News Datenschutz-Aufsichtsbehörde: Teams und Zoom lassen sich nicht DSGVO-konform nutzen

Status
Neue Beiträge in diesem Thema müssen von einem Moderator freigeschaltet werden, bevor sie für andere Nutzer sichtbar sind.

DerHotze

Ensign
Dabei seit
Okt. 2014
Beiträge
214
@Sekorhex das war ein Beispiel.
Aber beweisen kannst du es nicht ohne alle Kassenzettel aufzuheben und jeder kann sehen wann du was gekauft hast.

@TNM
Der Unternehmer muss allerdings nur versichern die Daten der Nutzer nur zu Verbindungszwecken zu verarbeiten.

Damit ist auch schon alles getan, wenn jemand vermutet dass es nicht so ist, dann muss das bewiesen werden. Und zwar nicht vom Unternehmer!

Sollte es zu einem Audit kommen oder von einem Sachverständigen untersucht und Verstöße bestätigt werden, wäre die kacke am dampfen.

Warum ist das Wort von Microsoft weniger wert wie das eines Hotelliers oder einer beliebigen Webseite mit Cookies?

Da verlangt keiner Einsicht, aber jeder will wissen wie genau Microsoft seine Software Umsetzung gebaut hat.
Es muss meiner Meinung nach nicht alles (Software) veröffentlicht werden!
 

h00bi

Fleet Admiral
Dabei seit
Aug. 2006
Beiträge
14.625
Ich finde es sehr schade dass CB hier nicht zwischen Teams über o365 und kostenloses Teams unterscheidet.
Die Studie macht das und das ist auch wichtig.

Es ist nämlich ein himmelweiter Unterschied ob ich dafür bezahle und das nicht okay geht oder ob ich einfach sage ich akzeptiere das, weil ich dafür nicht bezahlen will.

Die DSGVO hat insofern versagt, dass die Leute, die mit Daten schindluder getrieben haben, das auch weiterhin machen. Nur die Unternehmer, die damit eigentlich gar nix am Hut haben und sowieso sauber bleiben wollen müssen sich nun um so viele Dinge kümmern und teure Betrater ranholen weil die DSGVO völlig undurchsichtig ist.
 

Autokiller677

Admiral
Dabei seit
Jan. 2009
Beiträge
7.397
Wenn jemand eine Software entwickelt und komplett verschlossen hält, dann hat der jenige einfach was zu verbergen.
Ja. Sein geistiges Eigentum und seine Innovation in der Software.

Lebensmittelhersteller gehen ja auch nicht hin, und veröffentlichen ihr ganzes Rezept. Haben die jetzt deshalb auch alle Zyankali darin gemischt und wollen das nur verbergen? Oder wollen die einfach nicht, dass jeder das nachkochen kann?

Solang es kein Gesetz gibt, dass OpenSource zur Prüfung der Datenschutzeinhaltung verlangt, kann man MS nicht nur auf Basis von "ist ja Closed Source" Verletzungen des Datenschutzes vorwerfen.
 

Wishbringer

Captain
Dabei seit
Juli 2002
Beiträge
3.168
@h00bi:
Ob die DSGVO versagt hat, oder "nur" die Unternehmen, die diese nicht korrekt umsetzen, ist in meinen Augen genau anders herum.
Vielleicht auch noch die unterbesetzten Aufsichtsbehörden, die den Fluten an Meldungen nicht nachkommen.
Aber auch die sind nicht schuld, wenn sie von der Regierung nicht entsprechend ausgestattet werden.

Wer nutzt einfach fremde Bilder und verwertet sie ohne Einverständnis?
Wer gibt ungefragt Daten weiter, erstellt Profile und schickt unaufgefordert Werbung?
Bei wem entstehen Datenlecks und die Betroffenen werden nicht informiert?

Dafür der DSGVO die Schuld zu geben, ist fast genauso, als würde man dem Paragraphen, "das Töten anderer Menschen ist nicht erlaubt", die Schuld dafür geben, dass Menschen ermordet werden.
Oder dem Gesetz vorwerfen, dass aufgrund von Personalmangel bei der Polizei nicht alle Fälle aufgeklärt werden.
=> Blödsinn!

Die DSGVO sorgt für eine Handhabe, dass die o.g. Verfehlungen verfolgt werden können.
 

Ferax

Lt. Junior Grade
Dabei seit
Apr. 2010
Beiträge
382
@Ferax
https://www.microsoft.com/de-de/microsoft-365/microsoft-365-local-datacenter
Dass die Daten physisch hier liegen darf man sicher als gegeben ansehen. Wer davon alles ne Kopie bekommt... wer weiß. :D
Deswegen schrieb ich lokales Recht.
Heute sagt der Standort leider weniger über das anliegende Recht aus.
Man könnte sagen auch das Eigentumsrecht ist da ... nunja.
Zugegeben ich habe es vorab mit dem Standort recht simpel formuliert.
 

Foggle

Banned
Dabei seit
Juni 2020
Beiträge
63
@Foggle diese Aussage kann ich leider nicht belegen, genau so wenig wie andersrum belegt werden kann dass da personenbezogene Daten übermittelt werden.

Die Aussage scheitert ja schon an der Definition von den erhobenen Telemetriedaten.
IP, Windows-Installations-ID/Seriennummern, Online(zwangs)konto machen Nutzer identifizierbar. Telemetriedaten fallen so viele an, da alles analysiert wird. Wenn da nichts personenbezogenes dabei ist wo man hinterfragen sollte, machst du entweder überhaupt nichts mit deinem Rechner (bist nicht mal im Internet unterwegs) oder du lebst gerne komplett gläsern.
 

chithanh

Captain
Dabei seit
Okt. 2013
Beiträge
3.524
Warum ist das Wort von Microsoft weniger wert wie das eines Hotelliers oder einer beliebigen Webseite mit Cookies?

Da verlangt keiner Einsicht, aber jeder will wissen wie genau Microsoft seine Software Umsetzung gebaut hat.
Es muss meiner Meinung nach nicht alles (Software) veröffentlicht werden!
Weil der einzelne Hotelier nicht mit den Daten von tausenden oder gar Millionen von Bürgern hantiert. Die EU-Datenschützer haben ebenfalls davor gewarnt, Microsoft die Verantwortung für den Datenschutz zu übertragen.
Zitat von heise.de:
Microsoft übernimmt Rolle als Datenschutzverantwortlicher

Rund 45.000 Mitarbeiter in EU-Einrichtungen inklusive der Datenschutzbehörde arbeiteten mit Produkten und Diensten aus Redmond, konstatieren die Kontrolleure. Bei einem Vertrag, der eine Datenverarbeitung in solch großem Maßstab und teils mit hohem Risiko unfasse, seien die betroffenen Personen erheblichen Gefahren ausgesetzt. Eine große Menge personenbezogener Daten könnte in einer Form verwendet werden, die der Auftragnehmer selbst festlege.

Dass sich Microsoft im November bereit erklärte, bei Großkunden wie den EU-Einrichtungen bei Cloud-Diensten wie Azure oder Office 365 selbst die Rolle des datenschutzrechtlich Verantwortlichen zu übernehmen, hilft laut Wiewiórowski wenig. Er warnt: In dem Maße, in dem der Auftragnehmer diese zusätzliche Rolle übernehme, werde die beschaffende Organisation nur sehr begrenzt in der Lage sein, ihn für seine Datenverarbeitung zur Rechenschaft zu ziehen. Die DSGVO lasse zudem eine solchen Outsourcing-Deal bei öffentlichen Behörden aufgrund der berechtigten öffentlichen Interessen des Verantwortlichen strikt genommen gar nicht zu. Jede EU-Institution sollte gerade bei Ausübung öffentlicher Gewalt als alleiniger Datenkontrolleur fungieren.
https://heise.de/-4836018
 
Dabei seit
Feb. 2009
Beiträge
201
Es hieß schon vor einiger Zeit, dass wenn sich die internationalen IT-Konzerne nicht an EU-Datenschutzregeln halten, weil für sie zum Beispiel USA-Regeln gelten (wie auch?), aber sie auch zu weit weg sind, um sie rechtlich zu belangen, dann wird der Zwang stattdessen auf indirektem Weg über die Nutzer ausgeübt. Das wurde öffentlich so angesagt. In Deutschland soll es wohl primär Behörden, Verwaltungen etc. betreffen, weil es dort relativ einfach ist, zum Beispiel MS Office per Vorschrift zu verbieten. Dann fiele bei Microsoft ein sicherer Umsatzanteil weg. Weiter gedacht - wenn auch die Kooperation mit den Hochschulen wegfallen würde, dann fiele bei vielen Heranwachsenden auch die Gewöhnung an das Gratis-Windows per Education Programm und co weg und damit die zukünftigen Nutzer. (Denn mal ehrlich, jeder der meinen sollte, dass er sich in Windows gut zurecht findet, der hat das in jahrlanger Arbeit irgendwie erlernt - auch mit den etlichen Macken umzugehen.) Microsoft wird wahrscheinlich trotzdem Wege finden, die Leine wieder zu spannen. Aber sicher ist das nicht.

Die andere Nutzergruppe für den Hebel könnten datenverarbeitende EU-Firmen sein. Diese können direkt finanziell belangt werden, wenn die Einschätzung lauten sollte, dass sie bekanntermaßen rechtswidrig handeln, wenn sie zusammen mit zweifelhaften Anbietern wie Microsoft, Zoom und co Daten verarbeiten.

Das Thema Telemetrie wurde vor nicht alzu langer Zeit auch schon diskutiert. https://www.computerbase.de/2020-02/windows-10-telemetriedaten-deaktivierbar/
 

chithanh

Captain
Dabei seit
Okt. 2013
Beiträge
3.524
@DerHotze die Bedenken der Datenschützer gehen nicht darum, was bei einem Datenleck/Sicherheitsvorfall rausgetragen wird, sondern was im ganz normalen Betrieb mit den Daten gemacht wird. Und das Problem war auch nicht der Hotelier, sondern der Dienstleister der 2016 zugekauft wurde (die Angriffe liefen seit 2014).
 

DerHotze

Ensign
Dabei seit
Okt. 2014
Beiträge
214
Der Punkt auf den ich raus wollte wäre eig. dass man den Unternehmen erst mal trauen muss!
Alles andere entscheidet eine Behörde, unabhängig und unbefangen.
Bedenken kann man melden und dann ist fertig!

Einige hier wollen dass Quellcode veröffentlicht wird.
Andere schimpfen auf MS ohne zu sehen dass es in anderen Bereichen mindestens genau so schlimm ist.

(der Dienstleister gehört zum Konzern, MS hat sicher auch so eine Abteilung)
 
Status
Neue Beiträge in diesem Thema müssen von einem Moderator freigeschaltet werden, bevor sie für andere Nutzer sichtbar sind.
Top