Kuketz-Blog 🛡

Der hessische Datenschutzbeauftragte gibt Microsoft 365 für die Verwaltung frei – räumt aber gleichzeitig ein, dass seine Behörde die Dienste technisch überhaupt nicht prüfen konnte. Personell nicht in der Lage, aber angeblich alle Grundsatzfragen gelöst? Klingt eher nach »Wir wissen es nicht, aber wird schon passen«. Genau so schafft man kein Vertrauen in Datenschutz. 🙄

https://www.heise.de/news/Gruenes-Licht-fuer-Microsoft-365-in-Hessens-Verwaltung-11079834.html

/kuk

Microsoft 365 in Hessen: Grünes Licht ohne technische Untersuchung

Microsoft 365 kann laut hessischem Datenschutzbeauftragten datenschutzkonform eingesetzt werden – unter bestimmten Voraussetzungen.

heise online
Nov 15 at 10:46amWeb
Show threadKuketz-Blog 🛡Nov 15
Eine datenschutzrechtliche Freigabe ohne technische Analyse ist IMHO komplett wertlos. Wenn man nichts prüft, kann man auch nichts wissen – und erst recht nichts garantieren.
Show threadAlexander FischerNov 15
@kuketzblog ist aber genau das, was ich bei vielen behördlichen DSern feststellen muss. Geprüft wird oft nur die rein formelle Ebene…
Show threadKuketz-Blog 🛡Nov 15
@fish3rman Das ist mir bekannt, halte ich aber für völlig unzureichend. Auf dieser Grundlage ist allenfalls eine grobe Einschätzung möglich, aber keine wirklich belastbare Aussage.
Show threadIngmar RiegerNov 16
@fish3rman @kuketzblog Und selbst dann. Cloud Act ist bekannt und sollte doch als Kontra-Indikation für eine Freigabe ausreichen?!
Show threadMomoNov 15

@kuketzblog
Ich glaub das wissen die auch. Die denken nen Schritt weiter: "Wenn wir jetzt nein sagen, müssen Alternativen her, die geprüft und vorgeschlagen werden müssen von nicht vorhandenem Fachpersonal"

Die gehen den Weg des geringsten Widerstandes.

Show threadChrisNov 15
@momo @kuketzblog Genau das dachte ich auch. Alles andere kostet zu viel Zeit, Geld und Personal. So ist es einfacher.
Show threadcrossgolf_rebel - kostenlose KwalitätspostsNov 15
@kuketzblog das nennt sich dann doch _ Job verfehlt
Show threadOliver Pfleiderer 🇬🇱Nov 15
@kuketzblog Ich würde sagen, das ist nicht Deine Meinung, das ist ein Fakt.
Show threadsoletan 🇺🇦🐸Nov 15
@kuketzblog Naja, Unwissenheit schützt vor Strafe nicht und letztlich sollte man auch einen Datenschutzbeauftragten in die Haftung nehmen, wenn er eine Anwendung freigibt, die dann aber massenhaft Datenschutzverstöße begeht.
Show threadThorsten K.Nov 15
@kuketzblog Also genau wie 2022, als die DSK ebenfalls nur juristisch und ohne technische Prüfung geurteilt hat. Haben Sie das damals eigentlich auch kritisiert? #Doppelmoral #TypischKuketz
Show threadkazanNov 15
@kuketzblog Erinnert mich irgendwie an meine Arbeit. --> Der Lieferant/Anbieter der Plattform hat doch gesagt, dass alles i. O. ist. Somit ist doch alles fein und wir brauchen das ja dann auch nicht zu prüfen oder zu hinterfragen. 
Show threadSynapsenkitzlerNov 15

US-Anbieter unterliegen #Cloudact inkl. #Gagorder = kein Schutz von Daten gewährleistet = kein Einsatz von US-Anbietern wie #Microsoft in EU erlaubt. ?

@kuketzblog

Show threadFabiano CelentanoNov 15
@kuketzblog Der IStGH verwendet OpenDesk, weil er dem Gesetz verpflichtet ist, und nicht Donald Trump. Deutschland muss sich solche Sorgen natürlich nicht machen, es steht ja fest an der Seite der Rechtsradikalen.
Show threadEvilBobNov 15
@kuketzblog Das wird in BW genauso laufen. Wie bei #fckPalantir. Bis #LFDI alles geprüft hat und nein sagt hat IM unter Strobl die Verträge gemacht. Bei der BW Landtagswahl sieht die CDU schon alles in trockenen Tüchern da kann jetzt jede Schweinerei durchgezogen werden war ja alles wegen den Grünen. Die sind so doof und schlottern mit den Knien. Wie #lost ist das? Einfach nein sagen und die Koalition in die Luft gehen lassen. Die IT Leitungen der Ressorts blicken halt auch gar nix!
Show threadClu | #RipNatenom 🕯Nov 15

#AlleBeklopptGeworden

@kuketzblog

Show threadMichael EickenboomNov 15
@kuketzblog schade, wäre eine gute Gelegenheit gewesen Alternativen zu Microsoft den Einstieg etwas zu erleichtern. Wie zum Beispiel: https://cloud.ionos.de/loesungen/nextcloud
Nextcloud Hub von IONOS - eine private Cloud unter Ihrer Kontrolle

Arbeiten Sie an Dokumenten zusammen, senden und empfangen Sie E-Mails, verwalten Sie Ihren Kalender und führen Sie Video-Chats, ohne dass Daten Deutschland verlassen.

Show threadDomaslaNov 15

@kuketzblog
USA, Telemetrie usw. ist doch Kinderkram...

Die Nachvollziehbarkeit war eigentlich immer mein Hauptargument: Dass niemand versteht, was 365 alles macht. Was schon morgen ganz anders sein kann. (Oder seit vorgestern, weil es nicht nötig war, die Kunden zu informieren, was irgendjemand schnell ausprobiert.)

Man ist immer mehrere Schritte hinterher. Noch weniger weiß man, was tatsächlich passiert.

Diese schlechte Kontrolle lässt sich in der Folgenabschätzung als Risiko definieren. Mögliche Gegensteuerung z. B. mit einem "Antennen-Team" das Ankündigungen und Funktionsänderungen beobachtet. Plus Sofortmaßnahmen auf Vorrat, wie Daten zurückzuholen und auf Alternativen umzuschalten. Muhahahaha...

D., der nur berät und sich hüten würde, etwas "freizugeben".

Show threadHummingbirdNov 15
@kuketzblog Das wirft ein Schlaglicht auf das Amt des hessischen Datenschutzbeauftragen. Das Amt ist zum Feigenblatt ohne technische Kompetenz oder Ambitionen verkommen. Absolut nutzlos und sogar schädlich.
Show threadBerndNov 15
@kuketzblog Da das Ergebnis der Beurteilung politisch ja sowieso schon seit Jahren feststeht, ist es vielleicht einfach gut so, dass man es ohne weitere Kosten durchwinkt. 😉
Show threadHolger P.Nov 15
@kuketzblog
Wirtschaftsministerium: „Du, DSB, mach jetzt mal, MS ist doch im Grunde alternativlos.“
DSB: „Es gibt doch aber Lin…“
Wirtschaftsministerium: „Wir haben da aktuell keine Mittel um in irgendeine andere Lösung zu investieren.“
DSB: „Ähm, ja, ok.“
Show threadCyb3rrunn3r "Berufspessimist"Nov 15
@kuketzblog Was macht der eigentlich beruflich??? 🤔
Show threadPhilippNov 15
@kuketzblog lustig. Allein jedes kritis Unternehmen ist sogar verpflichtet genügend Mitarbeiter für Projekte bereitstellen zu können. Für ein Land gilt sowas nicht?
Show threadAndreas TengickiNov 16
@philipp @kuketzblog Ist Hessen kritische Infrastruktur?
Show threadPhilippNov 16
@andreas_tengicki @kuketzblog keine Ahnung, ist mir auch egal. Du weißt was ich damit sagen wollte.
Show threadAndreas TengickiNov 16
@philipp @kuketzblog Achtung Ironie, alles gut. Ich bin bei Dir.
Show threadTh.HampelNov 15
@kuketzblog Wie die Zulassungsbehörde die einem PKW eine Strassenzulassung gibt weil das Fahrzeug aussieht als könnte es sicher sein. Tolle Aktion. Wofür bezahlen wir den Datenschutzbeauftragten gleich nochmal?
Show threadBrainworms, wir sind Viele!Nov 15
@kuketzblog Vertrauen in eine deutsche Behörde bedeutet, man kann seine Daten gleich in der Zeitung veröffentlichen.
Die Naziregierung gibt doch gerne sämtliche Daten der Bevölkerung a) an die Drecksnazis und b) an die Faschoregierung in den Staaten. 🤮🤮🤮🤮🤮
Traue keinem Deutschen! ☝🤮🤮
Show threadtessaraktNov 15
@kuketzblog Der hat eine Zuständigkeit dafür, etwas explizit freizugeben? 😱
Show threadfunkybyrd 🐦‍🔥Nov 15
@kuketzblog Ich muss zugeben, dass ich leider nicht überrascht bin. Der hessische LfDI hat ja auch die Datenverarbeitungspraktiken der SCHUFA abgesegnet, wenn ich nicht irre.
Show threadStefan NeufeindNov 15
@kuketzblog Ist die einzige Chance zu sagen man hats ja nicht geprüft. Es stand vorher fest wie die Antwort lauten sollte vom.Datenschützer den man pro forma gefragt hat.
Wäre aber besser gewesen Rückgrat zu beweisen und Bedenken zu äußern. Es geht nicht an sowas einem US-Konzern und nahezu Monopolisten durchgehen zu lassen. Es gibt ja Alternativen.
Show threadU+D586Nov 16

@kuketzblog Seid nicht so hart mit dem armen Datenschutzbeauftragten. Der ist Jurist und hat in seiner Behörde praktisch nur Juristen. Da kann er halt nichts anderes machen als mit den Juristen von Microsoft ein wenig um ein paar Formulierungen herumzuverhandeln.

Der @ulrichkelber ist damals angetreten mit dem Anspruch, #Datenschutz müsse technischer werden. Dann wurde er nach einer Amtszeit abgesägt und durch eine Juristin ersetzt.

Vergesst die Datenschutzbeauftragten, sie bringen es nicht!

Show threadpadeluun ⁂Nov 16
@U_D586 @kuketzblog @ulrichkelber Ohne DSBs wäre es noch schlimmer. Dem Rest Deines Beitrags stimme ich zu.
Show threadMartin G. auf HubzillaNov 16
@Kuketz-Blog 🛡 Diejenigen, die hierzulande über IT entscheiden dürfen und müssen, ohne selbst in der IT zu arbeiten, haben doch samt und sonders von IT gar keine Ahnung. Viele gehören einer Generation an, die nie auch nur gelernt hat, einen Videorekorder zu programmieren. Überhaupt scheint in vielen Behörden, die irgendwie mit IT zu tun haben, niemand zu arbeiten, der von der Materie wirklich etwas versteht. Die scheinen rein durch Pöstchengeschacher besetzt zu werden.

Also sind sie auf andere angewiesen, die ihnen nicht einfach nur alles erklären, sondern ihnen ihre Entscheidungen diktieren. Als da wären:

  • Berater. Denen zahlen zum einen Politiker und andere ahnungslosen Entscheider Unsummen, um sie fragen zu dürfen, welche Produkte sie nehmen sollen. Und zum anderen zahlen die großen US-IT-Konzerne ihnen Unsummen, damit sie den Politikern und den anderen ahnungslosen Entscheidern sagen, sie sollen die Produkte dieser großen US-IT-Konzerne nehmen.
  • Lobbyisten. Mit Geldkoffern.
  • Vertreter der großen IT-Konzerne, die in direkten Kontakt mit den Politikern und anderen ahnungslosen Entscheidern treten. Mitunter auch wieder mit Geldkoffern.

Vertreter von FLOSS, Datenschutz usw. haben keine Chance, weil hinter ihnen bestenfalls spendenfinanzierte Vereine stehen – und keine abermilliardenschweren börsennotierten US-Teracorporations, die SAP aus der Portokasse schlucken könnten.
Show threadKayNov 17
@kuketzblog Wenn ich das als IT Mitarbeiter in unserem Unternehmen anspreche, laufe ich große Gefahr als Querulant, bzw. Ahnungsloser aufzutreten, verbunden mit entsprechenden Nachteilen. Ich denke das geht nicht nur mir so. Meldungen und Hinweise an den lokalen Datenschutzbeauftragten werden mit "Danke, sehr interessant, aber ich habe leider keine Wiesungsbefugnis." quittiert. Dann ist mir das auch irgendwann egal.
Show threadTommyNov 17

@kuketzblog

"Abschließend formuliert der Bericht Handlungsempfehlungen für öffentliche und private Stellen in Hessen. Diese sollen einzelne M365-Dienste weiterhin im Einzelfall prüfen, können diese bei entsprechender Ausgestaltung jedoch datenschutzkonform nutzen."

https://stiftungdatenschutz.org/veroeffentlichungen/datenschutzwoche/detailansicht/datenschutzwoche-vom-17-november-2025-655

DatenschutzWoche vom 17. November 2025

Bundestag beschließt NIS-2-Umsetzungsgesetz HBDI Hessen: „Microsoft 365 kann datenschutzkonform genutzt werden“

Stiftung Datenschutz