Die Frage nach der datenschutzkonformen Nutzbarkeit von Office 365 stellt sich nicht erst seit gestern. Nun hat der hessische Datenschutzbeauftragte Michael Ronellenfitsch die Nutzung der Software in der „Standardkonfiguration“ für datenschutzrechtlich unzulässig erklärt – zumindest an Schulen.
Der Inhalt im Überblick
Aktuelle Stellungnahme des HBDI
In einer Stellungnahme vom 09. Juli 2019 erklärte Ronellenfitsch,
„der entscheidende Aspekt [sei], ob die Schule als öffentliche Einrichtung personenbezogene Daten (von Kindern) in einer (europäischen) Cloud speichern kann, die z.B. einem möglichen Zugriff US-amerikanischer Behörden ausgesetzt ist.“
Die digitale Souveränität staatlicher Datenverarbeitung müsse gewährleistet sein.
Der HBDI betonte die besondere Verantwortung öffentlicher Einrichtungen, was die „Zulässigkeit und Nachvollziehbarkeit“ von Datenverarbeitungsprozessen angeht und verwies auf das BSI, welches im Herbst 2018 darauf hingewiesen hatte, dass Windows 10 massiv und nicht nachvollziehbar Telemetriedaten an Microsoft sende. Auch mit der Einwilligung könne man das Problem nicht umschiffen, da es für eine informierte Einwilligung nach Art. 7 DSGVO an der Nachvollziehbarkeit der Datenverarbeitungsprozesse durch Microsoft mangele. Auch eine Einverständniserklärung der Eltern löse das Problem nicht – aus demselben Grund. Nonchalant beendet wird die Stellungnahme mit dem Satz, dass sich diese Einschätzung zu Office 365 ebenso auf die Apple- und Google-Cloud beziehe.
Stellungnahme von April 2017
Noch im April 2017 hatte der HBDI festgestellt, dass Office 365 durch Schulen datenschutzkonform eingesetzt werden kann, wenn die Nutzung sich auf den pädagogischen Bereich beschränke und keine Verwaltungsdaten betroffen seien. Außerdem – so der HBDI damals – sei
„die Implementierung einer datenschutzkonformen Systemarchitektur [erforderlich], welche Microsoft zwar teilweise zur Verfügung stellt, deren Umsetzung jedoch in der Verantwortung der Schule in Zusammenarbeit mit dem Schulträger liegt und zusätzliche technische und organisatorische Maßnahmen erfordert.“
Die Aussagen bezog der HBDI konkret auf die Deutschland-Cloud von Microsoft, welche mittlerweile eingestellt wurde.
Woher der Meinungsumschwung?
Die aktuelle Stellungnahme des HBDI ist knapp gehalten. Mit dem Ende der Deutschland-Cloud ist auch das Treuhänder-Modell mit T-Systems Geschichte, was augenscheinlich ein Grund für die Neubetrachtung ist. Deutlich ist auch der Hinweis des Datenschutzbeauftragten auf die Bedenken des BSI bezüglich Windows 10. In einer Stellungnahme vom 20. November 2018 schrieb das BSI:
„Das Betriebssystem Windows 10 sendet umfangreiche System- und Nutzungsinformationen an Microsoft. Eine Unterbindung der Erfassung und Übertragung von Telemetriedaten durch Windows ist technisch zwar möglich, für Anwender aber nur schwer umzusetzen. Das ist das Ergebnis einer Untersuchung der zentralen Telemetriekomponente von Windows 10, die das Bundesamt für Sicherheit in der Informationstechnik (BSI)durchgeführt hat.“
Ähnlich fiel die Einschätzung der Firma Privacy Company ebenfalls im November 2018 aus, die im Auftrag des niederländischen Justizministeriums eine Datenschutzfolgenabschätzung für Microsoft Office ProPlus Enterprise durchführte (abrufbar hier). Hauptkritikpunkte: Umfangreiche Sendung von Telemetriedaten an Microsoft zu der keinerlei Dokumentation vorliegt und kein Tool, das dem Anwender eine Übersicht über die tatsächlich gesendeten Daten verschaffen könnte. Dadurch sei eine Einschätzung der spezifischen Risiken für den Anwender nicht möglich. Zudem habe der Anwender keinen Einfluss darauf, ob er die Diagnosedaten überhaupt an Microsoft senden wolle, da es für diesen keine (einfache) Möglichkeit gibt, hierzu Einstellungen vorzunehmen.
Nicht zuletzt wurde die rechtswidrige Speicherung sensibler, klassifizierter oder spezieller Datenkategorien sowohl in Metadaten als auch in Inhalten wie z.B. Betreffzeilen von E-Mails moniert. Fazit zu diesem Zeitpunkt: Wer als Verantwortlicher Office 365 oder Office 2016 einsetzt, verstößt gegen die DSGVO. Microsoft, welches Telemetriedaten zuvor nicht als personenbezogene Daten einschätzte (Überraschung), gelobte in Teilen Besserung und nahm einzelne Anpassungen vor.
Das niederländische Ministerium für Justiz und Sicherheit und der SLM Rijk haben inzwischen weitere Tests durchgeführt und im Juni 2019 eine Datenschutzfolgenabschätzung „DPIA Windows 10 Enterprise v.1809 and preview v. 1903“ veröffentlicht. Darin werden konkrete Risiken beim Einsatz von Windows 10 Enterprise benannt, das Risiko für die Betroffenen was die Übersendung von Telemetriedaten durch die Software angeht, insgesamt aber als nicht hoch eingestuft. Scharf kritisiert wird weiterhin die mangelnde Zweckbindung der Datenverarbeitung durch Microsoft.
Letztlich sieht der HBDI Anfragen hinsichtlich der Art und der Nutzung von Telemetriedaten auch bei Office 365 als von Microsoft weiterhin unzureichend beantwortet an.
Perspektiven für Cloud-Lösungen?
Was nun, fragen sich nicht zuletzt die betroffenen Schulen. Richtig ist: Es liegt an Microsoft, Datenschutz- und Sicherheitsanforderungen umzusetzen. Kaum hilfreich ist es jedoch, die „Bedarfe“ der Schulen einerseits „anzuerkennen“, gleichzeitig aber zu verneinen. Das Argument der Gewährleistung „digitaler Souveränität staatlicher Datenverarbeitung“ verfängt m.E. hier nicht, wenn den Handlungsempfehlungen des HBDI von April 2017 gefolgt wird und die Nutzung sich auf den pädagogischen Bereich beschränkt. Auch auf die Nutzung der E-Mail-Konten über Office 365 sollte im Schulkontext verzichtet werden.
Allein ein Verweis auf On-Premise-Lösungen greift jedenfalls zu kurz. On-Premise-Lösungen bieten ein hohes Maß an Kontrolle, fordern aber auch ein anderes Maß an Aufwand vor Ort – während man bei Cloud-Lösungen üblicherweise Software-as-a-Service bezieht. Die Wartungs- und Betriebsverantwortung liegt dann beim Anbieter der Software.
Schließlich wird an der einfachen Übertragung der datenschutzrechtlichen Einschätzung zu Office 365 auch auf die Cloud-Produkte von Google und Apple durch den HBDI und des möglichen Zugriffs von US-Behörden deutlich, dass hier weiterhin ein Problem vorliegt, das eigentlich über ein zu träges Verhalten von Microsoft gegenüber deutschen Aufsichtsbehörden hinausgeht. Insofern lässt die Stellungnahme die Frage nach einer Perspektive für US-amerikanische Cloud-Lösungen offen.
Fassen wir zusammen: Windows 10 ist nicht zulässig, Office-Programme nicht und Office 365 schon gar nicht, ebenso Produkte von Apple- oder Google. Welche Konsequenzen ergeben sich daraus für die öffentliche Verwaltung in Deutschland? Abschalten?
Ein Auftragsverarbeiter ist für mich als schulischer Beauftragter geeignet, wenn er einen Vertrag mit EU-Standardklauseln vorlegt und eine regelmäßige Überprüfung nachweist. Das ist bei Office 365 der Fall. Wenn ein Datenschützer im Einzelfall feststellt, dass MS sich nicht an diesen Vertrag hält, soll er sie verklagen. Als Vertragspartner kann ich mich nur auf die Angaben im Vertrag verlassen. Es steht mir weder zu die Firma Microsoft zu kontrollieren noch die Kompetenz des Datenschützers anzuzweifeln. Mit welchem System hat Herr Ronellenfitsch seine Stellungnahme verfasst?
Sehr geehrte Herr Beckmann, das ist ja gerade das Problem. Ich muss als Schule sicherstellen, dass die Daten geschützt werden, und da ist ein vertragliche Regelung, die ich nicht überprüfen kann, eben nicht ausreichend. Und da hat nicht MS das Problem, sondern die Schule.
Natürlich kann nicht jeder überprüfen, ob die vertraglich zugesicherten Regelungen eingehalten werden, deshalb ist das die Aufgabe der Datenschützer der Länder, bzw. des BSI. Und genau diese bezweifeln nun, dass MS sich daran hält. Verantwortlich ist trotzdem die Schule, bzw. der Schulträger! Nein, genau genommen ist jeder Lehrer dafür verantwortlich, der personenbezogene Daten auf diesen Server legt…
Mit O&O ShutUp10 kann man Windows 10 mit wenigen Mausklicks fast alle Unarten abgewöhnen. Sogar die Telemetrie. Zu beziehen hier: https://www.oo-software.com/de/shutup10/latest-version
Solche Statements einer Aufsichtsbehörde sind wert- und nutzlos und bringen keine Sicherheit für die Zukunft oder Digitalisierungsprojekte. Erklärt es für unzulässig oder legt die Auflagen fest. Aber nicht so ein Herumgeeier.
Ich wünsche mir bei solchen Stellungnahmen seitens des DSB nicht nur die Erklärung der Unzulässigkeit von bestimmten Diensten, sondern einfach auch mal eine pragmatische Empfehlung, welche zeitgemäßen Dienste/Produkte denn „passen“. Die Realität der eingesetzten HW/SW in den Schulen sieht in Bezug auf den Datenschutz oftmals sehr viel schlechter aus als O365. Da werden Daten auf privaten Rechnern von Lehrern verarbeitet, mit WhatsApp kommuniziert, die Präsentation auf Dropbox gespeichert und noch vieles mehr.
Genau vor einem Tag wurden sämtliche Verwaltungsrechner durch neue Rechner, welche mit Windows 10 betrieben werden, ausgetauscht. Die älteren Rechner mit Windows 7 werden ab Januar 2020 keine Sicherheits-Updates mehr erhalten und werden damit auch untauglich. Als schulischer DSB müsste ich folglich die alten Rechner zurückfordern und ab Januar die IT der Verwaltung stilllegen. Außerdem muss ich unseren Dienstleister auf seine Datenschutzerklärung hinweisen und eine Meldung bei der zuständigen Aufsichtsbehörde machen, weil die Rechner ja schon im Einsatz sind.
Sorry, aber es gilt immer noch dass ich Anbieter sorgfältig auswählen und deren Zuverlässigkeit überprüfen muss! Die ist im konkreten Kontext nicht gegeben. Nachweislich verhält sich MS nicht datenschutzkonform. Insofern darf ich diesen Anbieter nicht Einsetzen. Ich nehme nur mal folgenden Abschnitt:
„Das niederländische Ministerium für Justiz und Sicherheit und der SLM Rijk haben inzwischen weitere Tests durchgeführt und im Juni 2019 eine DSFA „DPIA Windows 10 Enterprise v.1809 and preview v. 1903“ veröffentlicht. Darin werden konkrete Risiken beim Einsatz von Windows 10 Enterprise benannt, das Risiko für die Betroffenen was die Übersendung von Telemetriedaten durch die Software angeht, insgesamt aber als nicht hoch eingestuft.“ -> Bitte? -> Das Datenschutzrisiko ist von betroffenen Daten und Einsatzzweck bzw -umfeld abhängig und im Einzelfall zu ermitteln.
„Scharf kritisiert wird weiterhin die mangelnde Zweckbindung der Datenverarbeitung durch Microsoft.“ -> Was mich an dieser Stelle dann wundert, denn
(1) Zweckbindung ist ein Grundsatz der DSGVO, welcher aussagegemäß weiterhin verletzt wird. Dann zu der Einschätzung zu kommen „das Risiko ist nicht hoch“ finde ich bemerkenswert, zumal es mir an der Übermittlungsbefugnis (Rechtsgrundlage) der entsprechenden Daten an Microsoft bezogen auf die Betroffenen (Mitarbeiter, Kunden, Geschäftspartner, etc.) beim Einsatz von Windows 10 und Office im Unternehmens- oder Schuleinsatz regelmäßig fehlen dürfte.
(2) Was mich zu (2) führt. Diese Telemetriedaten sind für das Unternehmen, welches W10 oder Office einsetzt nicht erforderlich, zumindest nicht in dem Umfang. Insofern werden diese vom Verantwortlichen erhoben und an Microsoft übermittelt und von MS für deren eigenen Zwecke verarbeitet. Hier fehlt es an der Rechtsgrundlage für die Übermittlung der Daten.
(3) Was mich wiederum zu (3) führt. Die Vertragsbasis ist falsch. Bei der Verarbeitung pbD im Kontext W10 und Office365 handelt es sich beim Einsatz ind Schule oder Unternehmen um mindestens zwei Verantwortliche (Schule und MS) und beim unmodifizierten Einsatz um gemeinsame Verantwortliche nach Art. 26 DSGVO. Zumindest wenn man die Bewertung des EuGH zum Thema „gemeinsame Verantwortliche“ heranzieht. Dies bedeutet eine Vereinbarung nach Art. 26 DSGVO müsste her. Microsoft bietet in diesem Kontext jedoch lediglich Vereinbarungen nach Art. 28 DSGVO an, was wiederum einen bußgeldbewehrten Verstoß der DSGVO darstellt.
Man könnte noch mehr finden. Wie gesagt, insofern finde ich die Bewertung „Darin werden konkrete Risiken beim Einsatz von Windows 10 Enterprise benannt, das Risiko für die Betroffenen was die Übersendung von Telemetriedaten durch die Software angeht, insgesamt aber als nicht hoch eingestuft.“ bemerkenswert. Bezogen auf Betroffene mag das evtl. so sein (müsste im Einzelfall aber geprüft werden), was die Unternehmens-Compliance angeht, also das Datenschutz-Compliance-Risiko für Unternehmen, ich zumindest halte es für hoch.
Dieser Beitrag ist leider nicht vollständig recherchiert. Kritikpunkte die so nicht ganz stimmen:
„[…] angeht und verwies auf das BSI, welches im Herbst 2018 darauf hingewiesen hatte, dass Windows 10 massiv und nicht nachvollziehbar Telemetriedaten an Microsoft sende.“
Gut, ich muss zugeben, dass die Information für Windows 10 nicht sehr einfach zu finden sind. Wenn man allerdings den Suchbegriff „Windows 10 Connection Endpoints“ in seiner favorisierten Suchmaschine eintippt, kommt man sehr schnell auf: https://docs.microsoft.com/de-de/windows/privacy/manage-windows-1809-endpoints (Für Windows 10 Enterprise und im Menü links, weiter unten nochmal für nicht-Enterprise-Versionen veröffentlicht wurden. Für Office 365 gibt es dies auch: https://docs.microsoft.com/de-de/office365/enterprise/urls-and-ip-address-ranges?redirectSourcePath=%252fen-us%252farticle%252fOffice-365-URLs-and-IP-address-ranges-8548a211-3fe7-47cb-abb1-355ea5aa88a2 bzw. andere Beleuchtung durch Privat-Blogger: https://www.msxfaq.de/cloud/verbindung/o365_netzwerkziele.htm
Wenn man mit DuckDuckGO (Suchmaschine, die betont, kein Searchtracking zu betreiben) findet man als drittes, einen Link, über den ich „damals“ darauf aufmerksam wurde: https://fossbytes.com/windows-10-connection-endpoints/
„Umfangreiche Sendung von Telemetriedaten an Microsoft zu der keinerlei Dokumentation vorliegt und kein Tool, das dem Anwender eine Übersicht über die tatsächlich gesendeten Daten verschaffen könnte. Dadurch sei eine Einschätzung der spezifischen Risiken für den Anwender nicht möglich. Zudem habe der Anwender keinen Einfluss darauf, ob er die Diagnosedaten überhaupt an Microsoft senden wolle, da es für diesen keine (einfache) Möglichkeit gibt, hierzu Einstellungen vorzunehmen“
Dokumentation: Siehe vorherigen Link.
Tool: Diagnosedatenviewer, da dieses Tool wieder Speicherplatz verbraucht ist dieses vorher in den Systemeinstellungen zu aktivieren. Start -> Einstellungen -> Datenschutz -> Reiter „Diagnose und Feedback“ -> Diagnosedaten anzeigen -> On -> Diagnosedatenviewer öffnen
Möglichkeit des Unterbindens: Betreffende URLs in der Firewall sperren. Auch in der privaten FritzBox meines Erachtens ziemlich einfach.
„Scharf kritisiert wird weiterhin die mangelnde Zweckbindung der Datenverarbeitung durch Microsoft.“
Da hat MS durchaus Nachbesserungsbedarf.
Für Unternehmen bestehen weniger DSGVO-Probleme als für Schulen. Ziemlich frech von MS finde ich Punkt 2b des Service-Vertrages. https://www.microsoft.com/de-de/servicesagreement/
In den Produkten, auf die sich dieses Serviceagreement bezieht sind fast nur die Privatprodukte und „….for Education“ genannt.
Ihr Kritikpunkt der unvollständigen Recherche ist m.E. unberechtigt: Die zitierten Aussagen, z.B. „[…] angeht und verwies auf das BSI, welches im Herbst 2018 darauf hingewiesen hatte, dass Windows 10 massiv und nicht nachvollziehbar Telemetriedaten an Microsoft sende“ wurden so getroffen. Ob die Aussagen des BSI insofern nicht ganz korrekt sind, weil man die Informationen doch irgendwo im Netz finden kann, wurde in dem Artikel nicht beurteilt.
Darüber hinaus müssen die Nutzer in direkt durch MS und in einfacher Weise informiert werden. MS kann sich nicht darauf zurückziehen, dass man mit relativ geringem Aufwand im Internet Informationen findet. Auch dürften Begriffe wie „Connection Endpoints“ dem technischen Laien unbekannt sein.