Neue Outlook-App überträgt Zugangsdaten in die Microsoft-Cloud

Mit der neuen lokal installierbaren Outlook-Desktop-App werden IMAP-Zugangsdaten in die Microsoft-Cloud übertragen.

Sowohl aus Datenschutz- als auch IT-Sicherheitssicht sollte das „neue Outlook“ deshalb keinesfalls genutzt werden.

Microsoft erklärt auf Nachfrage, dass die „Datensynchronisation für konsistente Nutzererfahrung“ erforderlich sei. Anwender*innen können dann ihre Mails sowohl lokal als auch in der MS-365-Cloud abrufen.

Problematisch ist dabei auch, dass die Ausleitung der Logins und Passwörter von Microsoft nicht transparent kommuniziert wird, es gibt lediglich eine Benachrichtigung auf eine erfolgende Datensynchronisation.

Microsofts plant, Anwender*innen „soft“ in die Cloud zu migrieren („wo die Mails schon mal da sind…“), und ermöglicht damit nebenbei, alle E-Mails mitlesen zu können.

=> Betroffene sollten das Produkt umgehend außer Betrieb nehmen und ihr E-Mail-Passwort ändern.

Weitere Informationen:

 

 

Position der Hochschulen zu Microsoft 365 und anderen Cloud-Diensten

Die Datenschutzkonferenz der deutschen Aufsichtsbehörden hat Ende 2022 in einer Stellungnahme festgehalten, dass aus ihrer Sicht der Nachweis einer datenschutzkonformen Nutzung von Microsoft 365 durch die Verantwortlichen mit den vorliegenden (Vertrags-)Unterlagen nicht zu erbringen ist.

Damit wäre ein rechtskonformer Einsatz des Cloud-Dienstes Microsoft 365 nicht möglich, insbesondere von Microsoft Teams und OneDrive.

Unter anderem wird die Zugriffsmöglichkeit der amerikanischen Sicherheitsbehörden auf die in den USA verarbeiteten personenbezogenen Daten moniert und die Verarbeitung personenbezogener Daten für Microsoft-eigene Zwecke u.a. die umfangreichen Telemetriedaten sowie die fehlende Nachvollziehbarkeit der Datenflüsse.

Microsoft hat der Stellungnahme umgehend widersprochen und die DSGVO-Konformität betont, und dass Microsoft mittlerweile zusätzliche Maßnahmen umsetzt, bspw. eine „EU Data Boundary“, die sicherstellt, dass die Inhaltsdaten nur auf Servern in der EU verarbeitet werden. Dieses wurde in einem sogennanten „Datenschutznachtrag “ von Microsoft fixiert.

Die Brandenburger Aufsichtsbehörde stellt dazu in Ihrem Jahresbericht 2022, Seite 82-85 allerdings fest:

„Der Hauptkritikpunkt bei der Nutzung von Microsoft 365 bleibt aber trotz Änderungen im Datenschutznachtrag bestehen: Microsoft verarbeitet personenbezogene Daten aus der Auftragsverarbeitung immer noch für eigene Zwecke, ohne dies hinreichend transparent und nachvollziehbar darzustellen.

(…)

Öffentliche Stellen (z. B. Behörden oder Schulen in öffentlicher Trägerschaft) haben beim Einsatz von Microsoft 365 das zusätzliche Problem, dass sich deren Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten typischerweise aus der Erfüllung öffentlicher Aufgaben oder aus spezialgesetzlichen Regelungen ergeben. Die Weitergabe personenbezogener Daten an Microsoft, damit sie dort für eigene „Geschäftstätigkeiten“ verarbeitet werden, kann durch derartige Rechtsgrundlagen nicht legitimiert werden.“

Position der Zentren für Kommunikation und Informationsverarbeitung in Lehre und Forschung e.V. (ZKI)

Die ZKI fordern im Positionspapier die Datenschutzaufsichtsbehörden auf, konstruktiv zusammen mit dem Anbieter Microsoft eine gemeinsame Lösung zu finden.

Es wird festgestellt, dass Cloud-Lösungen für Hochschulen unverzichtbar sind, nicht zuletzt da die Anbieter ihre Produkte zunehmend auf Cloud-Lösungen umstellen und der Betrieb alternativer Tools durch die Hochschulen selbst zumeist nicht leistbar ist – aufgrund der wenigen verfügbaren Personalressourcen sollte sich die IT-Unterstützung auf die umfangreichen eigentlichen Aufgaben der Hochschulen beschränken.

Was nun?

Es erscheint unausweichlich, dass Microsoft 365 künftig auch an Hochschulen zum Einsatz kommt. Für eine datenschutzkonforme und rechtssichere Nutzung sollten die Kritikpunkte allerdings von Microsoft ausgeräumt werden.

Möglicherweise ist eine datenschutzkonforme Nutzung der Online-Tools nicht mit technischen Maßnahmen durchsetzbar, so dass flankierende organisatorische Maßnahmen die Lücke füllen müssen (z.B. in Form von Dienstanweisungen).

Auch die Nutzung der Desktop-Apps als „Offline-Version“ von Microsoft 365 scheint datenschutzrechtlich nicht unkompliziert zu sein, da einige Funktionen wie das „automatische Speichern“ nur in Verbindung mit Microsofts Cloud-Speicher „OneDrive“ funktionieren.

Letztlich können wir nur hoffen, dass es zu einer datenschutzrechtlich akzeptablen Lösung kommt. Immerhin hat die Datenschutzkonferenz (DSK) im Frühjahr 2023 die Arbeitsgruppe MS 365 reaktiviert um eine erneute Prüfung vorzunehmen.

Insofern scheint derzeit eine Einigung und damit auch eine Lösung nicht ausgeschlossen zu sein.

MS 365 an der TU Berlin:

Microsoft 365 ist zwar von der TU Berlin u.a. für die dienstliche Nutzung lizensiert, die datenschutzrechtlichen Prüfung ist bislang aber noch nicht abgeschlossen und Microsoft 365 ist nicht für die dienstliche Nutzung freigegeben.

Derzeit wird geprüft, welche Tools/Dienste zum Einsatz kommen sollen. Die Auswahl soll in der nächsten Zeit erfolgen, so dass dann für diese die datenschutzrechtliche Prüfung vorgenommen werden kann.

Weitere Informationen

 

Hinweise der Baden-Württembergischen Aufsichtsbehörde zur Nutzung von Microsoft 365 durch Schulen

Die Landesdatenschutz-Aufsichtsbehörde hat einen intensiven Begutachtungsprozeß zu den Möglichkeiten datenschutzkonformer Anpassungen unternommen. Dieser wurde im April abgeschlossen und kommt im Wesentlichen zu dem Ergebnis, dass eine DSGVO-konforme Nutzung von Office 365 an Schulen nicht umsetzbar ist. Ein Grund besteht darin, dass personenbezogene Daten in die USA übertragen und diese von Microsoft für eigene Zwecke genutzt werden, ohne dass dafür eine geeignete Rechtsgrundlage gegeben ist.

Die Entscheidung ist insofern überraschend, da die Einführung von Office 365 und insbesondere von Microsoft Teams an den Schulen seitens des Baden-Württembergischen Landesministeriums forciert wurde. Das Statement hat somit auch Strahlkraft über das Bundesland und über Schulen hinaus.

Für das kommende Schuljahr 2022/23 sollen die Schulen Alternativen zu Office 365 nutzen bzw. die datenschutzgerechte Nutzung ggü. der Aufsichtsbehörde belegen. Alternativen werden über die „digitale Bildungsplattform“ des Landes angeboten.

Weitere Informationen

Windows-Sicherheitsupdate: Schwachstelle in Virenschutz-Programm Defender wird gefixt

Windows zog seinen monatlichen Patchday vor und rollte gestern ein Sicherheitsupdate aus. Sicherheitsrelevant ist vorallem ein Exploit über den Defender – Angreifer können darüber schädlichen Code auf betroffenen Geräten ausführen.

Windows-Anwender sind angehalten, die Updates schnellstmöglich auszuführen.

Weitere Informationen

Schritt-für-Schritt-Anleitung: Text-Format bei Outlook einstellen

Große Gedanken benötigen keine Schminke!

HTML-Formatierungen sind in E-Mails eher überflüssig. Außerdem lassen sich so Spam- und Phishing-Mails besser erkennen (die gern falsche Links hinter verlinktem Text verstecken).

Da die Nur-Text Option in Outlook an zwei Stellen anzupassen ist, die zudem auch etwas unlogisch aufgebaut sind, eine kurze Anleitung von uns wie es geht.

„Schritt-für-Schritt-Anleitung: Text-Format bei Outlook einstellen“ weiterlesen

Keine Registrierung bei Microsoft nach Windows 10 Update!

Beim aktuellen Update von Windows 10 Home wird mann/frau von Microsoft nachdrücklich aufgefordert, sich mit einem Microsoft-Konto zu registrieren.

NEIN! Tun Sie es nicht!

Windows 10 funktioniert problemlos ohne Microsoft-Konto.

„Keine Registrierung bei Microsoft nach Windows 10 Update!“ weiterlesen

Gehts noch? Microsoft mahnt Berlins Datenschutzbeauftragte ab

Microsofts Chefjurist beschwert sich in einem  Schreiben darüber, dass die Berliner Datenschutzbeauftragte einen Vermerk publizierte, in dem sie vor der ungeregelten Nutzung von Videokonferenz-Tools wie Microsoft Teams und Zoom eindringlich warnt.

„Gehts noch? Microsoft mahnt Berlins Datenschutzbeauftragte ab“ weiterlesen

Datenübertragung zu Microsoft kann bei Windows 10 Enterprise unterbunden werden

Der Arbeitskreis Technik der Datenschutzkonferenz hat Ende 2019 in einer Laborumgebung zusammen mit Microsoft die Deaktivierung der Datenübertragung an Microsoft-Server getestet. Erfreulicherweise soll auch die nicht DSGVO-konforme Übertragung von Telemetrie-Daten jetzt deaktiviert werden können.

„Datenübertragung zu Microsoft kann bei Windows 10 Enterprise unterbunden werden“ weiterlesen