Wenn wir ein „Fass aufmachen“ hat das wohl nicht viel mit einem guten Wein zu tun.
Die Redewendung „Ein Fass aufmachen“ hat ihren Ursprung in der englischen Sprechweise „To make a fuss of somebody/something“. Das bedeutet so viel wie „Wirbel um etwas machen“. Aus dem Wort „fuss“ ist im Laufe der Zeit „Fass“ geworden. (https://www.geo.de)
Was der „Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI)“ nun gestartet hat, wird sicher nicht in einer feucht-fröhlichen Party enden. Eher in Unsicherheit und Durcheinander.
Aber – was genau ist geschehen?
Die Pressestelle hat am 25. April 2022 einen „Hinweise des LfDI zur Nutzung von Microsoft 365 durch Schulen“ gepostet. (https://www.baden-wuerttemberg.datenschutz.de/ms-365-schulen-hinweise-weiteres-vorgehen/)
Die dem LfDI bekannten Schulen, welche MS 365 oder MS Teams verwenden, werden deswegen in Kürze angeschrieben, damit allen Schülerinnen und Schülern möglichst rasch eine Alternative angeboten wird. Bis zu den Sommerferien 2022 muss dann auf eine Alternative umgestiegen und die Nutzung von MS 365 bzw. MS Teams durch die Schule unterbunden sein, sofern die datenschutzrechtlichen Mängel nicht eindeutig nachweisbar behoben wurden.
Wow – ob man sich hier der Tragweite dieser Entscheidung wirklich bewusst ist?
Was machen nun die Unternehmen, die bereits M365 im Einsatz haben? Gelten für diese nicht die gleichen Grundsätze?
Ändert sich der Schutzbedarf von personenbezogenen Daten nur deshalb, weil Schülerinnen und Schulen unter einem besonderen Schutz des Staates stehen?
Haben die anderen Menschen nicht vergleichbare Rechte?
Was ist mit TikTok, WhatsApp und den ganzen vielen großartigen Diensten, die von eben diesen Minderjährigen Zielgruppen ohne jegliche datenschutzrechtlichen Bedenken eingesetzt werden?
Es wird immerhin auf den Schutz der „Minderjährigen“ (siehe z.B. die Erwägungsgründe 38, 43, 58, 65, 71 und 75, Artikel 6 Absatz 1 Buchstabe f letzter Halbsatz, Artikel 8, 12 Absatz 1, Halbsatz 2, Artikel 57 Absatz 1 Buchstabe b DS-GVO und dem folgend § 14 Absatz 1 Nummer 2 BDSG) Bezug genommen.
Auf jeden Fall führt diese Mitteilung zu diversen Reaktionen.
- Die Datenschutz-Paranoia – Golem.de-Forum
- Datenschutz: Microsoft 365 muss ab Sommer 2022 in Baden … – borncity.com
- Microsoft 365 & Teams: Raus aus Schulen in Baden … – PC-Welt
- Baden-Württemberg: Schulen ohne Microsoft 365? – microsoft365-fuer-lehrer.de
Den letzten Beitrag möchte ich auch direkt verlinken – es lohnt sich den zu lesen 😉 (https://microsoft365-fuer-lehrer.de/aktuell/baden-wuerttemberg-microsoft/)
Aber was ist nun eigentlich das Problem?
Wo ich doch auch zu den Kritikern von Cloud Lösungen gehöre?
Nun – manchmal muss man seinen Horizont etwas erweitern und das Bild von verschiedenen Seiten betrachten.
Beim Thema M365 sehe ich immer mehr einen riesigen Warenkorb an (kostenpflichtigen) Leistungen, mit denen ich ein Sicherheitsniveau erreichen kann, welches sonst kaum gegeben ist.
- Können Sie ihre Daten so sichern, dass diese von einem ausgeschiedenen Mitarbeiter nicht mehr gelesen werden können, sobald er das Unternehmen verlässt?
- Können Sie „Multi-Faktor Authentifizierung“ nutzen, um die Risiken von Kennwörtern zu reduzieren?
- Bekommen Sie von Ihrem System eine Warnung, wenn sich jemand „riskant“ anmeldet?
- Können Sie fast alle Zugriffe und Vorgänge in der IT im Detail nachvollziehen?
Und das sind nur einige, wenige Themen, die ich in den letzten Monaten entdeckt habe.
Was steht dem nun entgegen?
- „Wir haben mit den USA kein Rahmenabkommen über den Schutz personenbezogener Daten mehr“.
Es wird eine riesige „Angstmauer“ aufgebaut, weil die bösen Amerikaner mit den Geheimdiensten die Daten von anderen ausspähen (könnten).
Glaubt den wirklich jemand, dass das eine Besonderheit, ein Alleinstellungsmerkmal der Amerikaner ist?
Nein – im Gegenteil gehört diese Spionagetätigkeit zum Alltag auch zwischen europäischen Partnern.
Das ist „daily work“ und – auch wenn es sehr lästig und ärgerlich ist – etwas was wir nicht verhindern werden.
Auf der einen Seite schützen wir die armen Minderjährigen vor eine möglichen „Datensammelwut“ von Konzernen und auf der anderen Seite veröffentlichen diese Inhalte in den sozialen Medien, die weit in den persönlichen Bereich gehen.
Wäre ich „Microsoft“, dann würde ich die Übermittlung von „Telemetriedaten“ einfach abschalten.
Es bringt doch mehr Probleme als Nutzen?
Und was machen nun die vielen verunsicherten M365 Nutzer?
„Schulen, die der Ansicht sind, dass ihr Einsatz und ihre Konfiguration von MS 365 den rechtlichen Anforderungen genügt und die den Cloud-Dienst weiter nutzen möchten, müssen nun begründen, wie sie den datenschutzkonformen Betrieb sicherstellen und dies entsprechend ihrer Rechenschaftspflicht nach Artikel 5 Absatz 2 Datenschutz-Grundverordnung eindeutig nachweisen wollen.“
Eigentlich bleibt alles so, wie wir es soundso schon die ganze Zeit über machen (sollten).
- Wir formulieren eine Cloud Strategie
- Wir machen eine Risikoabschätzung
- Wir nutzen die „Standardvertragsklauseln“
- Wir führen einen „Datenschutzfolgeabschätzung“ durch
- Wir nutzen die vorhandenen „technisch organisatorischen Maßnahmen“
- Wir dokumentieren unsere Argumente
Und wir hoffen darauf, dass es bald eine Lösung für den „datenschutzkonformen Einsatz“ von M365 geben wird.