Neue Outlook-App überträgt Zugangsdaten in die Microsoft-Cloud

Mit der neuen lokal installierbaren Outlook-Desktop-App werden IMAP-Zugangsdaten in die Microsoft-Cloud übertragen.

Sowohl aus Datenschutz- als auch IT-Sicherheitssicht sollte das „neue Outlook“ deshalb keinesfalls genutzt werden.

Microsoft erklärt auf Nachfrage, dass die „Datensynchronisation für konsistente Nutzererfahrung“ erforderlich sei. Anwender*innen können dann ihre Mails sowohl lokal als auch in der MS-365-Cloud abrufen.

Problematisch ist dabei auch, dass die Ausleitung der Logins und Passwörter von Microsoft nicht transparent kommuniziert wird, es gibt lediglich eine Benachrichtigung auf eine erfolgende Datensynchronisation.

Microsofts plant, Anwender*innen „soft“ in die Cloud zu migrieren („wo die Mails schon mal da sind…“), und ermöglicht damit nebenbei, alle E-Mails mitlesen zu können.

=> Betroffene sollten das Produkt umgehend außer Betrieb nehmen und ihr E-Mail-Passwort ändern.

Weitere Informationen:

 

 

Prüfung der Aufsichtsbehörde: Datenschutzkonformität von Webex ist an der FU Berlin gegeben

Die seit 2021 laufende Prüfung der Videokonferenzplattform Webex an der Freien Universität ist nun abgeschlossen, die Datenschutz-Aufsichtsbehörde des Landes (BlnBDI) hat damit den Einsatz von Cisco Webex an der Universität für zulässig erklärt. Dei Beschwede des AStA

In einem Schreiben an die Hochschule teilte die Behörde mit:

„Grund für diese Entscheidung ist, dass die für uns wesentlichen datenschutzrechtlichen und technischen Defizite abgestellt wurden.“

Die Entscheidung ist auch für andere Hochschulen erfreulich, da Webex vielerorts als Videokonferenzplattform im Einsatz ist, so auch an der TU Berlin.

Sowohl bei den technischen Anpassungen als auch zu den vertraglichen Anforderungen an Cisco gibt es einen Austausch zwischen TU und FU –  datenschutzrechtlich wesentliche Aspekte sind auf dieselbe Weise gelöst, beispielsweise die Beschränkung der Verarbeitung der Meeting-Daten auf europäische Server und die generelle Empfehlung von Ende-zu-Ende-Verschlüsselung für vertrauliche Meetings.

Weitere Informationen

Webex wird auch im Berliner Senat verwendet. Außerdem in der Berliner Justiz für Anhörungen, Gerichtsverhandlungen und Beratungen:

 

Digital Services Act sorgt für einige Verbesserungen bei großen Plattformen

Die EU-Verordnung „Digital Services Act“ (DSA) soll Grundrechte stärken, Online-Dienste für die Nutzenden transparenter und sicherer machen, z.B.

  • personalisierte Werbung begrenzen, etwa sollen politische Überzeugungen, sexuelle Orientierung oder ethnische Zugehörigkeiten keine Grundlage für Zielgruppenfilter sein.
  • die Generierung von Feeds soll nachvollziehbar sein
  • Verkäufer müssen sich auf Handelsplätzen detaillierter darstellen
  • Dark Pattern sind verboten
  • Anbieter müssen ausreichende Maßnahmen gegen Kindesmissbrauch, Hetze und Desinformation umsetzen
  • Es sollen wirksame Beschwerdemöglichkeiten für die Moderation geschaffen werden, um Willkür begegnen zu können (z.B. bei Löschungen)

Es sind insgesamt 19 große Plattformen benannt, auch Zalando und Wikipedia. Der DSA enthält aber neue Verpflichtungen für alle Anbieter von Online-Diensten, umfangreiche Anforderungen müssen jedoch nur die benannten ganz Großen erfüllen.

Weitere Informationen

Telemetriedatenübertragung bei Windows 10 und 11 deaktivieren (allerdings nur bei Enterprise- und Education-Lizenzen)

Windows-Admins aufgepasst!

Microsoft bietet keine Möglichkeit, die Telemetriedatenübertragung über die Benutzeroberfläche abzuschalten – ein Schelm, wer Böses dabei denkt.

Die Bayrische Datenschutzaufsichtsbehörde hat eine Anleitung veröffentlicht, wie die Telemetriedatenübertragung bei der Enterprise- und Education-Lizenz deaktiviert werden kann – mit einem Tool von Microsoft können Admins die entsprechenden Gruppenrichtlinien einstellen.

Die Deaktivierung funktioniert leider nicht bei der Pro- und Home-Edition, dort sind zumindest die „erforderlichen Telemetriedaten“ zu aktivieren. Die händische Deaktivierung in der Windows Registry funktioniert wohl nicht in allen Fällen/Windows-Builds, wie mensch es einstellt ist im Blog-Beitrag aus 2020 beschrieben: Schritt-für-Schritt-Anleitung: Telemetriedaten-Übertragung bei Windows 10 Home abschalten.

Safe Harbor adé, Privacy Shield adé – Dritte Runde: Privacy Framework greift jetzt

Es gibt einen Angemessenheitsbeschluss der EU Kommission für die USA, der auf dem EU-U.S. Data Privacy Framework basiert.

Der Beschluss legt fest, dass die Vereinigten Staaten ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten. Der Zugang von US-Geheimdiensten zu EU-Daten sei auf ein notwendiges und verhältnismäßiges Maß beschränkt.

Die gute Nachricht zuerst:

Die Übermittlung personenbezogener Daten in die USA ist jetzt wieder rechtssicher umsetzbar.

Dazu müssen sich die datenverarbeitenden US-Unternehmen -wie in den ersten beiden Runden- den Regeln des Data Privacy Framework verpflichten, indem Sie sich in einer Website des U.S. Department of Commerce (DoC) registrieren.

Die schlechte Nachricht:

Auch dieser Angemessenheitsbeschluss wird dem EuGH vorgelegt werden und die wesentliche Kritik am Privacy Shield bleibt für das Privacy Framework bestehen.

Insofern muss damit gerechnet werden, dass auch der Privacy Framework fällt. Es ist ein Spielen auf Zeit.

„Safe Harbor adé, Privacy Shield adé – Dritte Runde: Privacy Framework greift jetzt“ weiterlesen

Position der Hochschulen zu Microsoft 365 und anderen Cloud-Diensten

Die Datenschutzkonferenz der deutschen Aufsichtsbehörden hat Ende 2022 in einer Stellungnahme festgehalten, dass aus ihrer Sicht der Nachweis einer datenschutzkonformen Nutzung von Microsoft 365 durch die Verantwortlichen mit den vorliegenden (Vertrags-)Unterlagen nicht zu erbringen ist.

Damit wäre ein rechtskonformer Einsatz des Cloud-Dienstes Microsoft 365 nicht möglich, insbesondere von Microsoft Teams und OneDrive.

Unter anderem wird die Zugriffsmöglichkeit der amerikanischen Sicherheitsbehörden auf die in den USA verarbeiteten personenbezogenen Daten moniert und die Verarbeitung personenbezogener Daten für Microsoft-eigene Zwecke u.a. die umfangreichen Telemetriedaten sowie die fehlende Nachvollziehbarkeit der Datenflüsse.

Microsoft hat der Stellungnahme umgehend widersprochen und die DSGVO-Konformität betont, und dass Microsoft mittlerweile zusätzliche Maßnahmen umsetzt, bspw. eine „EU Data Boundary“, die sicherstellt, dass die Inhaltsdaten nur auf Servern in der EU verarbeitet werden. Dieses wurde in einem sogennanten „Datenschutznachtrag “ von Microsoft fixiert.

Die Brandenburger Aufsichtsbehörde stellt dazu in Ihrem Jahresbericht 2022, Seite 82-85 allerdings fest:

„Der Hauptkritikpunkt bei der Nutzung von Microsoft 365 bleibt aber trotz Änderungen im Datenschutznachtrag bestehen: Microsoft verarbeitet personenbezogene Daten aus der Auftragsverarbeitung immer noch für eigene Zwecke, ohne dies hinreichend transparent und nachvollziehbar darzustellen.

(…)

Öffentliche Stellen (z. B. Behörden oder Schulen in öffentlicher Trägerschaft) haben beim Einsatz von Microsoft 365 das zusätzliche Problem, dass sich deren Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten typischerweise aus der Erfüllung öffentlicher Aufgaben oder aus spezialgesetzlichen Regelungen ergeben. Die Weitergabe personenbezogener Daten an Microsoft, damit sie dort für eigene „Geschäftstätigkeiten“ verarbeitet werden, kann durch derartige Rechtsgrundlagen nicht legitimiert werden.“

Position der Zentren für Kommunikation und Informationsverarbeitung in Lehre und Forschung e.V. (ZKI)

Die ZKI fordern im Positionspapier die Datenschutzaufsichtsbehörden auf, konstruktiv zusammen mit dem Anbieter Microsoft eine gemeinsame Lösung zu finden.

Es wird festgestellt, dass Cloud-Lösungen für Hochschulen unverzichtbar sind, nicht zuletzt da die Anbieter ihre Produkte zunehmend auf Cloud-Lösungen umstellen und der Betrieb alternativer Tools durch die Hochschulen selbst zumeist nicht leistbar ist – aufgrund der wenigen verfügbaren Personalressourcen sollte sich die IT-Unterstützung auf die umfangreichen eigentlichen Aufgaben der Hochschulen beschränken.

Was nun?

Es erscheint unausweichlich, dass Microsoft 365 künftig auch an Hochschulen zum Einsatz kommt. Für eine datenschutzkonforme und rechtssichere Nutzung sollten die Kritikpunkte allerdings von Microsoft ausgeräumt werden.

Möglicherweise ist eine datenschutzkonforme Nutzung der Online-Tools nicht mit technischen Maßnahmen durchsetzbar, so dass flankierende organisatorische Maßnahmen die Lücke füllen müssen (z.B. in Form von Dienstanweisungen).

Auch die Nutzung der Desktop-Apps als „Offline-Version“ von Microsoft 365 scheint datenschutzrechtlich nicht unkompliziert zu sein, da einige Funktionen wie das „automatische Speichern“ nur in Verbindung mit Microsofts Cloud-Speicher „OneDrive“ funktionieren.

Letztlich können wir nur hoffen, dass es zu einer datenschutzrechtlich akzeptablen Lösung kommt. Immerhin hat die Datenschutzkonferenz (DSK) im Frühjahr 2023 die Arbeitsgruppe MS 365 reaktiviert um eine erneute Prüfung vorzunehmen.

Insofern scheint derzeit eine Einigung und damit auch eine Lösung nicht ausgeschlossen zu sein.

MS 365 an der TU Berlin:

Microsoft 365 ist zwar von der TU Berlin u.a. für die dienstliche Nutzung lizensiert, die datenschutzrechtlichen Prüfung ist bislang aber noch nicht abgeschlossen und Microsoft 365 ist nicht für die dienstliche Nutzung freigegeben.

Derzeit wird geprüft, welche Tools/Dienste zum Einsatz kommen sollen. Die Auswahl soll in der nächsten Zeit erfolgen, so dass dann für diese die datenschutzrechtliche Prüfung vorgenommen werden kann.

Weitere Informationen

 

Chatkontrolle: Diskussion des EU-Gesetzentwurfs

Die geplante Verordnung zum Scannen privater Kommunikationsdaten wird von der EU-Kommission weiter verfolgt, aktuell wird darüber viel diskutiert, es geht darum was mit der Verordnung letztlich durchgesetzt wird.

Es geht um den Vorschlag für eine VERORDNUNG DES EUROPÄISCHEN PARLAMENTS UND DES RATES zur Festlegung von Vorschriften zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern (11.5.2022)

Weitere Informationen bei netzpolitik.org:

 

Missbrauchsaufsicht über große Digitalkonzerne

Seit 2021 hat das Bundeskartellamt die Missbrauchsaufsicht über große Digitalkonzerne „mit überragender marktübergreifender Bedeutung“   (entspr. §19 Gesetz gegen Wettbewerbsbeschränkungen GWB).

Ziel ist die Vermeidung einer marktbeherrschenden Stellung, andere Marktteilnehmer sollen nicht behindert und Kunden/Nutzer*innen nicht benachteiligt werden, z.B. mittels überhöhter Entgelte – dazu sind Sanktionen wie Verwaltungsanordnungen zur Beendigung des festgestellten Missbrauchs und Bußgelder möglich.

Bislang sind Facebook (Meta), Google, Amazon und Apple unter die Missbrauchsaufsicht genommen worden, derzeit wird Microsoft geprüft.

Es bleibt spannend, welche Schritte das Kartellamt unternehmen wird.

Weitere Informationen

Schrems II – Whats next: Entwurf des neuen EU-US Data Privacy Framework

Worum es geht:

Transfers personenbezogener Daten aus der EU in die USA, die dort dem Zugriff der Sicherheitsbehörden unterliegen („Signals intelligence“, insb. der NSA).

Da viele Anwendungen von US-amerikanischen Unternehmen stammen, die Server in den USA nutzen, sind  personenbezogene Daten europäischer Bürger vor dem Zugriff möglicherweise nicht ausreichend geschützt.

Im Juli 2020 wurde vom EuGH das EU-US Privacy Shield gekippt, siehe Blogbeitrag Safe Harbour ade. Privacy Shield ade. What’s next?

Und nun?

Europäische Unternehmen und öffentliche Stellen müssen den Einsatz solcher Anwendungen seitdem aufwendiger datenschutzrechtlich absichern. Es genügt nicht mehr, dass sich ein US-Unternehmen auf den EU-US Privacy Shield  beruft.

Seitdem sind die neuen von der Europäischen Kommission erarbeiteten Standardvertragsklauseln und zusätzliche Schutzmaßnahmen geeignete Sicherheitsgarantien „Safeguards“, siehe z.B. die Orientierungshilfe der Baden-Württembergischen Datenschutzaufsicht (Oktober 2021): Was jetzt in Sachen internationaler Datentransfer?

Künftig soll der EU-US Data Privacy Framework, der den EU-US Privacy Shield in einigen Punkten erweitert, die Funktion übernehmen – nach der Executive Order des US-Präsidenten im Oktober 2022 hat die Europäische Kommission einen Angemessenheitsbeschluss als Entwurf vorbereitet, mit dem künftig Datentransfers in die USA datenschutzrechtlich abgesichert werden können:

Der europäische Datenschutzausschuss EDPB hat dazu im Februar 2023 Stellung genommen, begrüßt die vorgenommenen Verbesserungen, sieht aber noch weiteren Regelungsbedarf, u.a. für den sogenannten „bulk-upload“, bei dem große Datenmengen transferiert werden und erst im Anschluss gefiltert/selektiert wird:

Was in 2023 geschehen wird

Die Europäische Kommission nimmt die Stellungnahme des europäischen Datenschutzausschuss zur Kenntnis, das europäische Parlament kann eine Prüfung vornehmen und Anmerkungen geben und möglicherweise gibt es noch (Nach-)Verhandlungen mit der US-amerikanischen Seite. Letztlich ist ein finaler Angemessenheitsbeschluss der EU-Kommission für den EU-US Data Privacy Framework zu erwarten.

Damit könnten dann Datentransfers in die USA rechtlich abgesichert werden. Allerdings nur bis zum erwartbaren dritten Urteil des EuGH „Schrems III“ in einigen Jahren, da Max Schrems die Klage bereits ankündigte…

Nachtrag vom 13. Juli

Der Angemessenheitsbeschluss wurde nun gefällt, siehe Blogbeitrag

Berliner Beauftragte für Datenschutz und Informationsfreiheit bezieht neue Räumlichkeiten

Die Aufsichtsbehörde bittet darum:

die neue Hausadresse in ihren Datenschutzerklärungen anzugeben, falls dort die BlnBDI als Kontakt genannt wird.

Diese lautet:
Berliner Beauftragte für Datenschutz und Informationsfreiheit
AltMoabit 5961
10555 Berlin

Die Telefon und Faxnummern sowie die EMailAdressen bleiben unverändert.

Sofern nicht bereits geschehen, sollte in den Datenschutzerklärungen der Einrichtungen der TU Berlin als Verantwortliche als Präsidentin Prof. Dr. Geraldine Rauch benannt werden.

Weitere Informationen