unterauftragsverarbeitern.

3. Internationaler Datentransfer: Die Microsoft-Kunden könnten nicht vollständig nachvollziehen, wo die eigenen Daten gespeichert werden. Damit verbunden sei das Risiko einer unrechtmäßigen Offenlegung der Daten. Teilweise fehle es ferner an geeigneten Garantien, die den internationalen Datentransfer DSGVO-konform absicherten.

4. Datenerhebung durch Microsoft (Diagnosedaten): Indem die Cloud-Produkte teilweise eigenständig Daten erheben und an Microsoft übermitteln, fehle es an der notwendigen Transparenz der Dienste. Dies hatte im vergangenen Jahr auch das niederländische Ministerium für Justiz und Sicherheit im Rahmen seiner Datenschutz-Folgenabschätzung für Microsoft Office 365 festgestellt.

5. Intransparente Verarbeitung: Es gebe keine ausreichende Klarheit über Art, Umfang und Zweck der Verarbeitung sowie über die Risiken für die betroffenen Personen. Somit könnten die Kunden ihren Transparenzverpflichtungen gegenüber den Betroffenen nicht vollständig nachkommen.

Für diese Punkte gab der Datenschutzbeauftragte den europäischen Institutionen Handlungs- und Lösungsempfehlungen an die Hand, um sie zu beseitigen. Bestimmte Mängel könnten durch entsprechende Konfiguration der Produkte behoben werden. Andere wiederum sollten mit Microsoft ausgehandelt werden.

Was können Microsoft-Kunden also tun? Es wäre möglich darauf zu verzichten, Microsoft-Produkte einzusetzen. Dabei handelt es sich allerdings um eine theoretische Lösung, denn die Produkte sind in vielen Fällen Marktstandard. Alternativ können Microsoft-Kunden versuchen, Anpassungen an den Vertragsbedingungen von Microsoft zu erreichen. Inwiefern für den Großteil der Kunden überhaupt Verhandlungsspielraum hinsichtlich der Ausgestaltung der vertraglichen Grundlagen besteht, ist allerdings fraglich. Diese Option besteht aber wohl nur, wenn der jeweilige Kunde eine ausreichende Marktmacht hat, um Anpassungen mit Microsoft verhandeln zu können.

Als weitere Option könnte der Kunde versuchen, anstelle einer Auftragsverarbeitung eine andere Rechtsgrundlage für die Datenübermittlung an Microsoft fruchtbar zu machen. Dies läuft allerdings auf eine Einzelfallprüfung hinaus, die in der Praxis kaum zu leisten sein wird. Schließlich kann der Kunde stellvertretend für Microsoft einen Rechtstreit führen. Dann wird sich zeigen, ob die von Microsoft vorgebrachten Punkte ein Gericht überzeugen.

Die Einschätzung der Berliner Datenschutzbehörde und des europäischen Datenschutzbeauftragten mag sachlich richtig sein. Tatsächlich hilft diese Erkenntnis dem einzelnen Unternehmen jedoch nicht. Wie Betriebe sich verhalten können, um die Anforderungen der DSGVODSGVO umzusetzen, bleibt völlig offen. Zu hoffen bleibt, dass Microsoft Anpassungen an den Vertragsbedingungen vornimmt und die kritisierten Punkte schnell behebt. Um weitestgehend datenschutzkonform zu handeln, sollten Unternehmen bis dahin beim Einsatz von Microsoft 365 jedenfalls die in dieser Checkliste aufgeführten Punkte beachten. (jd) Alles zu DSGVO auf CIO.de

July 17, 2020 at 10:45AM
https://ift.tt/2B68Jx9

Microsoft im Clinch mit Datenschützern - CIO

https://ift.tt/2VKQNzf
Microsoft Deutsch

Bagikan Berita Ini