DSFA aus NL zu MS Teams, OneDrive, SharePoint and Azure AD

Hallo zusammen,
aus den Niederlanden gibt es interessante Veröffentlichungen zu Cloud-Diensten von Microsoft:
In der DSFA werden die datenschutzrechtlichen Risiken der (professionellen) Nutzung von Microsoft Teams in Kombination mit OneDrive, SharePoint Online und dem Azure Active Directory bewertet. Es sind ca. 120 Seiten, habe ich auch noch nicht komplett gelesen :wink:
https://www.rijksoverheid.nl/documenten/publicaties/2022/02/21/public-dpia-teams-onedrive-sharepoint-and-azure-ad

Interessant ist auch die Zusammenfassung aus “DTIA Microsoft Teams, OneDrive and SharePoint Online” vom 28.02.2022:
https://www.rijksoverheid.nl/documenten/publicaties/2022/02/28/explanation---dtia-on-ms-teams-sharepoint-and-onedrive

Gruss, Collonium

3 „Gefällt mir“

Danke. Hast Du auch den Link zur DTIA (nicht nur der Zusammenfassung) ?

Edit: ich finde welche über die Suchfunktion der verlinkten Site (aber leider nicht die Hauptseite dazu):
https://www.rijksoverheid.nl/documenten?trefwoord=DTIA

1 „Gefällt mir“

Guten Morgen zusammen,
die einzelnen (diversen) Dokumente sind über diese Seite zugänglich:
https://www.rijksoverheid.nl/documenten/publicaties/2018/11/12/strategisch-leveranciersmanagement-microsoft-rijk-slm-microsoft

Gruss, Collonium

Interessant ist die Tabelle, in der es eine Spalte mit risikominimierenden Maßnahmen der verantwortlichen Stelle gibt, und eine Spalte mit “Hausaufgaben” für Microsoft.

Einige der Maßnahmen bestehen allein daraus, dass man das Risiko vorübergehend trägt, bis eine von Microsoft angekündigte Abhilfe greift.

Die Folgenabschätzung stellt fest, dass die Angaben von Microsoft im Labortest nicht immer zutreffend waren. Deshalb wäre ich vorsichtig, so was fest einzuplanen bzw. beliebig sensible Verarbeitungen darüber laufen zu lassen.

Im vorliegenden Gutachten hätte die Rechtsgrundlage der NL-Behörden auch für überbordende Zwecke und Übermittlungen zu Microsoft-eigenen Zwecken normalerweise lit. e zu sein (was wegen der Notwendigkeit für die öffentliche Aufgabe nicht so einfach zu rechtfertigen ist). Das ist auf nichtöffentliche Stellen nicht so leicht übertragbar. Bei diesen wären also die jeweiligen Bedingungen der anderen Erlaubnistatbestände (Art. 6 Abs. 1 DSGVO) zu erfüllen. (Ist das dann einfacher oder noch schwerer?)

D., der nicht genau weiß, was da mit Microsoft abseits der normalen Verträge verhandelt wurde und ob daraufhin die Verarbeitungen für NL-Behörden in der Praxis wirklich von den Verarbeitungen für alle anderen Kunden abweichen.

Welche der Tabellen ist denn gemeint bei “Hausaufgaben”?

Die Tabelle in der Zusammenfassung ab S. 8 (Measures Microsoft), und dann nochmal ab S. 111.

D., der die DSFA ziemlich schnell gelesen hat. (Niederländisch hätte länger gedauert.) Trotz der Länge sehr übersichtlich.

Ah, danke, ich hatte in den TIA gesucht …

Zu den TIA-Tabellen (die sich an der “schweizer” Lösung von RA David Rosenthal orientieren):

Zum einen würde ich eine Gliederung bevorzugen, wie sie das EDPB in seinen Empfehlungen vorschlägt.

Zum anderen finde ich das dortige Hantieren mit Wahrscheinlichkeiten fragwürdig, es ist eher Zahlenspielerei.

Auch wenn der letzte Transparenzbericht von MS schon älter ist, so wird auch aktuell gelten “kommt extrem selten vor” bezogen auf Anzahl Accounts und Zeit (rare events → Wikipedia). Wenn man das wirklich betrachten will, dann müsste man auf die Auslöser, den jeweiligen Anlass schauen - und den weiß man nicht.

Nebenbemerkung: das ist eine DSFA / TIA des zentralen Einkaufs - interessant wäre, wie die DS-Behörde das beurteilt.

Öhm. Hab ich was verpasst?

Microsoft publicly explains: “Microsoft does not provide, and has never provided, EU public sector customer’s personal data to any government.” This historical fact, combined with the use of the encryption applied by Microsoft, its legal guarantees of contesting each order, its proven track record and its transparency reports, are sufficient to qualify the risk of undue access to the ‘regular’ personal data as a low data protection risk.

oben verlinktes Dokument, Seite 6

Microsoft has collaborated closely with US intelligence services to allow users’ communications to be intercepted, including helping the National Security Agency to circumvent the company’s own encryption, according to top-secret documents obtained by the Guardian.

https://www.theguardian.com/world/2013/jul/11/microsoft-nsa-collaboration-user-data

Never ever. “historical fact, combined with the use of the encryption” und “has collaborated closely […] to circumvent the company’s own encryption” passt nicht zusammen. Das Papier offenbart zwei Hauptprobleme:

  • eine auf der Bekundung eines IT-Konzerns beruhende Annahme als Grundlage für eine Risikoabschätzung
  • das Umgehen von Sicherheitsmaßnahmen durch staatliche Akteure (die neuerlich geforderte Beihilfe von IT-Firmen beim Entschlüsseln)

Bei beiden stellt sich die Frage, von welcher Realität und welchem Sicherheitsniveau tatsächlich ausgegangen werden kann oder muss. Nach bestem Wissen scheint mir dann nicht erfüllt, wenn sich öffentliche Äußerungen widersprechen.

BTW: Das Ministerium für Kultus, Jugend und Sport Baden-Württemberg hatte FragDenStaat eine zT geschwärzte DSFA für MS Produkte zur Verfügung gestellt: https://fragdenstaat.de/anfrage/datenschutzfolgeabschatzungen/

Die Kritik lässt sich ja hören, aber haben Sie darüberhinaus auch einen konkreten Lösungsvorschlag?

Unaufrichtigkeit weiterhin aufzeigen?

Mir ging es tatsächlich nicht um die Bewertung eines einzelnen Dienstleisters, wenngleich dieser evident ein sehr praxisrelevanter ist.

Daher präzisiere ich die Frage, dass es mir um eine Lösung hinsichtlich der Systematik der gefordert Prüfung geht.

Ist diese dann allgemeine Frage nicht besser in einem eigenen Thread aufgehoben?

Dort (https://forum.bfdi.bund.de/t/vorlagen-muster-fuer-ein-transfer-impact-assesment/709/3) steht auch nicht mehr als hier.

Dieses Beispiel aus den Niederlanden kommt immerhin mit einer eigenen, vom Muster des EDPB abweichenden, Struktur. Wenn diese jetzt grds. kritisiert wird, wäre ein alternativer Lösungsvorschlag sehr konstruktiv, denn für die Praxis ist in diesem Zusammenhang neben der Frage, was nicht geht, noch viel wichtiger zu wissen, was denn eigentlich genau geht…

Dieser Thread lautet eigentlich DSFA … und TIA sollte ein eigener Thread sein.

Die TIA und ihre Abweichung vom Papier des EDPB ist gerade das Problem: Die Behörden lehnen eine rein risikobasierte Bewertung eines Zugriffs ab (und das Beispiel macht genau das als Erweiterung der “Schweizer Lösung”), sie akzeptieren das nur ergänzend. Die Nr im Papier des EDPB habe ich jetzt nicht zur Hand.

Edit: das steht in Randnummer 47. Hätten sie auch klarer sagen können …

Die Struktur wurde nicht kritisiert. Der Inhalt wirft wegen der gegensätzlichen Darstellung Fragen auf, die mich zu den genannten Hauptproblemen führen. Diese sind aber kein spezifisches DSFA-Problem, es sind grundsätzliche Datenschutzbelange. Formal sind die Anforderungen mit dem beschriebenen Papier erfüllt. Der erste Punkt würde jedoch vor der DSFA eine Vorortkontrolle der Prozesse erfordern. Das ist bei kleinen IT-Dienstleistern, deren Rechner im eigenen Keller stehen, oder von entsprechend gewichtigen Konzern-DSBs durchführbar (wobei auch diesen nicht Einsicht in alle Prozesse gewährt wird). Der zweite Punkt wird vom EU-Rat und einzelnen Regierungen gefordert. Derlei Ansinnen können allenfalls von Gerichten gestoppt werden. Würde es gestoppt, folgte die Frage zu rechtswidrigen Weltraumtheorien u.ä. Beide Punkte sind von DSBs nicht lösbar, denn die Firmen werden von einer Nutzung nicht absehen. Firmen könnten die Probleme lösen, indem sie andere Dienstleister beauftragten oder zum Rechner im eigenen Keller zurückkehrten. Was ich für illusorisch halte. Die “Lösung” ist also, auf ein unbekanntes Datenschutzniveau hinzuweisen.

Unbekanntes Datenschutzniveau - Risiken daraus für die jeweils zu verarbeitenden Daten - Lösungen zum Zurückdrängen dieser Risiken (bei PIA weg von “hoch” bzw. bei TIA die Garantien wieder wirksam gemacht) - Aufgabe der Folgenabschätzung erfüllt.

Wurde schon besprochen, dass die Verarbeitung zunächst überhaupt zulässig sein müsste? (Bzw. dass Auswirkungen der erkannten Risiken auf vorher unproblematische Interessenabwägungen und Drittlandgarantien in den Griff zu bekommen wären, um auch in dieser Beziehung zulässig zu bleiben.)

Das Problem bei den “Nebenbeschäftigungen” von Microsoft ist ja deren Zulässigkeit. (Zulässigmachbarkeit. Als absolute Anforderung, einen Erlaubnistatbestand für die Verarbeitung bzw. speziell eine Garantie für die Drittlandübermittlung zu finden.)

Für niederländische Behörden (und Schulen in Baden-Württemberg - LfDI) wird betont, dass öffentliche Stellen beim… Flaschendrehen weniger Optionen haben. Eigentlich nur eine von sechs Möglichkeiten aus Art. 6 Abs. 1 DSGVO, nämlich lit. e. Die problematischen Microsoft-eigenen Zwecke und Drittlandzugriffe lassen sich nicht unter die Erforderlichkeit für ihre öffentliche Aufgabe packen; u. a. weil es ihnen nicht konkret vorgeschrieben ist.

Aber auch bei nichtöffentlichen Stellen wird das nicht viel besser aussehen, weil die Bedingungen für Einwilligungen, Bestimmtheit, Treu und Glauben usw. im Vertragsrecht und halbwegs objektive Interessenabwägungen das nicht automatisch erlauben würden. Vor allem nicht (pauschal) praktikabel.

D., der noch lange kein Land sieht.