Follow

Ich sammle gerade Links für einen Beitrag. In diesem Beitrag möchte ich auf Studien/Analysen/Quellen etc. verlinken, die seriös und nachvollziehbar darlegen, weshalb Microsoft nicht datenschutzkonform nutzbar ist. Dazu brauche ich: 🧙‍♂️

@kuketzblog Die Hypothese wird also schon als gegeben angenommen und jetzt suchst du nur noch Quellen, die sie stützen, aber nicht solche, die sie widerlegen könnten?

Ich zweifle übrigens nicht an der Hypothese, aber so sollte eigentlich weder Wissenschaft noch Journalismus funktionieren.

@martin Das ist keine Hypothese.

Ich habe schon einige Quellen und auch selbst habe ich an Analysen mitgewirkt. Ich würde die bestehenden Quellen nur gerne ergänzen. Du darfst aber sehr gerne nach Quellen etc. suchen, die das Gegenteil darlegen.

@kuketzblog Ich hätte Bock das Gegenteil zu tun - aber vermutlich finde ich auf 🐘 dafür niemanden. Wäre aber dennoch interessant den Konflikt aus beiden Seiten zu beleuchten.

@admon @kuketzblog Ja, genau das fehlt meiner Meinung nach im Fediverse. Kritische und offene Diskussionen zu Themen rund um #Datenschutz oder auch #OpenSource.
Hier scheinen sehr viele unterwegs zu sein, die sich über eine Bestätigung ihrer gefestigten Meinung freuen, aber nur wenig Interesse an einer offenen Auseinandersetzung haben. Ich bin ja in vielen Punkten bei der hier vertretenen Mainstream-Meinung, aber finde man muss anerkennen, dass die Realität oft komplexer und vielschichtiger ist.

@kuketzblog
Es betrifft ja nicht nur Microsoft. Das Spannungsfeld geht letztendlich zwischen der Gesetzgebung in der USA (CLOUD ACT) und der EU (DSGVO). Das Privacy Shield Abkommen konnte so dann auch nicht gehalten werden.

datensicherheit.de/cloud-act-d

@kuketzblog
Zwar wehren sich die US-Unternehmen; Microsoft versucht so die Server innerhalb Deutschlands und der EU zu entkoppeln, doch steht weiterhin im Cloud Act, dass die US-Regierung Daten abfragen kann, wenn das Unternehmen in den USA in irgendeiner Form ansässig ist.

datenschutzticker.de/2021/05/m

@kuketzblog
Wichtig hierbei zu erwähnen ist, dass Microsoft mit Office 365, Azure und Teams als in die eigenen Rechenzentren gezogen hat. On-Premise wird wie ein leidige Stiefkind behandelt. So kommen Patches für aktiv genutzte Lücken für Exchange on-premise viel zu spät. Siehe link.
Die Zusagen zur DSGVO entsprechen einer Haltung, dass sie einfach die US-Gesetzgebung ignorieren würden.

datenschutz-notizen.de/die-mic

@kuketzblog
Zugleich liegt GAIA-X im Sterben. Denn natürlich beschweren sich amerikanische und chinesische Anbieter, welche zugleich nahezu den gesamten Markt ausmachen.
Eine europäische Cloud mit Palantir ist auch einfach mal Lächerlich.

wiwo.de/unternehmen/it/europae

@kuketzblog
Alternativen für Teams gibt es faktisch nicht mehr, seitdem Unify ihr Tool Circuit an Ring Central verkauft hat.
Hätte gerne mehr von der französisch-deutsch-amerikanischen Lösung gesehen.

t3n.de/news/circuit-deutsche-s

@kuketzblog Ernsthaft? Ich denke, die Äußerungen der LfDI sind umfassend genug.

Auf die Schnelle:
datenschutz.rlp.de/de/themenfe

Dann gab es noch
- die Aussage mit den 20-30.000 "Ereignissen" (Telemetrie) aus den Niederlanden (vor ein paar Jahren),
- die Aussage der @BlnBDI zur "Freiwilligkeit" im schulischen Kontext (letztes Jahr)
- die Einsicht, dass MS bei der Outlook-App die Zugangsdaten zu fremden Mailaccounts auf US-Servern speichert (FragDenStaat, Beobachtung beim Pilotprojekt in BW ;) )

@chbmeyer @BlnBDI Ich kenne diese Quellen. Nur würde ich sie gerne an einem Ort sammeln. Und vielleicht ist ja noch die ein oder andere dabei, die ich nicht kenne. ;-)

@kuketzblog Ich würde ganz einfach sagen Schrems 2?
Oder sonst gibt es auch @es_geht_um_deine_daten

@kuketzblog Spannende Frage, insbesondere bzgl. MS365-Themenkomplex.

Underdessen erscheint mir die Frage "sehr offen". Welche Tools, Systeme liegen im Fokus?

Zu #Videokonferenzen #MSTEAMS vgl. zB. @lfdi baden-wuerttemberg.datenschutz

Der Berliner Datenschutz war diesbzgl meines Wissens früher dran. (z. B. ogy.de/318k)

Hope this helps.

#Datenschutz #DSGVO #ITSicherheit #datenschutzkonform

@kuketzblog Die CNIL hat ihr Verfahren gegen Microsoft eingestellt. Die Unmöglichkeit Teams oder 365 einzusetzen ist also eher eine 🇩🇪 Hypothese. Aber die 🇫🇷 CNIL hat eine Empfehlung bei Cloud-Diensten herausgegeben, die nützlich sein kann:
cnil.fr/sites/default/files/ty

@rigo @kuketzblog
Die Frage der Datenschutzkonformität von MS-Produkten hängt auch an der verwendeten (Windows-)Version. Spätestens ab Windows 10 wirdes kritisch. Wir haben versuchsweise einen Rechner mit Windows 10 zuerst ohne Netzanschluss installiert, was mit hohen Hürden verbunden war. Sobald dieser am Netz hing, hat er sich UNAUFGEFORDERT mit MS-Serveradressen verbunden und Dinge nachinstalliert sowie Infos an MS geliefert.
1/2

@rigo @kuketzblog
2/2
Unter Windows 8 war noch bedingt netzfreier Betrieb möglich. Wir haben zu Moodle übrigens eine Datenschutz-Folgenabschätzung gemacht und eine für ein anderes System revidiert. Das liesse sich auch für MS-Applikationen machen. Für Google liegt uns bereits eine vor, ebenso für das Produkt e-study.

von linux/Gnu gibt es folgenden Bericht:gnulinux.ch/zeugnisse-von-micr

@kuketzblog Meine erste Quelle wäre @noybeu. Dort gibt es einen allgemeinen Artikel zum Datenexport in die USA und einen aktuellen, der das am Beispiel Google Analytics aufarbeitet.

noyb.eu/en/project/eu-us-trans

noyb.eu/en/austrian-dsb-eu-us-

So ein Artikel sollte aus meiner Sicht aber nicht nur die rechtlichen Probleme beleuchten. Proprietäre Software in der Bildung, Abhängigkeit von Cloud Services und marktbeherrschende Konzerne wären auch nicht okay, wenn die Nutzung legal wäre.

@kuketzblog
Beiträge "dafür": (Überraschung, von wem)

Microsoft selbst strampelt sich auf der einen Seite ziemlich ab, um die auf der anderen Seite mit verursachten Kritikpunkte zu relativieren.

Für die Konformitäte empfehlen sie Klimmzüge, die den einsetzenden Stellen keinen Spaß machen werden.

(Links kommen gleich)

D., der erwartet, dass in der Praxis kaum jemand diesen Aufwand betreiben mag, also auch nach Ansicht von Microsoft nicht datenschutzkonform unterwegs sein kann.

@kuketzblog Es gibt dazu diverse Datenschutzfolgeabschätzungen des Niederländischen Ministry of Justice and Security (Ministerie Van Justitie en Veiligheit)

@kuketzblog Keine Quelle, aber ich denke die encryption keys sind mal zu verstehen. Kann ich also sicherstellen, dass MS keinen Zugriff hat? So wie ich das lese nein.
docs.microsoft.com/en-us/micro

@chris42 Für mich geht daraus nicht eindeutig hervor, wer im Besitz der Schlüssel ist. Ausschließlich der Nutzer oder auch MS?

@kuketzblog
Jepp, dass ist da wischi-waschi beschrieben. Ich kenne noch eine Übersicht aus unserer IT, die verneinte, dass es für O365 sichergestellt werden kann. Ich denke MS hat immer einen Zweitschlüssel. Muss man sich wohl mal technisch rein wühlen. Evtl. kennt sich einer der Follower im Detail aus?

@chris42 @kuketzblog
Verschlüsselung ruhender Daten ist in mehreren Stufen möglich.

So, dass der Schlüssel ungefähr "in einem verschlossenen Umschlag" liegt und Microsoft-Supporter sich die Nutzung dokumentiert freigeben lassen können; oder dass nur die Kunden ran kommen. (Mit dem Risiko, dass Microsoft oder Geheimdienste sich an den Datenstrom ranhängen.)

Hilft alles nichts bei Funktionen der Applikationen, die mit entschlüsselten Daten arbeiten müssen.

D., der damit nicht zufrieden ist.

@kuketzblog
Datenschutztechnisch hat eine legalrechtliche Prüfung bei uns ergeben, dass dies der Knackpunkt unserer Services ist. Rechtlich lässt sich viel regeln. Solange wir technisch nicht sicherstellen können, dass Daten nicht abfliessen => keine Chance. Entsprechend haben wir für EU Kunden selbstgehostete Ausweichmöglichkeiten.

@kuketzblog seriös hat niemand der andere in Verträge mit #Microsoft zwingt (#Auftragsdatenverarbeitung) deren #AGBs selbst gelesen. Das aber für "informed consent" abzuverlangen ist drum unfair und möglicherweise sittenwidrig. #Papiertsunami

@kuketzblog
Spannendes Thema. Ich habe selber kein Beispiel, bin mir aber sicher, dass @nextcloud Dir hierzu locker ein paar Beispiele aus dem Ärmel schütteln kann

@kuketzblog , wir pflegen seit einiger Zeit (Link-)Listen, die mit "nie_wieder_" beginnen und z.B. auf "microsoft" enden. Ist aber alles nur aus offiziellen Quellen (heise etc.), nix besonderes also.

@kuketzblog Vielleicht hilft das:
www.baden-wuerttemberg.datenschutz.de/nutzung-von-ms-365-an-schulen/

@kuketzblog Das Impulspapier „Auswirkungen ausländischer Gesetzgebung auf die deutsche Cybersicherheit“ der Wissenschaftlichen Arbeitsgruppe Nationaler Cyber-Sicherheit ist auch bekannt? Ist mehr zur Rechtslage und betrifft generell unerlaubte Datenexporte, nicht nur Microsoft.

@kuketzblog
Die Regierung des Kantons Zürich berechnete, dass " die prognostizierte Wahrscheinlichkeit eines erfolgreichen ausländischen Lawful Access in Bezug auf Daten in Geschäftsverwaltungssystemen in der Betrachtungsperiode von fünf Jahren bei 0,74% liegt. Bei diesem Wert braucht es 1552 Jahre, damit es – statistisch gesehen – mit einer Wahrscheinlichkeit von 90% mindestens einmal zu einem erfolgreichen Lawful Access kommt." Siehe dnip.ch/2022/04/19/techjourno-
#FollowerPower #datenschutz #dnip

@kuketzblog

New DPIA for the Dutch government and universities on Microsoft Teams, OneDrive and SharePoint Online

privacycompany.eu/blogpost-en/

DPIA on Microsoft Teams, OneDrive Sharepoint and Azure AD (June 2021)
Data protection impact assessment on the processing of Diagnostic Data
Version 1.1
Date 16 February 2022

rijksoverheid.nl/documenten/pu

@kuketzblog heise.de/hintergrund/Schule-di

In Nürnberg ist die Situation ähnlich. Dort hat sich der Rechtsanwalt Oliver Rosbach in Abstimmung mit dem Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) die Mühe gemacht, ein eigenes Audit durchzuführen. Ergebnis ist ein "Kurzgutachten zur Verwendung von Office 365 unter Windows 10 an Schulen". Darin schreibt der Jurist: "Die Software übermittelt in erheblichem Umfang Daten an Microsoft."
Hab das Gutachten aber nicht gefunden

@kuketzblog ich finde ja bezogen auf den Bildungsbereich (#FediLZ), aber auch andere Einrichtungen, vor allem neben dem Datenschutz die Probleme der Erzeugung von digitalen Abhängigkeiten (LockIn Effekt) und frühzeitiger Produktbindung noch problematischer. Das natürlich nicht Dein Fokus, könnte aber ja einer umfassenden Analyse ebenfalls mit einfließen.

@bormel @kuketzblog Das sehe ich auch als großes Problem. Letztendlich kann man es dann kaum richtig machen. Bei Apple ist der Lock In sehr stark, bei Microsoft und Google passt der Datenschutz nicht und mit Linux gibt es keine vernünftigen Tablets, die man dann auch noch fertig einkaufen und verwalten könnte.

@elvoss @bormel @kuketzblog
Gerade das fertig einkaufen ist wirklich ein Problem. Zwar gibt es einige Lenovo Thinkpad Tablets, die wohl sehr gut kompatibel mit Linux sind. Aber das muss man manuell einrichten.
Sehr schade :blobfoxmeltsob:

Und Alternativen wie das JingPad laufen (noch) nicht oder sind noch nicht ausgereift (PineNote, PineTab).

@elvoss @bormel @kuketzblog zu Google, Microsoft und Apple gebe ich Dir völlig Recht.

Bei Linux sehe ich das anders.
Mit beispielsweise #FAI (#Ansible und Co.) kann man ein wunderschönes MDM bauen, so dass Geräte auch von zu Hause aus neu installiert werden können (siehe #Tuxedo #WebFAI). Zumindest habe ich das schon mal gebaut und auch meinen Gerätepark (inkl. Lenovo ThinkPad Convertible) damit installiert. Es wollte sonst nur niemand nutzen. ...

@kuketzblog ach das ist doch langweilig und führt zu keinen neuen Erkenntnissen...

@kuketzblog , wie sagte meine Mutter (>80) neulich: "Microsoft stört mich nicht. Ich habe ja ein iPad". 😀

@kuketzblog Gegenbeispiele:
Werbeversprechen von Microsoft und der Reseller:

aixconcept.de/microsoft-365-fu

cotec.de/datenschutz-microsoft

...

Vielleicht sollte "man" auch einmal gegen diese Reseller vorgehen?

@kuketzblog Der LfDI BW ist davon überzeugt, dass MS 365 jedenfalls an Schulen nicht datenschutzkonform einsetzbar ist. Er hat die Datenabflüsse in einem Pilotprojekt eingehend analysiert: baden-wuerttemberg.datenschutz

@Cord_Santelmann Das weiß ich. Ich arbeite dort und war an der Analyse beteiligt. ;-)

@kuketzblog Mir liegen zwar alle relevanten Publikationen, Gutachten, Audit-Ergebnisse vor - ich frage mich aber ernsthaft was mit diesem Bashing erreicht werden soll. Ist es nicht sinnvoller Artikel zu verfassen, die dazu beitragen, was zu tun ist, dass die weit verbreitetsten IT-Lösungen zukünftig konform eingesetzt werden können. Zudem für politische Auswüchse kann MS recht wenig. - PS: Ich nutze nicht Windows, bin Linux- / MacOS- und LibreOffice User.

@thomas_gutte Es geht mir nicht um Bashing. Mir wurde nur wieder vor Augen geführt, wie schnell der Mensch vergisst und einige die Studien/Analysen nicht mal kennen. Daher die Sammlung.

@kuketzblog Was bringt es den Nutzer eine Sammlung vorgelegt zu bekommen, in der aufgeführt wird warum etwas nicht gesetzeskonform ist? Ist es nicht viel wichtiger Nutzern Lösungsansätze mit auf dem Weg zu geben. Für diejenigen unter uns, die sich rechtlich mit diesem Thema auseinandersetzen müssen, ist es ein absolut alter Hut, der zudem extrem gut in allen Rechts-Datenbanken gut aufbereitet ist.

@thomas_gutte Es geht mir bei der Link Sammlung nicht um diejenige, denen das "alles schon bekannt ist".

@kuketzblog
Es gibt diese Preprint Studie: arxiv.org/abs/2204.06128
"Are You Really Muted?: A Privacy Analysis of Mute Buttons in Video Conferencing Apps"

TLDR zu Teams und Skype: Systeme sind so tief ins (MS)Betriebssystem eingebaut, dass es den Forschern nicht möglich war zu überprüfen, ob beim Stummschalten nicht tasächlich doch noch heimlich mitgehört wird (wie es bei Webex der Fall ist, laut Studie).

@kuketzblog Ich erinner' mich an viele Artikel, als es um's Aus vom Privacy Shield ging und in der Zeit der Online-Lehre.
cyber4edu.org/c4e/wiki/microso
Es gibt da den Podcast Auslegungssache. Ich meine, dass es da öfters thematisiert wurde z.B. heise.de/hintergrund/Auslegung
Beim Podcast Rechtsbelehrung gibt es noch eine Linkliste. rechtsbelehrung.com/microsoft-

Sign in to participate in the conversation
Mastodon

The social network of the future: No ads, no corporate surveillance, ethical design, and decentralization! Own your data with Mastodon!