Schlagwort: Microsoft Office 365

Der Hessische Datenschutzbeauftragte verbietet Microsoft Office 365 an Schulen

17. Juli 2019

Die digitalen Anwendungen im Schulalltag verändert das Lernen wie kaum zuvor. Jedoch scheint Hessen auf ein Problem mit Cloudanwendung von Office 365 gestoßen zu sein, so dass die Nutzung von Office 365 an hessischen Schulen derzeit verboten werden soll. Was für Microsoft Office 365 gilt, ist auch für andere Cloud-Lösungen etwa von Google oder Apple zutreffend.

Michael Ronellenfitsch, der Hessische Beauftragte für Datenschutz und Informationsfreiheit, betonte, dass Dritte Zugriff auf die Microsoft Cloud erlangen könnten, weswegen Schulen die Cloudanwendung von Office 365 nicht mehr nutzen sollen. Laut Ronellenfitsch liegt das Problem, dass personenbezogene Schülerdaten aus Deutschland in die USA übermittelt werden. In seiner Stellungnahme erklärte der Landesdatenschutzbeauftragte, dass der entscheidende Aspekt ist, „ob die Schule als öffentliche Einrichtung personenbezogene Daten von Kindern in einer europäischen Cloud speichern kann, die z.B. einem möglichen Zugriff US-amerikanischer Behörden ausgesetzt ist.“ Ferner begründet er seine Auffassung, dass Office 365 nicht für Schulen geeignet ist, mit der besonderen Verantwortung der öffentlichen Einrichtungen in Deutschland beim Datenschutz hinsichtlich der Zulässigkeit und Nachvollziehbarkeit der Verarbeitung personenbezogener Daten. Zudem mahnt Ronellenfitsch, dass „die digitale Souveränität staatlicher Datenverarbeitung gewährleistet sein“ müsse. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat auch darauf hingewiesen, dass über Windows 10 und Microsoft Office 365 „eine Fülle von Telemetrie-Daten an Microsoft übermittelt“ würden, deren Inhalte trotz wiederholter Anfragen noch nicht hinreichend geklärt seien.

Der Landesdatenschutzbeauftragte argumentiert, dass man auch mit der Einwilligung der Betroffenen das Problem nicht lösen könnte, da die Sicherheit und Nachvollziehbarkeit der Datenverarbeitungsprozesse nicht gewährleistet sind. Der Versuch einer Heilung durch eine Einwilligung der Eltern bietet auch keine Lösung, weil es nicht nachvollziehbar ist, welche Daten tatsächlich übermittelt werden.

Diese Regelungen gelten zurzeit nur in Hessen. Es bleibt abzuwarten, wie die anderen Bundesländer hiermit umgehen werden.

Microsoft verspricht mehr Kontrolle über Nutzerdaten

8. Mai 2019

Der Software-Konzern reagiert auf die Kritik am Umgang mit Benutzerdaten (wir berichteten) in seinen Produkten, die in Europa in den vergangenen Monaten lauter geworden ist.

Als Reaktion darauf möchte Microsoft über drei Zugänge seinen Kunden mehr Transparenz und Kontrolle über ihre Daten geben. Das wurde nun auf einem Blogbeitrag veröffentlicht.

Zunächst sollen die gesammelten Daten in zwei Gruppen eingeteilt werden: Notwendige (required) und optionale. Notwendige Informationen braucht Microsoft, damit Produkte wie das Betriebssystem oder Office-Software richtig funktionieren. Darunter fallen etwa Begriffe bei Suchanfragen, aber auch Geräte-IP und -typ.

Optionale Daten sollen zur Produktverbesserung genutzt werden. Die genutzten Microsoft-Produkte werden jedoch umfänglich funktionieren – unabhängig davon, ob Kunden der Sammlung von optionalen Daten zustimmen.

Das transparentere Vorgehen soll dem Nutzer die Entscheidung, welche Daten er teilen möchte, erleichtern. In verständlicher Sprache will Microsoft dann erklären, wofür es die Daten überhaupt sammelt und warum sie einer der beiden Kategorien zugeordnet wurden.

Letzlich will Microsoft auch halbjährlich Reports veröffentlichen. So soll zum einen veröffentlicht werden, wenn neue notwendige Daten gesammelt werden. Zum anderen sollen Kunden aber auch darüber informiert werden, wenn Microsoft aufhört, bestimmte Arten von notwendigen Daten zu sammeln. Der IT-Konzern will in den Reports auch darauf eingehen, wie er auf neue Datenschutzbestimmungen reagiert.

Die Maßnahmen sollen in den folgenden Monaten umgesetzt werden. Zunächst für die Produkte Windows 10 und Office 365 ProPlus, anschließend für die Plattformen Xbox und Dynamics 365.

Notwendigkeit einer Betriebsvereinbarung für die Einführung von Microsoft Office 365

28. Juli 2017

Microsoft Office 365 kann auch in der Cloud betrieben werden. Und genau dies macht die Einführung dieses Systems im Unternehmen spannend wie auch datenschutzrechtlich kompliziert. Dies geht zurück auf aktuelle Praxisprobleme rund um die Cloud, insbesondere aus datenschutzrechtlicher Sicht. Hier ist noch eine Menge in Bewegung. Vor allem ist bereits jetzt abzuschätzen, dass die Rechtslage durch die DSGVO noch weiter an Komplexität zunehmen wird. Mit Microsoft Office 365 ist es jedenfalls möglich nicht nur alle Dokumente, sondern auch Telefonverbindungen, Termine, Emails usw. in die Cloud zu übertragen.

Dadurch wird möglich, dass alle Mitarbeiter auf alle Daten zugreifen und von überall auch bearbeiten können. So schön das auch klingt, ist der Datenschutz dabei nicht zu vernachlässigen. Denn möglich ist eben auch eine fast vollständige Überwachung der Mitarbeiter, so dass dem Begriff der Leistungskontrolle dadurch eine völlig neue Tragweite zukommt. Der Arbeitgeber kann nämlich beispielsweise nachvollziehen, wer wie lange an einem Dokument gearbeitet hat oder wer, wem, wie lange eine Email geschrieben hat. Ausgeschlossen ist überdies nicht, dass Daten miteinander verknüpft werden können. Auf diese Weise können aussagekräftige Bewegungsprofile des Mitarbeiters erstellt werden.

Aus Sicht der Unternehmen geht es freilich um wertvolle Informationen, wollen sie herausfinden wie viel ein Mitarbeiter leisten kann, um daraus wiederum Leistungsvorgaben definieren zu können. Gerade diese Vor- und Nachteile je nach einzunehmender Sichtweise, macht es erforderlich, dass der Betriebsrat die Einführung von Microsoft Office 365 bestätigt. Insofern hat der Betriebsrat hier ein Mitbestimmungsrecht.

  • 87 Betriebsverfassungsgesetz

 

(„1) Der Betriebsrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, in folgenden Angelegenheiten mitzubestimmen (…)

6. Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen (…)“

 

Dieses Recht sichert letztlich das Persönlichkeitsrecht der Mitarbeiter und ist somit eng verbunden mit dem Datenschutzrecht, da das Persönlichkeitsrecht hier wegen der unfreiwilligen Preisgabe personenbezogener Daten der Mitarbeiter verletzt werden kann.

Im Rahmen der Betriebsvereinbarung kommt es maßgeblich darauf an, darauf zu achten, dass insbesondere die IT-Sicherheit gewährleistet ist. Daneben müssen Mitarbeiter darüber informiert werden, welche Daten von ihnen erhoben, verarbeitet und genutzt werden.