"Auftragsdiskussion"-Tool

[ByteMera]

Hallo V8-Driver,
oha! Vielen Dank für den Hinweis aus der Praxis. Aber gefühlt nutzen doch 90 Prozent aller deutschen Unternehmen o365/m365...wie geht das dann DSGVO konform?
Bzw bekommen die dann nicht einen auf den Deckel?

 

[ByteMera]

s

 

[V8-Driver]

Hallo V8-Driver,
oha! Vielen Dank für den Hinweis aus der Praxis. Aber gefühlt nutzen doch 90 Prozent aller deutschen Unternehmen o365/m365...wie geht das dann DSGVO konform?
Bzw bekommen die dann nicht einen auf den Deckel?

Weil sie es immer so gemacht haben und keinen kennen, dem jemand was passiert ist. Das ist Scheuklappendenken. Das geht so lange gut, bis mal einer die Auskunft gemäß Art. 15 DSGVO bei denen startet. Und dann geht's Pipi (oder mehr) in die Hose. Und das kann sehr teuer werden. Stell Dir mal vor, ein ehemaliger Kunde von Dir verlangt die nachweisliche Löschung aller seiner persönlichen Daten von Dir. Na, mach das mal bei WhatsApp oder Office365. Du weißt ja gar nicht, welche Daten da in die USA geliefert worden sind. Geschweige denn kannst Du diese Daten löschen. Nutze nur Dienste , die DSGVO konform sind. Und da mußt Du leider auch ein paar € investieren. Aber das ist gut angelegtes Geld.

 

[bob rooney]

Hallo V8-Driver,
oha! Vielen Dank für den Hinweis aus der Praxis. Aber gefühlt nutzen doch 90 Prozent aller deutschen Unternehmen o365/m365...wie geht das dann DSGVO konform?
Bzw bekommen die dann nicht einen auf den Deckel?

Die nutzen microsoft Office , nicht Microsoft365.
Das sind unterschiedliche Programme.

Das geht es darum wo die Daten deiner Kunden liegen und wo die Metadaten der Software landen.
Also das Thema Kunden und das Thema Mitarbeiter.

Ist also komplex und bei öffentlichen Stellen wird das nochmal enger gesehen....

 

[ByteMera]

Ich hab das durcheinandergewirbelt, da Office ein Teil der M365 Suite ist und hab die nicht separat betrachtet. Wieder was gelernt.
Also O365/m365 geht klar, weil die beispielsweise auf Servern in Europa liegen? Aber MS Office ist nicht ok. Hab ich das richtig verstanden?

 

[V8-Driver]

Es ist sehr schwierig. Lies mal hier:

https://www.activemind.de/magazin/datenschutz-ms-office/

Wie gezeigt, lassen sich einige praktische Funktionen von Microsoft 365 nicht datenschutzkonform nutzen.

Es geht aber auch ohne Microsoft Office.

 

[bob rooney]

Ich hab das durcheinandergewirbelt, da Office ein Teil der M365 Suite ist und hab die nicht separat betrachtet. Wieder was gelernt.
Also O365/m365 geht klar, weil die beispielsweise auf Servern in Europa liegen? Aber MS Office ist nicht ok. Hab ich das richtig verstanden?

Office lokal ohne onedrive teams etc geht klar

Alles was online ist, ist kompliziert ;-)

 

[ruerueka]

Microsoft überlässt freundlicherweise den Kunden, das für sich selbst zu bewerten: https://docs.microsoft.com/de-de/microsoft-365/admin/security-and-compliance/gdpr-compliance?view=o365-worldwide

Die Lösungen und Empfehlungen von Microsoft 365 in diesem Artikel sind Werkzeuge und Ressourcen, die Ihnen helfen können, Ihre Daten zu verwalten und zu schützen. Sie sind jedoch keine Garantie für die Datenschutzkonformität. Es liegt an Ihnen, Ihren eigenen Status zu bewerten. Wenden Sie sich bei Bedarf an Ihre eigenen rechtlichen und/oder professionellen Berater. Wenden Sie sich bei Bedarf an Ihre eigenen rechtlichen und/oder professionellen Berater.

Google macht es seinen Kunden einfacher: https://cloud.google.com/privacy/gdpr

 

[bob rooney]

Besser ist Google da auch nicht.

Wohl dem, der dort die Übersicht hat und weis was auf Ihn zutrifft ;-)

Parallel hat Google an dieser Stelle das gleiche Problem.
Am Ende US Konzerne.
Die Mutter ist also USA und unterliegt dem Cloud-Act.

https://steigerlegal.ch/2022/07/26/daten-export-usa-europa/

Über Sinn / Unsinn / Schwachsinn brauchen wir nicht anfangen.
Aber die Entscheidung aus BW zeigt die Richtung.....

 

[ruerueka]

Die nutzen microsoft Office , nicht Microsoft365.

Selbstverständlich nutzen große deutsche/europäische Konzerne Microsoft 365, Azure , AWS, etc. Sie lassen sich das ganze dann (meist von spezialisierten von Dienstleistern) einrichten und zertifizieren. Es geht dabei ausschließlich um die prüfbare „Compliance“. Darum meinte ich oben, Google macht es seinen Kunden leichter, die geben dir bei entsprechendem Vertrag etwas direkter eine Compliance-Erklärung.

 

[tbo]

Die Mutter ist also USA und unterliegt dem Cloud-Act.

Das lustige ist ja, dass Strafverfolgung & Co. gar nicht von der DSGVO erfasst sind und europäische Behörden die gleichen Rechte gegenüber solchen Dienstleistern haben. Und dann kommt da ja noch die E-Evidence-Richtlinie oder Verordnung, die das ganze noch einmal für Strafverfolger vereinfachen soll. Und dann regen sich alle über den Cloud-Act auf.

Ich kann das alles nicht mehr ernst nehmen.

 

[bob rooney]

@ruerueka
Ich bezog meine Aussage auf 90% der Unternehmen
90% nutzen sicher nicht Microsoft 365.
Das Unternehmen natürlich auch Microsoft 365 einsetzen ist logisch.
Aber auch diese Konzerne unterliegen der DSGVO.

 

[bob rooney]

Das lustige ist ja, dass Strafverfolgung & Co. gar nicht von der DSGVO erfasst sind und europäische Behörden die gleichen Rechte gegenüber solchen Dienstleistern haben. Und dann kommt da ja noch die E-Evidence-Richtlinie oder Verordnung, die das ganze noch einmal für Strafverfolger vereinfachen soll. Und dann regen sich alle über den Cloud-Act auf.

Ich kann das alles nicht mehr ernst nehmen.

....und 1x chatkontrolle oben drauf und Datenschutz hat sich erledigt....

 

[V8-Driver]

Man bekommt ja auch gar nicht mit, was dem kleinen Einzelunternehmer oder Konzern passiert ist, denn keiner posaunt groß raus "Hey, jetzt haben sie mich auch beim Verstoß gegen die DSGVO erwischt und ich muss jetzt xxxxx € Strafe zahlen und meine IT nachbessern". Da hüllt man sich brav in den Mantel des Schweigens.

 

[bob rooney]

. Da hüllt man sich brav in den Mantel des Schweigens.

Nicht immer:
https://www.dsgvo-portal.de/dsgvo-bussgeld-datenbank/

 

[wegus]

Server in Europa allein reicht übrigens nicht:

https://www.golem.de/news/vergabekammer-clouddienste-von-us-firmentoechtern-sind-nicht-dsgvo-konform-2208-167456.html

Icloud und office365 habe ich. Aber nur, weil einige Kunden z.T. Wissen darüber erwarten. Geschäftlich nutze ich das nur, wenn Kunden das anfordern. Ansonsten ist es die eigene Nextcloud mit deutschem Server und Auftragsverarbeitungsvetrag und Libre Office.

Interessant ist aber wie intensiv und offen Kunden amerikanische Dienste nutzen. Sei es Slack, sei es Gitlab, sei es die Google Infrastruktur oder teams. Im Grunde ist man da in Europa etwas weltfremd. Datenschutz ist wichtig, ein funktionierendes Datenabkommen im transatlatischen Raum ist aber ebenfalls unabdingbar!

 

[bob rooney]

icloud ist ja total falsch ;-)

Die hat nichtmal eine Zulassung für die gewerbliche Nutzung

 

[magfoo]

@ruerueka
Ich bezog meine Aussage auf 90% der Unternehmen
90% nutzen sicher nicht Microsoft 365.
Das Unternehmen natürlich auch Microsoft 365 einsetzen ist logisch.
Aber auch diese Konzerne unterliegen der DSGVO.

Ganz sicher nicht 90%.
Dazu kommen die vielen Firmen die O365-pläne haben und dann alles on prem betreiben. Das kann aus lizenzgründen oder buchhaltungsgründen sinnvoll sein.