💾 Archived View for senioradmin.de › Einschaetzung-M365.markdown captured on 2023-09-28 at 15:50:30.

View Raw

More Information

⬅️ Previous capture (2021-12-03)

-=-=-=-=-=-=-

---
title: "Eine kritische Einschätzung zur Einführung von Microsoft 365"
author: "License: CC0"
theme: "Pittsburgh"
colortheme: "crane"
fonttheme: "professionalfonts"
urlcolor: blue
fontsize: 8pt
license: CC0
header-includes: |
    \usepackage{setspace}
---
# Für was diese Präsentation?



    * Menschen, die von der Einführung von M365 betroffen sind und diese kritisch sehen
    * Alle anderen, die dieses Thema interessiert




    * Freiheit der User/Freie Software
    * Überwachungskapitalismus
    * soziale Argumentation
    * ökologische Argumentation
    * antikapitalistische Argumentation


---


# Überblick




---

# Motivation


    * Die IT
    * Die IT-Leitung
    * Die Geschäftsführung




    * Kostensenkung
    * Steigerung der Effizienz
    * Nutzung von Synergien, weil andere Abteilungen/Schwesterfirmen schon M365 nutzen

Mögliche Fragen an die Entscheider am Ende dieser Präsentation

---


# Datenschützer sehen Microsoft 365 in Behörden als nicht rechtskonform an 


    * fehlende Beschreibung von Art und Zweck der Verarbeitung
    * es geht nicht eindeutig hervor, welche personenbezogenen Daten verarbeitet werden
    * Microsoft unterliegt dem Cloud Act
    * keine ausreichende Darstellung von Maßnahmen zum Schutz von personenbezogenen Daten
    * von Microsoft werden Daten, die zu eigenen Zwecken verarbeitet werden, nicht gelöscht
    * fehlende Transparenz beim Einsatz von Unterauftragnehmern


    * <https://www.datenschutzkonferenz-online.de/media/pr/20201030_protokoll_3_zwischenkonferenz.pdf>
    * <https://www.dids.de/2020/10/26/entscheidung-der-datenschutzkonferenz-zu-ms-office-365/>
    * <https://www.heise.de/news/Datenschuetzer-sehen-Microsoft-365-in-Behoerden-als-nicht-rechtskonform-an-4893604.html>

---

# Datenschutzbewertungen aus den Bundesländern: Berlin




  vor. Eine Rechtsgrundlage ist nicht ersichtlich

  Unterauftragsverarbeiter tätig sind, also auch in den USA


<https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2021-BlnBDI-Hinweise_Berliner_Verantwortliche_zu_Anbietern_Videokonferenz-Dienste.pdf>


---

# Datenschutzbewertungen aus den Bundesländern: Baden-Württemberg 



Kultusministerin Eisenmann hat eine Datenschutz-Folgenabschätzung zum Einsatz von M365 in Auftrag gegeben. Die Studie
wurde nicht veröffentlicht. Der Datenschutzbeauftragte Brink konnte sie einsehen und schrieb anschließend:
"Es scheinen derzeit strukturelle Merkmale vorzuliegen, welche die Möglichkeit eines datenschutzkonformen Einsatzes
fraglich erscheinen lassen"

<https://www.badische-zeitung.de/eisenmann-setzt-auf-microsoft-plattform-fuer-schulen-und-erntet-kritik--189022089.html> 

PS: Eine Datenschutz-Folgeabschätzung ist immer dann durchzuführen, wenn 
"aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung 
voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen" besteht



---

# Problem Cloud Act


  "Damit sei, so die gemeinsame Bewertung der beteiligten Datenschutzaufsichtsbehörden, die Transferproblematik 
  in die USA nicht generell gelöst"

  Daten an Behörden von Drittländern herausgibt. 


<https://www.cr-online.de/blog/2020/11/22/zusatz-zu-standardvertragsklauseln-massenweise-nebelkerzen-von-microsoft-und-manchen-datenschutz-aufsichtsbehoerden/>

---

# Teams sammelt Daten



  Werkzeug zur Arbeitsplatzüberwachung

  während und außerhalb der Arbeitszeit für den angegebenen Zeitraum in der Anfrage verbracht hat, 
  von Anrufen über Chats bis hin zu E-Mails und Kalendereinträgen".

  angibt, wie gut eine Person innerhalb des Unternehmens vernetzt ist", basierend auf umfangreichen 
  E-Mail-, Kalender-,  Anruf- und Chat-Daten.

Datenschützer Wolfie Christl <https://twitter.com/WolfieChristl/status/1331579706349645824>

---

# Teams sammelt Daten

Microsoft hat angekündigt (noch nicht umgesetzt), diese Funktionalität abzumildern. Überwacht und gespeichert werden 
wird das Verhalten weiterhin, kann dann jedoch nur noch in aggregierten Ansichten zu größeren Personengruppen
eingesehen werden.

Weiter werden mehr oder minder arbiträre Daten wie die Nutzung von Chatfunktionen herbeigezogen, um die Qualität von 
Arbeitsergebnissen zu bewerten. Die Akzeptanz technischer Mittel wird mit Erfolg gleichgesetzt.

Es gibt ein MS-Patent auf eine Methode aufgrund von "Veränderung von Verhalten" Nutzer:innen mit
"Kollaborationsproblemen" zu identifizieren.

<https://netzpolitik.org/2020/microsoft-office-365-ueberwachung-des-verhaltens-angestellter-soll-beschraenkt-werden/>

---

# Microsoft Viva

Am 04.02.2021 hat Microsoft die neue Plattform "Microsoft Viva" vorgestellt, die Teil von M365 sein wird. MS Viva
besteht aus 4 Teilen:



Analyse für das Zeitmanagement. Manager haben Zugriff auf die Zeiteinteilung von Teams. Es lassen sich Analysen 
über die Verbindungen verschiedener Arbeitsgruppen herstellen. *"Viva Insights unterstützt Einzelpersonen und 
Unternehmen  mit datengestützten Erkenntnissen und Empfehlungen. Viva Insights ermöglicht Führungskräften, 
Entwicklungen auf der Team- und Organisationsebene zu erkennen"* Ein herunterbrechen der Analyseergebnisse 
auf einzelne Mitarbeiter:innen soll für Vorgesetzte nicht möglich sein. 

Quellen:





---

# Fazit Datenschutz


## **Fazit Datenschutz**

Es ist davon auszugehen, dass alles was über die Microsoft-Online-Werkzeuge getan und verarbeitet wird bei Microsoft
gespeichert und durch Microsoft analysiert wird, denn Microsoft behält sich die Verarbeitung von Kundendaten für eigene Zwecke vor

Arbeitgeber erhalten - wenigstens zum Teil - Zugriff auf diese Analysen, was auch zu einer Beurteilung von Gruppen oder gar 
einzelnen Mitarbeitern führen kann. Auch wenn das herunterbrechen der Analsye auf einzelne Mitarbeiter:innen nicht möglich
sein soll - die betroffenen Personen selbst können sie einsehen und das Management könnte von Mitarbeiter:innen verlangen,
diese Daten weiterzuleiten. Außerdem ist es äußerst unangenehm zu wissen, dass man von der Software, mit der 
gearbeitet wird, ständig überwacht und analysiert wird.

Die weiterhin offenen Fragen beim Datenschutz - insbesondere, was den Transfer von Daten in die USA angeht -, die
unklaren und widersprüchlichen Aussagen in den Verträgen, die unzulässige Einschränkung von Rechten für Nutzer:innen, 
die die DSGVO vorsieht, machen Microsoft 365 zu keinem Werkzeug, dem man sorglos Daten anvertrauen kann, von der 
dadurch fehlenden Rechtssicherheit ganz zu schweigen. 

---

# Microsoft 365 und Vendor Lock-In

Unter Vendor Lock-in versteht man wenn Kunden derart von den Produkten oder Dienstleistungen eines Anbieters abhängig
sind, dass sich der Wechsel zu einem Mitbewerber wirtschaftlich nicht rechnen würde. 

Die Gefahr des Vendor Lock-In ist um so höher je mehr Dienste eines Cloud Service Providers in Anspruch genommen werden und je
integrierter die Services sind.

Microsoft 365 bietet einen umfassend integrierten Dienst an, eine komplette SaaS-Lösung.



    * die Nutzung mehrerer Cloud-Anbieter parallel
    * die Infrastruktur des Cloud-Anbieters lokal zu duplizieren
    * die Nutzung offener Standards
    * zu Vermeiden proprietäre Elemente der Cloud zu nutzen
    * auf Interoperabilität und Portabilität zu achten
    * die Nutzung von Open-Source Software
    * eine Hybrid-Cloud bzw. Hybrid-IT Strategie
        * Wichtige Daten werden in einer private Cloud bzw. vor Ort im  Rechenzentrum vorgehalten
        * weniger wichtiges kommt in die Public Cloud
    * das Planen einer Exit-Strategie vor dem Gang in die Cloud



KTH Royal Institute of Technology, Stockholm, 2015*




---

# Microsoft 365 und digitale Souveränitat

Digitale Souveränität bedeutet:


  wobei sie die Hoheit über ihre eigenen Sicherheits- und Datenschutzinteressen behalten sollen

 

"Wer öffentliche Clouds und Plattformen nutzt, gibt digitale Souveränität preis.
Unverschlüsselt in einer von Dritten betriebenen Cloud oder Plattform gespeicherte oder verarbeitete  Daten  sind  gegenüber  dem  Betreiber technisch nicht geschützt. 
Ein Ausfall der Cloud/Plattform  oder  der  notwendigen  Kommunikationsdienste führt zu  (temporärer) Unverfügbarkeit der Daten/Dienste"

"Digitale Souveränität" - Kompetenzzentrum Öffentliche IT - Fraunhofer-Institut für Offene Kommunikationssysteme 



Günter Born: <https://www.golem.de/news/microsoft-digitale-amnesie-durch-willkuerliche-kontensperrungen-2008-150217-3.html>

---

# Bedeutung für die Organisation




    * Fehlende Nutzerakzeptanz
    * Fehlende Vorbereitung
    * Mangelnde Fortbildung

Quelle: Webinar "Microsoft Teams – die ultimative Plattform für alle?" <https://www.comconsult.com/kostenlos-microsoft-teams/>


---

# Fragen







  oder Konten gesperrt werden?



\tiny
[1]Aufgrund einiger datenschutzrechtlicher Risiken beim Einsatz in Unternehmen muss beim Einsatz von Microsoft 365 in der
Regel im Vorfeld eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO (DSFA) durchgeführt werden <https://www.srd-rechtsanwaelte.de/blog/dsfa-microsoft-365/>