Hallo zusammen,
ab dem 1.1. hat MS ja so einige Änderungenfür den Datenschutz eingeführt. U.a. die EU-Datengrenzen (https://news.microsoft.com/de-de/microsoft-eu-datengrenze-cloud-2023/ als auch ihre Product Terms https://www.rakoellner.de/2023/01/update-der-microsoft-product-terms-und-neue-dpa-zum-1-1-2023/ .
Heißt das jetzt, dass man z.B. MS Teams als Videokonferenzsystem DSGVO-konform betreiben kann?
Bezogen auf Videokonferenzsysteme kann man sich am EuGH Urteil vom 13.06.2019 und dem TTDSG orientieren. Hierzu kommt noch die DSK Info zu Videokonferenzsystemen.
Und ob man der Datengrenze nun glaubt oder nicht ist jedem selbst überlassen.
Paralell dazu komtm ja die entwicklung zum EU-US Transferframework womit alles gut werden SOLL.
Ich wäre trotzallem noch vorsichtig und glaube eher an Schrems III als ein valides Framework.
Siehe auch: https://forum.bfdi.bund.de/t/ttdsg-und-videokonferenztools/927
Die Datengrenze greift nicht automatisch ab 1. Januar, sondern die Daten der Tenants werden ab Januar sukzessive umgestellt. Kann für einzelne Kunden Monate länger dauern. War ursprünglich ab Anfang Dezember geplant, soll sich aber angeblich wegen Thanksgiving verzötgert haben. Evtl. nicht für alle, die auch in anderen Kontinenten ihre Finger haben und auch dort Daten speichern.
Egal, weil mit dem Festlegen der Datengrenze immer noch nicht alle Verarbeitungen in der EU bleiben werden. Und Microsoft Ireland gehört immer noch Microsoft USA. Unzulässige Übermittlungen lassen sich nicht ausschließen.
Egal, weil (wenn es wirklich so wäre) die Datengrenze nur ein Teil der Beanstandungen lösen würde. Die Verarbeitungen zu Microsoft-eigenen Zwecken, Einschränkungen der Wahrnehmung von Verantwortlichen-Pflichten, überraschende Funktionsänderungen, usw. bleiben.
Egal, weil es die bisherigen (und weiter andauernden) Verstöße nicht ungeschehen macht. Sind die damit vergessen?
D., der das für ein Nebelkerzen-Thema hält, mit dem wie jedes Jahr von den anderen Problemen abgelenkt werden soll.
Danke schon mal für eure Hinweise.
D.h., datenschutztechnisch lieber die Finger weg lassen von den Microsoft Produkten wie Teams, Office 365 oder allen anderen MS Cloudanwendungen.
Die Gesinnung wird deutlicher, wenn man in den Microsoft-Kundenvertrag schaut. Dort steht im Abschnitt “Schutz und Verarbeitung von Daten”:
Bevor der Kunde Microsoft personenbezogene Daten zur Verfügung stellt, holt er alle erforderlichen Zustimmungen von Dritten (einschließlich der Kontakte des Kunden, Partner, Händler, Administratoren und Mitarbeiter) gemäß den geltenden Datenschutzgesetzen ein.
Auf Seite 13 findet man dann auch, wer mit MS gemeint ist: „Microsoft“ ist Microsoft Ireland Operations Limited.
Ok, und in Irland zählt die DSGVO nicht, weil Irland sie nicht anerkennt. Richtig?
Irland ist in der EU, und dort gilt die DSGVO. Allerdings ist die dortige Datenschutzbehörde sehr zögerlich in der Umsetzung, weil man die EU-Sitze vieler großer Konzerne (Google, Apple, Meta, Microsoft, Oracle, Salesforce) nicht verlieren will.
Nein auch in Irland gilt die DSGVO - sie gilt sogar in den USA und in Kamerun (sofern dort Firmen sitzen, die Daten von Personen in der EU verarbeiten).
Egal ob man die anerkennt oder nicht.
Das Problem mit Irland ist eher, dass Irland nicht die schnellsten und besten sind, um die DSGVO durchzuseten (hat historische Gründe aus Zeiten vor der DSGVO - wo Irland mit laschen Datenschutzgesetzen sowie Steuergesetzen große Player anlockte).
Sofern ein Unternehmen Services für Personen in der EU anbietet gilt die DSGVO egal wo das Unternehmen sitzt.
…und genau da ist dich das Problem, welches die DSK m.E. auch sehr gut herausgearbeitet hat - wirksam zustimmen kann ich nur, wenn ich auch vollumfänglich über die vorgesehene Datenverarbeitung informiert bin. Da Microsoft sich leider sehr bedeckt hält, welche Daten für welche eigenen Zwecke verarbeitet werden sollen, ist eine solche wirksame Einwilligung im Geltungsbereich der DSGVO eben nicht möglich.
Genau. Da ist die Drittlandproblematik (die Microsoft eigentlich nicht allein lösen kann) nur ein Nebenaspekt.
WhatsApp usw. lassen sich ja auch zusichern, dass die Nutzer ihr Adressbuch abgleichen lassen dürfen.
D., der immer davon abraten muss, solche Verträge einzugehen. Meistens wird ungelesen unterschrieben /OK-geklickt.
Yepp. Ich denke, dass diese (AGB-) Klausel nichtig ist. Man könnte das Produkt nicht nutzen.
Ich denke, dass diese (AGB-) Klausel nichtig ist.
Warum sollte diese Klausel nichtig sein - wenn MS sein Produkt in der EU verkaufen möchte, muss es dafür sorgen, dass dieses den geltenden gesetzlichen Bestimmungen entspricht. Grundsätzlich wäre dies, abgesehen von der Drittlandproblematik mit den USA und dem “Cloud-Act”, sicherlich möglich, wenn MS als reiner Auftragsverarbeiter auftreten würde und sich eben keine Datenverarbeitung für eigene Zwecke vorbehalten würde.
Das Problem ist doch, wie @Domasla schon schrieb, die Verträge werden ungelesen unterschrieben oder es wird zum Bestätigen der Kenntnisnahme der Datenschutzbestimmungen auf OK geklickt, weil es ja einfach nervig ist, das Kleingedruckte zu lesen. Wenn ich feststelle, dass ich ein Produkt aufgrund der Vertragsbedingungen nicht nutzen kann, muss ich mich hat nach einer Alternative umsehen. Ich weiß - das ist bei der weiten Verbreitung von MS-Produkten schwieriger, aber sicherlich nicht unmöglich.
Bloß weil Unternehmen mit Sitz in den USA oder woanders in Europa tätig sind, ist ja die DSGVO kein geltendes Recht in diesen Staaten. Umgekehrt, die Firmen müssen die Gesetze der Länder beachten, in denen sie Kunden haben.
Und Irland hat keine laschen Datenschutzgesetze, sondern ein fehlendes Interesse, die DSGVO umzusetzen.
Das stimmt… und habe ich nicht bestritten.
Es geht nicht darum, ob man Produkte und den Vertrag von MS vermeidet.
Unstrittig ist hier wohl, dass der Kunde die oben genannte, geschuldete Mitwirkung als Nebenpflicht objektiv nicht erfüllen kann. Und MS weiß das. Fraglich ist lediglich, wie irisches Recht damit umgeht (nach dem wird der Vertrag geschlossen).
Daher schrieb ich auch: Gesinnung.
M.E. muss man bei MS immer mit einer Übertragung in die USA rechnen, da die einschlägigen Zugriffsrechte von US-Stellen auch für deren Töchter in dr EU gelten. Ob man dann versucht SCCs mit zusätzlichen Garantien umzusetzen, sich des TA-DPF bedient oder MS Irland traut, sei jedem selbst überlassen…