Office 365 und Datenschutz
by Volker Weber
Es vergeht kein Tag, an dem mir keine Pressemitteilung ins Haus flattert, in der mir nicht ein deutscher Cloud-Anbieter sein technisch weit unterlegenes Produkt andient, weil der Einsatz von Office 365 in Deutschland nicht möglich sei, ohne die DSGVO zu verletzten. Noch nie habe ich jemanden gesehen, der allen Ernstes sein Produkt als technisch überlegen darzustellen in der Lage wäre. FUD - Fear, Uncertainty, Doubt.
Rechtsanwältin Nina Diercks hat sich dem Thema vor dem Hintergrund mal etwas gründlicher genähert. Spoiler Alert: Dem ist nicht so.
Und wie immer hilft es, wenn man sich nicht um Positionen, sondern um Intentionen streitet. Diese Gefechte verdecken nämlich nur eine wichtigere Tatsache: Deutschland ist rettungslos unterlegen. Das ist wichtig für alle, die ihre Waren trotzdem an den Mann bringen wollen. Aber Unternehmen, die ihren Geschäftszweck woanders haben, werden sich damit nicht lange aufhalten. Microsoft hat einmal versucht, eine "Deutschland-Cloud" anzudienen, die ebenfalls schlechter war und mehr kostete. Und durch ihr Inseldasein nur für Unternehmen taugte, die nicht international tätig waren und die auch keinen Austausch mit anderen brauchten. Mit anderen Worten, für niemanden. Das Produkt wurde wieder eingestellt.
Ja, das ist schlecht, dass Deutschland so hintendran ist. Wir müssen ja nur in unsere Taschen greifen, bei denen fast jeder eine amerikanische Wanze mit sich rumträgt. Selbst wenn es ein iPhone ist, dann ist garantiert Google Maps und WhatsApp drauf, mit ganz, ganz wenigen Ausnahmen. Das ist vielleicht ein wichtigeres Thema, als wegen Microsoft Haare zu spalten.
Was würde helfen? Technisch überragende Lösungen bauen, die sich ohne Schutzgelderpressungen verkaufen. Das klappt aber nicht, weil DSGVO. Derweil saugen Facebook und Google weiter Daten ab. Wer würde es wagen, die abzuklemmen?
Comments
Sehr gute Analyse! Du sprichst mir aus der Seele! Ich habe keine Hoffnung, dass das in Deutschland bzw. in der EU besser wird bzw. besser werden kann.
Alle deutschen Unternehmen/Kunden, die ich kenne, sind angstgesteuert bzw. werden von Datenschützern und Anwälten dominiert. Die Rolle des Datenschützers/Anwalt ist es immer auf keinen Fall falsch zu liegen, sprich lieber alles zu verbieten/abzuklemmen, so dass es auf keinen Fall zu rechtlichen Problemen kommen kann. Dass dadurch die Geschäftsmodelle nicht mehr funktionieren bzw. die Unternehmen nicht mehr wettbewerbsfähig sind, interessiert die genannten Rolle überhaupt nicht. Zu welchen Stilblüten das führt, möchte ich hier gar nicht ausführen. Der von einem Kunden geprägte Begriff „Datenschutz-Taliban“ beschreibt die Situation ganz gut.
Insbesondere das zweierlei Maß, mit dem gemessen wird (wie von Dir messerscharf beschrieben), ist den oben genannten Rollen überhaupt nicht bewusst.
Das Datenschutzthema ist nach meiner Wahrnehmung übrigens nicht nur angstgesteuert, sondern vor allem mit einem großen Maß von Halb- und Nichtwissen geprägt, was die Lage nur noch verzweifelter macht: Angst + Halbwissen führt garantiert nicht zu international konkurrenzfähigen Geschäftsmodellen. Aber an europäische Marktführerschaft in den Bereichen KI, Cloud, autonomes Fahren usw. glauben ja auch nur Nicht-IT-Leute in dieser Region.
Danke Volker für die gute Analyse.
Die Antwort von Markus ist mir deutlich zu pauschal und passt nicht zu dem, was Datenschutzbeauftragte tagtäglich auf dem Tisch haben.
Ihr Job ist u.a. die Verantwortlichen zu beraten und zu unterrichten, was diese zu beachten haben, um ihrer Verantwortung entsprechend zu handeln.
Die pauschale Aussage bezüglich Wettbewerbsfähtigkeit und nicht funktionierenden Geschäftsmodellen den Datenschützern anzulasten, kann ich daher in keinster Weise nachvollziehen.
Leider haben wir es mit einem geopolitischen Problem zu tun, Konflikt EU-Recht vs. beispielsweise US-Recht, dezentrale und uneinheitliche Datenschutzaufsichtsbehörden (siehe aktuelle Presseveröffentlichungen rund um Office 365, das wurde von Nina Diercks trefflich beschrieben), mangelnde Alternativen. Diese Gemengelage garniert mit dem Risiko für die Verantwortlichen, dass sehr empfindliche Bußgelder verhängt werden können (aktuelles Beispiel diese Woche).
Hier die Schuld den Datenschutzbeauftragten bzw. im Datenschutzrecht aktiven Juristen in die Schuhe zu schieben -so lese ich den Großteil des Posts von Markus- halte ich daher für zu einfach.
Korrekt ist die Aussage mit dem Halb- und Nichtwissen. Es wäre wirklich sinnvoll, wenn sich mehr Verantwortliche mit dem Thema wirklich (!) beschäftigen würden. Und vor allem wenn von der EU nicht einfach ein "Privacy Harbour" kommt, der wieder nur ein paar Jahre hält und in der Wirtschaft Unsummen an Aufwand vernichtet.
Und so wird die DSGVO zum Burggraben für die großen US Tech Konzerne.
Deine Analyse ist richtig. Und eine Antwort darauf, die einem typisch Deutschen gefallen würde gibt es nicht. Des heißt es: Friss oder stirb. Ist halt einfach so.
Am deutlichsten wird das in DE, dort, wo die überlegenen US Technologie Dienste es aus Datenschutz Gründen am schwersten haben. Schulen und Behörden.
Ich teile die Kritik an den traurigen deutschen Alternativen, aber nicht im mindesten an der DSGVO als Buhmann.
Ich bin im Grunde ganz bei Dir, möchte nur 2 Dinge noch ergänzen. Ein Punkt, der noch mehr Kopfschütteln verursachen dürfte und einen der vielleicht ein wenig hilft:
Im Gespräch mit der Berliner Datenschutzbehörde Anfang September habe ich gefragt, was deren Meinung nach die Unternehmen jetzt tun sollen. Die Antwort war, dass die Behördenleitung unmissverständlich klar gemacht habe, das nun die Stunde der europäischen Anbieter gekommen sei. Selbst auf mehrfache Rückfrage nach einen klitzekleinen Hinweis, was oder wen sie - die Behördenleitung - damit meinen könnte, wurde natürlich nicht geantwortet. Man dürfe ja keine Werbung machen.
Für alle betroffenen Unternehmen gilt, dass das Thema nicht so schwarz weiß ist und niemand - auch die DS-GVO nicht - verlangt, O365 sofort abzuschalten. Es gibt Dinge, die Unternehmen jetzt tun sollten (Verträge prüfen, Prozesse prüfen etc.). Außerdem gilt weiterhin der Grundsatz der Verhältnismäßigkeit und, dass eine Alternative auch eben das sein muss: eine Alternative in Funktion, Kosten etc.
Zu diesen Dinge würde ich mir Gedanken machen, diese Gedanken dokumentieren und abwarten.
Sehr hilfreich. Die Intention ist damit klargestellt.
Zum Thema DSGVO: Wenn ich auf dem Portal unserer Lokalzeitung (Badische Zeitung) beim ersten Besuch tatsächlich mal nicht auf das übliche "Alles Akzeptieren" klicke, sondern "Einstellungen" und dann auf "Anbieter" klicke, dann werden mir tatsächlich 598 Anbieter (die Teil des IAB TCF sind) mit jeweils einem oder zwei Ein/Aus Schaltern angezeigt. Also ca 900 Schalter, die ich individuell einstellen kann, damit meine DSGVO Rechte gewahrt bleiben. Finde ich super.
Noch besser: Das kannst du dann für jede Website individuell machen. Da gibt es Software für den Webseitenbetreiber, die das für jeden Besucher trackt. Solltest du das nicht akzeptieren, dann darfst du es bei jedem Besuch neu machen.
Datenschützer und Anwälte haben ihre Daseinsberechtigung. Ein wenig Verständnisbildung für die jeweils andere Meinung wäre aber hilfreich.
Technisch unterlegene hiesige Anbieter? Absolut. Womit sollen sie auch wachsen, die Kapitalmarktzugänge in den US für dortige Anbieter sind hier Utopie. Also entsteht das was gerade so zu machen ist. Ein Teufelskreis.
(Ja es gibt Förderungen. Schonmal probiert eine zu beantragen, und das in unserem hochvolatilen Umfeld?).
Thomas, guter Beitrag! Verhältnismäßigkeit kann ICH bei Datenschutzbeautragten oft nicht erkennen.
Kristian, sehr gut beobachtet! Genau der von Dir geschilderte Unsinn etabliert sich gerade. Dazu gibt es auch tolle (europäische) Anbieter, die solche hochkomplexen Cookie-Dialoge (teil-)automatisiert anbieten. Das ist jedenfalls ein funktionierendes Geschäftsmodell, allerdings aus meiner Sicht für einen fragwürdigen Sekundärmarkt.
Wer hat denn Lust 600 Cookies einzeln zu bestätigen bzw. einen solchen Wahnsinn zu managen? Ich spreche für mich: Ich nicht! Meine Strategie ist einfach: Ich akzeptiere meistens alle Cookies und lasse Ad-blocker und Tracking-Verhinderer den Rest tun.
Ich nehme den Markt nicht als „level playing field“ wahr, denn die Regionen USA, Europa und China steuern hier jeweils einen eignen Kurs. Wir werden sehen wohin das mittelfristig führen wird. Meine Prognose (leider): erst mehr Strafzahlungen (verhängt von der EU aus US-Unternehmen, EU-Unternehmen mit Relevanz gibt es ja fast nicht), dann mehr abgeschottete Märkte bzw. Sanktionen. Daran kann niemand Interesse haben.
Und nein, ich habe weder etwas gegen Anwälte oder Datenschützer, ich habe allerdings etwas gegen Schwarz-Weiß-Denken, dass ich in meinem professionellen Alltag bei diesen Themen regelmäßig erlebe. Ein Datenschutzbeauftragter ist selten ein Unternehmer bzw. unternehmerisch denkender Mensch (muss er vermutlich in seiner Rolle auch nicht sein), allerdings haben seine Sichten/Empfehlungen Auswirkungen auf das unternehmerische Handeln und dessen muss man sich bewusst sein.
Vielen Dank für den Link, Volker.
Ich persönlich glaube ja, dass die DSGVO langfristig ein Wettbewerbsvorteil sein wird. Allein, dass alle jetzt sehen können, dass da 600+ Cookies gesetzt werden wollen, ist schon ein Gewinn. Bei fast allen deutschen Seiten, die ich verwende, kann ich durch klicken auf Konfigurieren und dann Speichern (heißt je nach Anbieter ein wenig anders) die Cookies auf die technisch notwendig beschränken.
Einige internationale fragen nach wie vor nicht, manche wollen tatsächlich jedes Häkchen einmal gesetzt haben, viel sind aber funktionsäquivalent mit den deutschen Seiten oben.
Alle können jetzt informiert entscheiden, ob sie sich für den Inhalt der Seite nackig machen wollen, oder nicht.
Ich helfe ein paar technisch nicht versierten Freunden bei den Websites ihrer kleinen Unternehmen, außerdem unterstütze ich die Vereine, bei denen ich ehrenamtlich tätig bin. Alle, in Worten: ALLE, haben mich gefragt, wie viele Cookies ihre Seite denn setzt, jetzt wo das jeder sehen kann, ob das denn notwenig sei, und ob man das nicht verhindern könne. Mittlerweile sind wir bei 0,5 Cookies im Durchschnitt.
Ich arbeite laufend mit internen und externen (für Schwestergesellschaften: "Frau Geschäftsführerin, ich weiß was, im Keller da brennt Licht, aber ich hab's ausgemacht") Datenschutzbeauftragten zusammen. Ich beneide nicht den Spagat, denn insbesondere die internen Datenschutzbeauftragten jeden Tag machen müssen, notwendige Datenverarbeitung gemeinsam mit dem Business konform zu dokumentieren, gebetsmühlenartig nach dem "warum" zu fragen, Dinge abzulehnen, die man beim besten Willen nicht konform bekommen kann, und das alles ihrem Arbeitgeber gegenüber. Die Entscheidung liegt aber immer beim Unternehmen.
Spot on as always.
Bei mir bleibt das ungute Gefühl: Um den O365-Einsatz möglichst risikoarm zu betreiben, konfiguriert und dokumentiert man sich einen Wolf. Man deaktiviert sehr sinnvolle Addins, weil ungewiss ist, ob dieses Feature schon aus einem europäischen Rechenzentrum geliefert wird. Die User verwenden stattdessen weiter doodle.
Facebook, Instagram und wie sie alle heißen sind derweil auf allen smartphones installiert und keinen scheint es zu scheren.
So ist es. "Können Sie ausschließen, dass es einen Zugriff auf Ihre Daten aus USA gibt bei Ihrem Smartphone?" - "Tja, dann dürfen Sie das einfach nicht einsetzen." Du wirst bei jedem Nutzer von Google Maps finden, dass er ein vollständiges Bewegungsprofil bei Google abliefert, ohne dass das jemanden schert. Aber wenn du einen professionellen Dienstleister beschäftigst, der dir ZUSICHERT, keine Daten abzuziehen, dann wird das auf einmal ein Problem.
Es nützt dir auch nichts, wenn du Google Maps auf dem Smartphone abschaltest oder WhatsApp verbietest. Der User hat dann ein zweites Peilgerät in der Tasche.
Passt gerade dazu: "Dringend patchen: Rund eine viertel Million Exchange-Server angreifbar" - ich wette, keiner von denen steht bei Microsoft im Office 365. :-)
Der einzige Exchange-Server, den wir noch on premise betreiben, dient dem ADFS, damit Microsoft auch ja keinen Zugriff auf unsere Account-Daten hat. Und damit hätten wir wieder die Sicherheit eines Cloud-only-Pakets ausgehebelt.
