Mastodawn

Corinair May 3, 2022

Kuketz-Blog 🛡

Ich sammle gerade Links für einen Beitrag. In diesem Beitrag möchte ich auf Studien/Analysen/Quellen etc. verlinken, die seriös und nachvollziehbar darlegen, weshalb Microsoft nicht datenschutzkonform nutzbar ist. Dazu brauche ich: #FollowerPower 🧙‍♂️

Martin Puppe May 3, 2022

@kuketzblog Die Hypothese wird also schon als gegeben angenommen und jetzt suchst du nur noch Quellen, die sie stützen, aber nicht solche, die sie widerlegen könnten?

Ich zweifle übrigens nicht an der Hypothese, aber so sollte eigentlich weder Wissenschaft noch Journalismus funktionieren.

Goran May 3, 2022

@kuketzblog
Es betrifft ja nicht nur Microsoft. Das Spannungsfeld geht letztendlich zwischen der Gesetzgebung in der USA (CLOUD ACT) und der EU (DSGVO). Das Privacy Shield Abkommen konnte so dann auch nicht gehalten werden.

https://www.datensicherheit.de/cloud-act-dsgvo-compliance-datensicherheit

US CLOUD Act vs. EU-DSGVO: Ringen um Compliance und Datensicherheit

Der CLOUD Act erlaubt es US-Behörden und internationalen Strafverfolgern, Zugriffsanfragen an Cloud-Betreiber zu richten.

datensicherheit.de Informationen zu Datensicherheit und Datenschutz

Goran May 3, 2022

@kuketzblog
Zwar wehren sich die US-Unternehmen; Microsoft versucht so die Server innerhalb Deutschlands und der EU zu entkoppeln, doch steht weiterhin im Cloud Act, dass die US-Regierung Daten abfragen kann, wenn das Unternehmen in den USA in irgendeiner Form ansässig ist.

https://www.datenschutzticker.de/2021/05/microsoft-zieht-eu-datengrenze-und-verspricht-damit-eine-speicherung-und-verarbeitung-von-daten-ausschliesslich-in-der-eu/

Microsoft zieht EU-Datengrenze und verspricht damit eine Speicherung und Verarbeitung von Daten ausschließlich in der EU - datenschutzticker.de datenschutzticker.de

Microsoft kündigte in einem Blogbeitrag vom 6. Mai 2021 an, ab Ende 2022 personenbezogene Daten europäischer Kunden nur noch innerhalb der EU zu verarbeiten und speichern. Dies gelte, so Microsoft, für alle zentralen Cloud-Dienste von Microsoft, d.h. Azure, Microsoft 365 und Dynamics 365. Microsoft verspricht mit seinem

Goran May 3, 2022

@kuketzblog
Wichtig hierbei zu erwähnen ist, dass Microsoft mit Office 365, Azure und Teams als in die eigenen Rechenzentren gezogen hat. On-Premise wird wie ein leidige Stiefkind behandelt. So kommen Patches für aktiv genutzte Lücken für Exchange on-premise viel zu spät. Siehe link.
Die Zusagen zur DSGVO entsprechen einer Haltung, dass sie einfach die US-Gesetzgebung ignorieren würden.

https://www.datenschutz-notizen.de/die-microsoft-cloud-welt-dabei-sein-ist-alles-2732744/

Die Microsoft Cloud-Welt – Dabei sein ist alles?

Vor einem Jahr haben wir uns mit ungeklärten Rechtsfragen bei der Migration in die Microsoft Cloud beschäftigt. Was hat sich seither getan?

datenschutz notizen | News-Blog der datenschutz nord Gruppe

Goran May 3, 2022

@kuketzblog
Zugleich liegt GAIA-X im Sterben. Denn natürlich beschweren sich amerikanische und chinesische Anbieter, welche zugleich nahezu den gesamten Markt ausmachen.
Eine europäische Cloud mit Palantir ist auch einfach mal Lächerlich.

https://www.wiwo.de/unternehmen/it/europaeisches-datenprojekt-gaia-x-wird-keine-europaeische-cloud-schaffen/27922086.html

Gaia-X: 2022 wird zum Bewährungsjahr für die europäische Cloud

2022 wird das Bewährungsjahr für die europäische Alternative zu Amazon, Google & Co. Folgen nicht bald konkrete Anwendungsmöglichkeiten, droht das Milliardenprojekt zu scheitern.

Wirtschaftswoche

Goran May 3, 2022

@kuketzblog
Alternativen für Teams gibt es faktisch nicht mehr, seitdem Unify ihr Tool Circuit an Ring Central verkauft hat.
Hätte gerne mehr von der französisch-deutsch-amerikanischen Lösung gesehen.

https://t3n.de/news/circuit-deutsche-slack-alternative-829035/

t3n – digital pioneers | Das Magazin für digitales Business

News + Artikel für die digitale Wirtschaft. Das führende deutschsprachige Medium rund um die Themen eBusiness, Zukunftstechnologien und digitales Arbeiten.

Ich glaub damit bist du erstmal für den Anfang versorgt

https://homepage.univie.ac.at/christian.swertz/texte/2022_03_DSGVOinVS/2022_03_DSGVOinVS.pdf

https://core.ac.uk/download/pdf/229008292.pdf

https://roland.alton.at/sites/default/files/documents/ALTONuDay2015v2.pdf

https://datenschutz.hessen.de/pressemitteilungen/der-hessische-beauftragte-f%C3%BCr-datenschutz-und-informationsfreiheit-fordert-die

Arco May 3, 2022

@kuketzblog Ich würde ganz einfach sagen Schrems 2?
Oder sonst gibt es auch @es_geht_um_deine_daten

Rigo Wenning May 3, 2022

@kuketzblog Die CNIL hat ihr Verfahren gegen Microsoft eingestellt. Die Unmöglichkeit Teams oder 365 einzusetzen ist also eher eine 🇩🇪 Hypothese. Aber die 🇫🇷 CNIL hat eine Empfehlung bei Cloud-Diensten herausgegeben, die nützlich sein kann:
https://www.cnil.fr/sites/default/files/typo/document/Recommandations_pour_les_entreprises_qui_envisagent_de_souscrire_a_des_services_de_Cloud.pdf

Datenschutz May 3, 2022

@rigo @kuketzblog
Die Frage der Datenschutzkonformität von MS-Produkten hängt auch an der verwendeten (Windows-)Version. Spätestens ab Windows 10 wirdes kritisch. Wir haben versuchsweise einen Rechner mit Windows 10 zuerst ohne Netzanschluss installiert, was mit hohen Hürden verbunden war. Sobald dieser am Netz hing, hat er sich UNAUFGEFORDERT mit MS-Serveradressen verbunden und Dinge nachinstalliert sowie Infos an MS geliefert.
1/2

Datenschutz May 3, 2022

@rigo @kuketzblog
2/2
Unter Windows 8 war noch bedingt netzfreier Betrieb möglich. Wir haben zu Moodle übrigens eine Datenschutz-Folgenabschätzung gemacht und eine für ein anderes System revidiert. Das liesse sich auch für MS-Applikationen machen. Für Google liegt uns bereits eine vor, ebenso für das Produkt e-study.

von linux/Gnu gibt es folgenden Bericht:https://gnulinux.ch/zeugnisse-von-microsoft

Zeugnisse von Microsoft

Dem Software-Konzern ist die Überwachung seiner Kunden ein Anliegen und nimmt damit Arbeitnehmer und Schüler ins Visier.

GNU/Linux.ch

Datenschutz May 3, 2022

@rigo @kuketzblog
Prüfungshinweise der DSK zu Windows 10
https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/Datenschutz_bei_Windows_10_-_Pruefschema_V1.0.pdf

Hex May 3, 2022

@kuketzblog Meine erste Quelle wäre @noybeu. Dort gibt es einen allgemeinen Artikel zum Datenexport in die USA und einen aktuellen, der das am Beispiel Google Analytics aufarbeitet.

https://noyb.eu/en/project/eu-us-transfers

https://noyb.eu/en/austrian-dsb-eu-us-data-transfers-google-analytics-illegal

So ein Artikel sollte aus meiner Sicht aber nicht nur die rechtlichen Probleme beleuchten. Proprietäre Software in der Bildung, Abhängigkeit von Cloud Services und marktbeherrschende Konzerne wären auch nicht okay, wenn die Nutzung legal wäre.

https://noyb.eu/en/project/eu-us-transfers

Since 2013 this case on US mass surveillance and EU companies feeding into it, is pending.

noyb.eu

Roy May 3, 2022

@kuketzblog Es gibt dazu diverse Datenschutzfolgeabschätzungen des Niederländischen Ministry of Justice and Security (Ministerie Van Justitie en Veiligheit)

@roy @kuketzblog In dem folgenden Artikel sind viele der Studien/Folgeabschätzungen verlinkt: https://www.privacycompany.eu/blogpost-en/new-dpia-on-microsoft-office-and-windows-software-still-privacy-risks-remaining-long-blog

New DPIA on Microsoft Office and Windows software: still privacy risks remaining (long blog) - Blogpost

‍On behalf of the Dutch Ministry of Justice and Security, Privacy Company has investigated the privacy risks related to the use of Microsoft Windows 10 Enterprise, Office 365 ProPlus and Office Online, as well as the mobile Office apps. With the Ministry’s permission, we are publishing two blog posts about our findings: this log blog post as well as a short blog post. For questions about the research, please contact SLM Rijk (Strategisch Leveranciersmanagement Microsoft Rijk), which can be contacted via the Ministry of Justice’s press spokesperson, +31 (0)70 370 73 45.

Christian May 3, 2022

@kuketzblog Keine Quelle, aber ich denke die encryption keys sind mal zu verstehen. Kann ich also sicherstellen, dass MS keinen Zugriff hat? So wie ich das lese nein.
https://docs.microsoft.com/en-us/microsoft-365/compliance/customer-key-overview?view=o365-worldwide

Service encryption with Microsoft Purview Customer Key - Microsoft Purview

In this article, you will learn about how service encryption works with Microsoft Purview Customer Key.

SmartLiving May 3, 2022

@kuketzblog
Spannendes Thema. Ich habe selber kein Beispiel, bin mir aber sicher, dass @nextcloud Dir hierzu locker ein paar Beispiele aus dem Ärmel schütteln kann

diritschka May 3, 2022

@kuketzblog , wir pflegen seit einiger Zeit (Link-)Listen, die mit "nie_wieder_" beginnen und z.B. auf "microsoft" enden. Ist aber alles nur aus offiziellen Quellen (heise etc.), nix besonderes also.

1Datenschuetzer May 3, 2022

@kuketzblog Vielleicht hilft das:
www.baden-wuerttemberg.datenschutz.de/nutzung-von-ms-365-an-schulen/

Marc Véron May 3, 2022

@kuketzblog
Die Regierung des Kantons Zürich berechnete, dass " die prognostizierte Wahrscheinlichkeit eines erfolgreichen ausländischen Lawful Access in Bezug auf Daten in Geschäftsverwaltungssystemen in der Betrachtungsperiode von fünf Jahren bei 0,74% liegt. Bei diesem Wert braucht es 1552 Jahre, damit es – statistisch gesehen – mit einer Wahrscheinlichkeit von 90% mindestens einmal zu einem erfolgreichen Lawful Access kommt." Siehe https://dnip.ch/2022/04/19/techjourno-perlen-und-anderes-teil-12/
#FollowerPower #datenschutz #dnip

RA Michael Seidlitz May 3, 2022

New DPIA for the Dutch government and universities on Microsoft Teams, OneDrive and SharePoint Online

https://www.privacycompany.eu/blogpost-en/new-dpia-for-the-dutch-government-and-universities-on-microsoft-teams-onedrive-and-sharepoint-online

DPIA on Microsoft Teams, OneDrive Sharepoint and Azure AD (June 2021)
Data protection impact assessment on the processing of Diagnostic Data
Version 1.1
Date 16 February 2022

https://www.rijksoverheid.nl/documenten/publicaties/2022/02/21/public-dpia-teams-onedrive-sharepoint-and-azure-ad

New DPIA for the Dutch government and universities on Microsoft Teams, OneDrive and SharePoint Online - Blogpost

RA Michael Seidlitz May 3, 2022

@kuketzblog
DPIA report diagnostic data processing in Microsoft Office 365 for the Web and mobile Office apps
(report delivered March 2020, Update June 2020)

https://open.overheid.nl/repository/ronl-aba85735-5a7a-4a8c-9c7a-7755d6bef118/1/pdf/DPIA%20Office%20for%20the%20Web%20and%20mobile%20Office%20apps%2030%20June%202020.pdf

Alex Stephan May 3, 2022

@kuketzblog https://www.heise.de/hintergrund/Schule-digital-K-ein-Platz-fuer-Microsoft-4875272.html?seite=2

In Nürnberg ist die Situation ähnlich. Dort hat sich der Rechtsanwalt Oliver Rosbach in Abstimmung mit dem Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) die Mühe gemacht, ein eigenes Audit durchzuführen. Ergebnis ist ein "Kurzgutachten zur Verwendung von Office 365 unter Windows 10 an Schulen". Darin schreibt der Jurist: "Die Software übermittelt in erheblichem Umfang Daten an Microsoft."
Hab das Gutachten aber nicht gefunden

Notfall-Lösung

Bayern und Baden-Württemberg setzen in Corona-Zeiten verstärkt auf Homeschooling mit Microsoft-Produkten, doch Eltern, Lehrer und Datenschützer protestieren.

heise online

Hartmut Goebel May 3, 2022

@fiff Habt ihre eine Quelle dafür? ^^

bormel May 3, 2022

@kuketzblog ich finde ja bezogen auf den Bildungsbereich (#FediLZ), aber auch andere Einrichtungen, vor allem neben dem Datenschutz die Probleme der Erzeugung von digitalen Abhängigkeiten (LockIn Effekt) und frühzeitiger Produktbindung noch problematischer. Das natürlich nicht Dein Fokus, könnte aber ja einer umfassenden Analyse ebenfalls mit einfließen.

diritschka May 3, 2022

@kuketzblog , wie sagte meine Mutter (>80) neulich: "Microsoft stört mich nicht. Ich habe ja ein iPad". 😀

smothesfoto May 3, 2022

@kuketzblog BSI SiSyPHuS Win10
https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Studien/SiSyPHuS_Win10/SiSyPHuS_node.html

SiSyPHuS Win10: Studie zu Systemaufbau, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10

Bundesamt für Sicherheit in der Informationstechnik

Cord Santelmann May 3, 2022

@kuketzblog Der LfDI BW ist davon überzeugt, dass MS 365 jedenfalls an Schulen nicht datenschutzkonform einsetzbar ist. Er hat die Datenabflüsse in einem Pilotprojekt eingehend analysiert: https://www.baden-wuerttemberg.datenschutz.de/nutzung-von-ms-365-an-schulen/

Nutzung von MS 365 an Schulen - Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg

LfDI erwartet von Schulen, dass sie Schüler_innen bis zu den Sommerferien 2022 Alternativen zum Cloud-Dienst MS 365 für den Schulbetrieb anbieten

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg

Thomas Gutte May 3, 2022

@kuketzblog Mir liegen zwar alle relevanten Publikationen, Gutachten, Audit-Ergebnisse vor - ich frage mich aber ernsthaft was mit diesem Bashing erreicht werden soll. Ist es nicht sinnvoller Artikel zu verfassen, die dazu beitragen, was zu tun ist, dass die weit verbreitetsten IT-Lösungen zukünftig konform eingesetzt werden können. Zudem für politische Auswüchse kann MS recht wenig. - PS: Ich nutze nicht Windows, bin Linux- / MacOS- und LibreOffice User.

Kara Cho May 3, 2022

@kuketzblog hat von euch jemand in diesem Zusammenhang eine Liste guter Alternativen?
1. Nextcloud
2. Matrix
3. wiki
4. Big blue button / Jitsi
…

raspilot May 3, 2022

@kuketzblog #Vertragsbrüchigkeit von Seiten #Microsoft|s auch bei direktem Austausch mit Behörden in einem #Pilotprojekt für den Einsatz eines Produktes an #Schule|n.
https://www.baden-wuerttemberg.datenschutz.de/ms-365-schulen-hinweise-weiteres-vorgehen/

#LfDI #MS365 #BaWü

Hinweise des LfDI zur Nutzung von Microsoft 365 durch Schulen - Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg

Dem Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI), der für Datenschutz Baden-Württemberg zuständigen

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg

mupan 📚May 3, 2022

@kuketzblog https://www.heise.de/select/ct/archiv/2013/17/seite-16

Microsofts Hintertür

Rootupdates am Windows-Certstore vorbei, verborgen, ohne administrative Eingriffsmöglichkeit, ohne Log, ohne Info. Auch manche Anbieter von Software setzen darauf, Avira hat ein Update nicht durchgeführt, und der dafür im Avira-Forum angebotene Microsoft-Fix-It hat (hab ihn ausgepackt) den registry-Schlüssel so gesetzt, dass die heimlichen Updates wieder gingen. Hab den Verdacht auch bei Buhls tax.

Artikel-Archiv | c't 17/2013, Seite 16 | Heise Magazine

Quincy ⁂May 4, 2022

@kuketzblog Super, wie manche hier wieder de facto unbezahlt Partei für einen Konzern ergreifen, bei Datenschutz / opensource die Einnahme eines "kritischen" und "offenen" Blickpunkts fordern,

gar Datenschutz angesichts der Realität eines räuberischen Überwachungskapitalismus als "Mainstream" bezeichnen 🤦‍♂️:

Nur weil sich hier mal Menschen zusammenfinden, die das nicht so toll finden? Nur weil es endlich gegen alle Widerstände eine DSGVO gibt?

Merke: kritisch != ergebnisoffen - wie beim Klima.

Quincy ⁂May 4, 2022

@kuketzblog Nennt mich gern "Datenschutztaliban".

Aber ich setze mich durchaus von mehreren Seiten mit den Problematiken auseinander

Doch warum sollte ich von dem Schluss abrücken, dass es scheiße ist, Konzerne (denen es nur ums Geld machen geht, duh - dieser Blickpunkt ist sogar sehr einfach einzunehmen!) über uns bestimmen zu lassen? Denn das ist es, was die Allgegenwärtigkeit geschlossener und datensaugender Systeme letztendlich bedeutet!

@kuketzblog also eigentlich reicht da ne imprische Studie mit pihole logs ;)

BSI May 4, 2022

Das #BSI stellt mit der #SiSyPHuS Win10 Studie Analysen zu Windows 10 zur Verfügung:

👉 https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Studien/SiSyPHuS_Win10/SiSyPHuS_node.html

Dies sind keine Aussagen zur Relevanz für den #Datenschutz, jedoch sind die technischen Erkenntnisse, wie zur Telemetrie, mitunter eine hilfreiche Basis.

SiSyPHuS Win10: Studie zu Systemaufbau, Protokollierung, Härtung und Sicherheitsfunktionen in Windows 10

Bundesamt für Sicherheit in der Informationstechnik