Datenschutzbedenken bei Microsoft Office 365

von

NetTask Blog - Datenschutzbedenken für Microsoft Office 365

Die Begeisterung für Cloud-Dienste in Deutschland steigt stetig an.  Andererseits stehen der Verwendung von Diensten aus Übersee trotz Safe Harbor Abkommen in Deutschland massive datenschutzrechtliche Bedenken entgegen. Deutsche Cloud-Dienste sind dahingegen sicher und werden von der Bundesnetzagentur ständig überwacht. Kunden welche gern Dienste aus der Cloud wie Hosted Exchange, Lync und SharePoint nutzen möchten können bei den meisten deutschen Cloud Providern jederzeit auf Wunsch eine Besichtigung des Rechenzentrums sowie des Unternehmens erhalten.

Wie aus einer Stellungnahme von Microsoft aus der Jahresmitte 2011 hervor geht, bleiben Datenschutzaspekte - zum Beispiel beim Einsatz von Office 365 - auf der Strecke. Cloud-Dienste welche von Unternehmen mit einem Geschäftssitz in den USA betrieben werden  unterliegen dem Patriot Act, der US-Strafverfolger. Dieser räumt den US-Behörden weitreichende Zugriffsrechte auf die dort gespeicherten Daten ein. Doch das ist bei weitem noch nicht alles, auch Microsoft selbst kann Ihre Daten weitergeben, wenn gewisse rechtliche Anforderungen vorliegen.

Ein im Microsoft Trust Center bereitgestelltes Dokument stellt klar, dass es keineswegs nur um Verfahren im Zusammenhang mit dem Patriot Act geht. Dort heißt es: "Unter bestimmten Umständen kann Microsoft Daten ohne Ihre vorherige Zustimmung weitergeben. Dazu gehört die Befolgung rechtlicher Anforderungen."

Dass man in den U.S.A. nicht zwingend einen Beschluss benötigt sondern auf die bloße Anfrage des FBI bereits Daten von Kunden heraus gibt ist dagegen schon sehr zweifelhaft. Microsoft geht aber noch einen rabiaten Schritt weiter: Zur Durchsetzung des Vertrags über Microsoft Dienste sei es erforderlich, dass sich der Benutzer ausdrücklich damit einverstanden erklärt und zustimmt, dass „Microsoft berechtigt ist, auf Informationen, die mit Ihrer Verwendung der Dienste in Verbindung stehen, zuzugreifen und diese offenzulegen, einschließlich -persönlichen Informationen und Inhalte[n]“.

Safe Harbor Abkommen - Eine Farce

Um evtuell auftretende Handelshindernisse zwischen US- und EU-Unternehmen zu unterbinden, wurde von der EU und den USA vor gut einem Jahrzehnt  das sogenannte "Safe Harbor"-Abkommen (zu dt.: Sicherer Hafen) geschlossen. Mit diesem Abkommen können sich US-Unternehmen direkt selbst zertifizieren und in eine Liste des US-Handelsministeriums eintragen. Dadurch - so die Idee - stellt das eingetragene Unternehmen das in der EU benötigte Datenschutzniveau sicher. Leider werden die vorgenommen Eintragungen nicht oder zumindest nur höchst unzureichend kontrolliert. Sanktionen werden bei Datenschutzverstößen dementsprechend nicht ausgesprochen. Der Datenschützer, der Schleswig-Holsteinische Datenschutzbeauftragte Thilo Weichert, fordet schon seit langem die Kündigung dieses Safe-Habor-Abkommens, da es grundlegend nur zu Verwirrungen führt. Am Beispiel des Internet-Konzern Google gehen Datenschützer in sechs europäischen Ländern gegen diesen mittlerweile vor. Google hatte zuletzt wegen umstrittener Regeln zum Umgang mit Nutzer-Informationen für Schlagzeilen gesorgt.

Unterschiedliche Datenschutzstandards in Deutschland und den USA

Bereits in der Vergangenheit gab es diverse Versuche von Politikern die deutschen Datenschutzvorschriften aufzuweichen. Trotzdem gilt in Deutschland noch ein im internationalen Vergleich hohes Datenschutzniveau. Deutsche Unternehmen müssen diese Schutzvorschriften beachten und einhalten. Seit einiger Zeit überprüft nun auch das Bayrische Landesamt für Datenschutz im Rahmen seiner Kontrollbefugnis nach § 38 BDSG in einer ersten Welle stichprobenartig Unternehmen auf die Einhaltung der jeweiligen Vorschriften.

Das Bundesdatenschutzgesetz entlässt deutsche Unternehmen nicht aus der datenschutzrechtlichen Verantwortung, auch wenn diese die bisher lokalen Softwaresysteme nicht weiter selbst betreiben, sondern z.B. Cloud-Dienste in Anspruch nehmen. In solchen Fällen ist das Unternehmen immer verpflichtet, mit dem Dienstleister einen sogenannten "Vertrag zur Auftragsdatenverarbeitung" zu schließen, der einen datenschutzrechtlich korrekten Umgang mit den Daten des jeweiligen Cloud-Dienstes sicherstellen soll.

Das Wichtigste bei Abschluss von solch einem Vertrag ist, dass sich der Dienstleister und seine etwaig beauftragten Subauftragnehmer in Deutschland oder anderen EU-Staaten befinden. Denn nur in diesen Ländern wird ein dem deutschen Datenschutzrecht vergleichbares Datenschutzniveau unterstellt.

Problematisch wird es daher dann, wenn die Datenverarbeitung in anderen Ländern stattfinden soll,  wie etwa in Russland,  auf den Philippinen oder in den USA.

Sollten Unternehmen aus den nicht EU-Staaten ernsthaft glaubhaft versichern wollen, dass der Betrieb ihrer Systeme in der EU den deutschen Datenschutzbestimmungen genüge trage - so seien Sie sich sicher, das tut es nicht.

Im Zweifelsfall hilft es immer den Datenschutzbeauftragten des Bundes oder des Landes selbst zu kontaktieren und eine Stellungnahme abzufordern.

Bundes Datenschutzgesetz Geldbußen bis 300.000 EUR

Wer auf die Sicherheit seiner Daten achtet und die umfassenden gesetzlichen Bestimmungen befolgt, sollte sich unbedingt einen deutschen Cloud-Dienstleister mit einem in Deutschland betriebenen Rechenzentrum suchen. Verstöße gegen das BDSG werden mit

Geldbußen bis 50.000 (§43 Absatz 1) für:

  • Einen Verstoß gegen die Meldepflicht.
  • Die fehlende, nicht rechtzeitige oder nicht ordnungsgemäße Bestellung eines Datenschutzbeauftragten (bei entsprechender Verpflichtung durch das BDSG).
  • Einen Verstoß gegen eine Anordnung der Aufsichtsbehörde.
  • Die nicht erfolgte, unvollständige, verspätete oder falsche Auskunft gegenüber einem Betroffenen.
  • Eine fehlende Protokollierung bei automatisierten Verfahren des Datenabrufs.
  • Eine Pflichtverletzung bei der Auftragsdatenverarbeitung.
  • Die fehlende Widerrufsbelehrung bei einer werblichen Ansprache.
  • Einen Verstoß gegen die Zweckbindung bei übermittelten Daten.
  • Einem Verstoß gegen die Dokumentationspflichten bei Datenübermittlung zu Geschäftszwecken.
  • Die Aufnahme personenbezogener Daten in Verzeichnisse gegen den Willen des Betroffenen.
  • Eine geschäftsmäßige Datenübermittlung ohne einer evtl. vorliegenden Gegendarstellung des Betroffenen.
  • Eine fehlende Übermittlung von Kennzeichnungen an Verzeichnisse.

 

Geldbußen bis 300.000 (§43 Absatz 2) für:

  • Die unbefugte Erhebung und Verarbeitung personenbezogener Daten, die nicht allgemein zugänglich sind.
  • Eine unbefugte Bereithaltung personenbezogener Daten für automatisierte Abrufverfahren, die nicht allgemein zugänglich sind.
  • Die Zusammenführung anonymisierter Daten mit Einzelangaben zu einer Person (De-Anonymisierung)
  • Den unbefugten Abruf personenbezogener Daten in automatisierten Verfahren, die nicht allgemein zugänglich sind.
  • Das Erschleichen einer Übermittlung personenbezogener Daten (die nicht allgemein zugänglich sind) im Abrufverfahren aufgrund unrichtiger Angaben.
  • Einen Verstoß gegen die Zweckbindung bei übermittelten personenbezogenen Daten.
  • Die Missachtung des Kopplungverbots (Vertragsabschluss wird von Erlaubnis zur Datenspeicherung und Nutzung abhängig gemacht).
  • Eine Nutzung personenbezogener Daten zum Zwecke der Werbung, Markt– und Meinungsforschung, obwohl ein Widerspruch vorliegt.
  • Eine nicht erfolgte, unwahre, unvollständige oder verspätete Meldung nach § 42a Satz 1 (Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten) abgibt.

 

Unter § 43 Absatz 3 Satz 2 schreibt der Gesetzgeber: “Die Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. Reichen die in Satz 1 (des §43 Absatz 3) genannten Beträge hierfür nicht aus, so können sie überschritten werden.”

§ 44 Strafvorschriften BDSG setzt noch eins obenauf. Wer eine der Ordnungswidrigkeiten aus § 43 Absatz 2 vorsätzlich gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe (zusätzlich zur Geldbuße) bestraft.

NetTask: Cloud Services für modernes Arbeiten

Die NetTask GmbH bietet Unternehmen und Systemintegratoren umfassende Cloud- sowie ITK-Services aus einer Hand: von der Telefonie, Datenübertragung, Housing, Hosting bis zu IT-Outsourcing und IT-Consulting.

Basierend auf einer eigenen, in deutschen Rechenzentren betriebenen, Infrastruktur-as-a-Service Plattform, bietet NetTask fortlaufend innovative Cloud Services: Hosted Microsoft Exchange, Hosted Microsoft Skype for Business (Lync) und Hosted Microsoft SharePoint für die moderne Unternehmenskommunikation und –zusammenarbeit in den Unternehmen an.

NetTask gehört dabei zu den führenden Anbietern von Cloud-Lösungen, welche die Zusammenarbeit in Unternehmen maßgeblich bereichern. Mit ihnen lässt sich das gemeinsame Arbeiten interaktiver, motivierender und produktiver gestalten. NetTask bietet integrierte Lösungen, bestehend aus Hardware, Software und Serviceleistungen, die bedienerfreundlich, für herausragende Leistungen gestaltet sind.

Hosted Exchange ist eine mandantenfähige gehosteten Groupware Cloud-Plattform, mit der Sie problemlos Ihre gesamte Kommunikation wie E-Mail, Terminplanung oder Verwaltung von Aufgaben und Kontaktadressen ortsunabhängig und geräteneutral im Unternehmen oder mit Geschäftspartnern abwickeln können. Ein integrierter Unified Messaging Service ermöglicht per Telefon eine direkte Sprach-Interaktionen mit dem jeweiligen Postfach sowie VoiceMessaging inkl. Mailboxansageregeln. Ein zubuchbarer Fax-Service ergänzt den Unified Messaging Service.

Hosted Skype for Business (Lync) vereint interne und externe Sprachkommunikation (öffentliches Telefonnetz), Instant Messaging (Chat), Audio-, Video- und Webkonferenzen sowie die Freigabe und Präsentation von Programmen oder dem gesamten Desktop - in einem innovativen Produkt. Die Kommunikationslösung ermöglicht optimierte Zusammenarbeit, bequeme Nutzung und einfachen Zugriff. Ein völlig neues Kommunikationserlebnis!

Hosted SharePoint ist eine moderne webbasierte Plattform für Zusammenarbeit, Projekt- und Dokumentenmanagement im Unternehmen. Ein umfangreicher App-Katalog bietet unter anderem wichtige Tools für agiles Projektmanagement und Vorgangsbearbeitung.

Zurück

Feed abonnieren

Was interessiert Sie?

Mitgliedschaften

Blogverzeichnis - Blog Verzeichnis bloggerei.de  Blogverzeichnis