Die unabhängigen Datenschutzbehörden Deutschlands haben sich auf der Datenschutzkonferenz getroffen.
Die Datenschutzkonferenz besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder. Sie hat die Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten. Dies geschieht namentlich durch Entschließungen, Beschlüsse, Orientierungshilfen, Standardisierungen, Stellungnahmen, Pressemitteilungen und Festlegungen.“
Über uns der DSK-https://www.datenschutzkonferenz-online.de/dsk.html
Diese Konferenz soll also meine Datenschutzgrundrechte schützen. Ich bin froh, dass es so was gibt. Nur warum tut die nichts? Ein Armutsurteil im Detail.
Es gibt mehrere „Orientierungshilfen“, zum Beispiel zu Facebook Fanpages. Sie beschreibt, warum das Betreiben einer derartigen Seite aus Datenschutz-Sicht problematisch ist. Doch das Deutsche Innenministerium betreibt eine, und viele andere auch. Daher wird es vom deutschen Oberdatenschützer, Prof. Kelber, verklagt. Er fordert die Behebung, denn sein Einfluss auf Facebook hat nicht gewirkt. Facebook will sich einfach nicht ändern, nur weil ein Deutscher Datenschützer das gerne hätte. Aber es ist schon ärgerlich zu sehen, dass selbst die Regierung sich nicht an die eigenen Gesetze hält. Und niemand kann, eher will, wirklich etwas dagegen tun. Rechtsstaatlichkeit sieht für mich anders aus.
Bis heute ist ein datenschutzkonformer Betrieb von Fanpages nach Ansicht des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) nicht möglich. Dies bestätigen die Ergebnisse des Kurzgutachtens zur datenschutzrechtlichen Konformität des Betriebs von Facebook Fanpages vom 18. März 2022 der seitens der Datenschutzkonferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) eingesetzten Taskforce Facebook-Fanpages. Anlässlich von Änderungen der Datenschutzrichtlinie und der Nutzungsbedingungen sowie des Cookie-Banners von Facebook überarbeitete die Taskforce Facebook-Fanpages das Kurzgutachten. In der aktualisierten Fassung vom 10. November 2022 bestätigt die Taskforce, dass eine gemeinsame Verantwortlichkeit zwischen Facebook und Fanpage-Betreibern auch bei abgeschalteter Insights-Funktion besteht.“
Orientierungshilfe der DSK
Aber ich schweife ab.
Die Datenschutzkonferenz kommt u.a. zu folgendem Schluss:
Das Office-Paket Microsoft 365 kann von Unternehmen, Behörden und Schulen nicht rechtskonform eingesetzt werden, jedenfalls nicht ohne zusätzliche technische Maßnahmen.“
https://www.heise.de/news/Datenschutzkonferenz-Microsoft-365-ist-und-bleibt-datenschutzwidrig-7352065.html
Hm! Heißt das nicht, dass
1.) Ohne geeignete technische Massnahmen die Daten zu schützen, diese Software in keinem der genannten Bereiche eingesetzt werden darf?
2.) Firmen, Schulen, Behörden, die diese Massnahmen nicht einsetzen, diese Software nicht nutzen dürfen?
Wer beaufsichtigt das, stellt das sicher?
Ich bin an einer Schule und Hochschule. Beide haben keine gesonderten Massnahmen getroffen, die Dozenten und Studierenden werden gezwungen, MSO 365 zu nutzen. Templates, Dokumente etc. sind in PowerPoint oder Word. Teams wird für Videokonferenzen genutzt.
Fragen Sie einfach mal bei Ihrer Schule, Hochschule oder dem Einwohnermeldeamt an, welche Massnahmen diese beim Einsatz von MSO 365 ergriffen haben.
In dem Abschlussbericht steht:
Eine Nutzung von Microsoft 365 ohne Übermittlungen personenbezogener Daten in die USA sei nicht möglich.“
https://datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365.pdf
Also müssten wir doch Microsoft den Einsatz verbieten oder sie müssten etwas ändern. Falsch: Sie sind Microsoft und machen was sie wollen. Wie Google, Apple, Amazon und Facebook (die sog. GAFAM).
…, da Microsoft nicht vollumfänglich offenlegt, welche Verarbeitungen im Einzelnen stattfinden. Zudem legt Microsoft weder vollständig dar, welche Verarbeitungen im Auftrag des Kunden noch welche zu eigenen Zwecken stattfinden.“
https://datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365.pdf
Wir setzen also Software flächendeckend ein, bei der wir keine Ahnung haben, welche Daten wann und wie in den USA und bei Microsoft landen. Microsoft sieht sich auch nicht dazu aufgefordert, das zu erklären. Wer ist Regierung und wer ist Unternehmen? Sollte in einem Rechtsstaat nicht die Regierung Gesetze machen und die Einhaltung dieser sicherstellen? Sind wir sonst nicht eine Bananenrepublik?
Die Arbeitsgruppe konnte im Rahmen der Gespräche mit Microsoft keine signifikanten Nachbesserungen in der Vertragsgestaltung hinsichtlich der Festlegung von Arten und Zwecken der Verarbeitung sowie der Arten der verarbeiteten personenbezogenen Daten erreichen.“
https://datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365.pdf
Auf Deutsch: Microsoft schert sich einen Dreck um unsere Datenschutzgesetze. Die Datenschützer sind zahnlose Tiger. Wir sind Deutschland, eines der wirtschaftlich stärksten Länder der Welt. Wir lassen uns von einer amerikanischen Firma diktieren, was erlaubt ist und was nicht? Bestehen immer noch Fragen über die Macht der Digitalkonzerne?
Ebenso ist unklar, auf welcher Rechtsgrundlage die Überführung der im Auftrag verarbeiteten personenbezogenen Daten in die Verantwortlichkeit von Microsoft für die anschließende Verarbeitung zu Zwecken Microsofts samt der damit verbundenen umfassenden Nachweispflichten stattfindet. Ähnliches gilt für Daten wie Telemetrie- und Diagnosedaten, die Microsoft nach Kenntnis der Arbeitsgruppe in großem Umfang und grundsätzlich für eigennützige Zwecke erhebt.
….
Es bleiben Rechtsunsicherheiten, da die Garantien über „Sicherheitsmaßnahmen“ formal nur eine Teilmenge der vertragsgegenständlichen personenbezogenen Daten, nämlich „Kundendaten in „Core-Onlinediensten“ und „Professional-Service-Daten“, erfassen.“
https://datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365.pdf
Wird es nicht immer vogelwilder? Die Rechtsgrundlage ist nicht klar. Ich dachte immer es gäbe eine und an die haben sich alle zu halten. Achso, nee, nur der Bäcker um die Ecke muss sich daran halten. Wenn man riesengroß ist und Millionen in Lobbyarbeit steckt, dann nicht.
Nach Bewertung der Arbeitsgruppe genügt die Ausgestaltung der Rückgabe- und Löschverpflichtung nicht in jedem Fall den gesetzlichen Anforderungen aus Art. 28 Abs. 3 UAbs. 1 Satz 2 Buchstabe g DSGVO. Verantwortliche können wegen der Unklarheit der Regelungen ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 i.V.m. Art. 5 Abs. 1 Buchstabe a DSGVO nicht nachkommen.“
https://datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365.pdf
Die Software genügt zumindest teilweise nicht den gesetzlichen Anforderungen. Was machen die Datenschützer jetzt damit? Müssten sie nicht sagen: So lange Ihr Euch nicht an unsere Gesetze haltet, dürft Ihr Eure Software bei uns nicht einsetzen.
Sie schreiben es auf und dann passiert nichts mehr. Gehen Sie doch mal zur Schule Ihrer Kinder und sagen, dass der Einsatz von MSO 365 nicht legal ist, und Ihr Kind daher die Hausaufgaben als PDF Dokument möchte.
…, dass der Kunde Microsoft „beauftragt (…), (…) personenbezogene Daten in die Vereinigten Staaten von Amerika oder in jedes andere Land zu übermitteln, in dem Microsoft oder ihre Unterauftragsverarbeiter tätig sind“. Für sämtliche Übermittlungen von insbesondere personenbezogenen Daten gelten danach die von Microsoft implementierten Standardvertragsklauseln der EU-Kommission von 2021.“
https://datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365.pdf
Wenn Sie MSO 365 nutzen, man muss sich das auf der Zunge zergehen lassen, beauftragen Sie Microsoft, die Daten in die USA oder jedes Land, das Microsoft will, zu übertragen. Sie beauftragen Microsoft. Alleine durch das Nutzen von bspw. Word. Basierend auf den, aufpassen, von Microsoft implementierten Standardvertragsklauseln.
Sie schreiben also was sie wollen in diese Klauseln und schon dürfen sie machen was sie wollen. Wer macht die Gesetze in einem Rechtsstaat? Und wer muss für die Einhaltung dieser sorgen? Ganz offensichtlich nicht der Staat mit Exekutive und Judikative.
Nehmen wir das also alles und schauen uns nochmal an, was das Schrems II Urteil des EuGH sagt:
… , dass FISA 702 und E.O. 12333 unverhältnismäßige Zugriffsrechte für US-Geheimdienste vorsehen und für EU-Bürger kein gerichtlicher Rechtsschutz gegeben ist.“
https://datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365.pdf
Auf Deutsch: Sie haben keine Rechte. Sie haben keine Möglichkeiten, Ihre Rechte einzuklagen. Das ist der Deutsche Rechtsstaat 2022, der noch mehr und schneller digitalisieren will.
Daher baut die Deutsche Regierung auch mit Microsoft eine Bundescloud auf. Da müssen Sie nicht lange fragen, wer bestimmt, was mit den Daten geschieht.
Deutschland ist mächtig. Deutschland ist abhängig. Deutschland ist feige. Und wir haben Angst. Die bekannte German Angst. Bloss keinen Konflikt mit niemandem eingehen. Siehe Qatar und FIFA.
Schade.
Doch ich will diesen Artikel positiv abschliessen. Der Datenschützer in Porsche- und Daimler-Land geht jetzt gehen einen Schulleiter vor, der so gar nicht versteht, was Datenschutz ist. Leider hinter einer Paywall.