Kleines Büro ausstatten (10 Arbeitsplätze)

[bob rooney]

Dann lest mal bitte hier nach;

https://www.kuketz-blog.de/kommentar-zu-ms365-wenn-fakten-nicht-mehr-ausreichen/

Da steht unter anderem:



Sein Fazit:

Der Link ist aus 2022 und somit nicht aktuell.

 

[V8-Driver]

Woher willst Du wissen, dass die Informationen in diesem Artikel nicht mehr aktuell sind? Nur weil er 2022 erstellt worden ist?

 

[sutz2001]

Woher willst Du wissen, dass die Informationen in diesem Artikel nicht mehr aktuell sind? Nur weil er 2022 erstellt worden ist?

Genau das.
Im letzten Jahr hat MS nämlich einiges geändert, um bestimmte Anforderungen zu erfüllen.
Von daher sind die Artikel mit dem Wissenstand von 2022 leider nicht wirklich hilfreich.

 

[V8-Driver]

Genau das.
Im letzten Jahr hat MS nämlich einiges geändert, um bestimmte Anforderungen zu erfüllen.
Von daher sind die Artikel mit dem Wissenstand von 2022 leider nicht wirklich hilfreich.

Auch wenn ein Artikel 2022 verfasst und erstmals veröffentlich wurde, kann er in der Zeit danach durchaus aktualisiert worden sein. Ich bin hier wieder raus. Muss jetzt der TE für sich entscheiden, was er umsetzt.

 

[bob rooney]

Woher willst Du wissen, dass die Informationen in diesem Artikel nicht mehr aktuell sind? Nur weil er 2022 erstellt worden ist?

2022:

1. Kein Microsoft EU-Data-Boundary
https://www.microsoft.com/de-de/trust-center/privacy/european-data-boundary-eudb

2. Schrems II Urteil noch aktiv, welches durch das Data-Privacy-Framework "ausgehoben" wurde.

https://www.dataprivacyframework.gov/s/

https://www.lfd.niedersachsen.de/st...fur-datentransfers-in-drittlander-194085.html

3. Mehr such ich dir jetzt nicht raus, das reicht auch als Nachweis ;-)

PS. In deinem LINK gibt es kein Hinweis auf Updates.

 

[V8-Driver]

Aha:

Das Schrems II-Urteil des Europäischen Gerichtshofs und seine Bedeutung für Datentransfers in Drittländer​

Hinweis: Die EU-Kommission hat am 10. Juli 2023 einen neuen Angemessenheitsbeschluss für die USA erlassen. Die Ausführungen des Europäischen Gerichtshofs im Schrems II-Urteil behalten für die Übermittlung personenbezogener Daten in andere Drittländer, für die kein Angemessenheitsbeschluss besteht, weiterhin Bedeutung.

(Stand: September 2022)

Was hat der EuGH im Schrems II-Urteil entschieden?
Personenbezogene Daten dürfen grundsätzlich nur dann an Drittländer (Länder außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR)) übermittelt werden, wenn das durch die Datenschutz-Grundverordnung (DS-GVO) gewährleistete Schutzniveau nicht untergraben wird. Auf der Grundlage der Privacy Shield-Übereinkunft zwischen der EU und den USA hatte die EU-Kommission 2016 in einem Durchführungsbeschluss festgestellt, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten. Mit Urteil vom 16. Juli 2020 (Rechtssache C 311/18 – „Schrems II“) hat der EuGH diesen Durchführungsbeschluss zum Privacy Shield für unwirksam erklärt. Eine Übergangsfrist hat das Gericht nicht eingeräumt.​

Ich glaube, das Jahr 2020 ist älter als 2022, oder?

 

[BEASTIEPENDENT]

Ich bin ja kein großer M$-Freund, aber: Data Privacy Framework ungleich Privacy Shield. Das ist sozusagen der Nachfolger, jetzt (derzeit) legal.

 

[picknicker1971]

In so einem Konzern arbeite ich auch. Aber der große Unterschied liegt im Fall der Fälle: unsere Unternehmen sitzen bei einem kleinen Kläger natürlich am längeren Hebel. Schon rein finanziell gesehen. Da gibt's dann einen Vergleich und die Sache ist gegessen. Aber dodo4ever ist in diesem Sinne Kleinunternehmer, den kann das die Existenz kosten. Entscheiden muss er das selber.

Office365 wird in fast jedem (habe jetzt nicht alle abtelefoniert, aber gehe davon aus, dass ich mit meiner Einschätzung nicht falsch liege) Dax Konzern eingesetzt. Du glaubst doch nicht ersthaft, dass diese bewusst das Risiko eingehen. Und Du glaubst doch nicht ernsthaft, wenn es dort Angriffspunkte gibt, dem noch keiner dem nachgegangen ist ...

Da liegt für ein Unternehmen/er das Risiko für einen anderen (z.B. Personalakten, Überwachungskameras,...) DSGVO-Fuck-up wesentlich höher ...

Und für dodo4ever liegt das von Dir vermeintlich gesehene finanzielle "Risiko" bei 4% des Jahresumsatzes (ja, weltweit und vom letzten).

 

[V8-Driver]

Und für dodo4ever liegt das von Dir vermeintlich gesehene finanzielle "Risiko" bei 4% des Jahresumsatzes (ja, weltweit und vom letzten).

...Strafe. Man sollte aber die Anwalts- und Gerichtskosten nicht unter den Tisch kehren, die dann der Verlierer zu tragen hat. Ich habe vor 4 Jahren den Betrieb meiner Frau bei Gründung geplant und ausgestattet: alles Apple, null Microsoft. Geht wunderbar.

 

[maba_de]

...Strafe. Man sollte aber die Anwalts- und Gerichtskosten nicht unter den Tisch kehren, die dann der Verlierer zu tragen hat. Ich habe vor 4 Jahren den Betrieb meiner Frau bei Gründung geplant und ausgestattet: alles Apple, null Microsoft. Geht wunderbar.

dann kann man nur ernsthaft hoffen, dass iCloud Drive auf allen Macs deaktiviert ist und auch sichergestellt ist, dass das kein User aktivieren kann bzw. aktiviert hat. Und sei es nur aus Bequemlichkeit.
Denn sonst hättet ihr definitiv ein DSGVO Problem. Man kann die iCloud nicht DSGVO konform nutzen, da man keinen DSGVO konformen Vertrag mit Apple abschließen kann.

 

[Bjoste]

Office365 wird in fast jedem (habe jetzt nicht alle abtelefoniert, aber gehe davon aus, dass ich mit meiner Einschätzung nicht falsch liege) Dax Konzern eingesetzt. Du glaubst doch nicht ersthaft, dass diese bewusst das Risiko eingehen. Und Du glaubst doch nicht ernsthaft, wenn es dort Angriffspunkte gibt, dem noch keiner dem nachgegangen ist

Das kann ich so nicht bestätigen. In den mir bekannten dieser Umgebungen werden antiquarische prä-M365 Offices eingesetzt (und verursachen durch fehlende Funktion so manche Bauchschmerzen). Einige Rechenzentren kämpfen wacker mit der Erreichung einer akzeptablen DSGVO-Konformität und sind eigentlich hoffnungsvoll, dass sie es erreichen werden - nicht umsonst, mal eine Lanze für MS, aufgrund der Bereitschaft von MS diesen Unternehmen on-premise-RZ M365 Server zu ermöglichen. Bis das flächendeckend fertig ist, wird es aber noch eine Weile dauern.

 

[V8-Driver]

dann kann man nur ernsthaft hoffen, dass iCloud Drive auf allen Macs deaktiviert ist und auch sichergestellt ist, dass das kein User aktivieren kann bzw. aktiviert hat. Und sei es nur aus Bequemlichkeit.
Denn sonst hättet ihr definitiv ein DSGVO Problem. Man kann die iCloud nicht DSGVO konform nutzen, da man keinen DSGVO konformen Vertrag mit Apple abschließen kann.

Keine Angst. Dafür wird dort, wo notwendig, die pCloud verwendet. Und das mit Verschlüsselung.

 

[picknicker1971]

Ich spreche aus eigener Erfahrung in DAX und europäischen Konzernen , sowie was ich von Freunden in dt. und europäischen Konzernen weiß.

 

[V8-Driver]

Vielleicht sollte man hier nicht börsennotierte Globalplayer und Kleinunternehmer in einen Hut werfen. Im Falle meine Frau war die Zusammenarbeit mit dem Kultus- und Bildungsministerium an einen Punkt geknüpft, der sogar im Datenschutzauskunftspaper fett gedruckt war:

Der Einsatz von Microsoft Office 365 ist nicht gestattet!

Und diese Aussage dürfte ihre Berechtigung haben, die immer noch aktuell ist. Man wollte von jeder Anwendung wissen, welche personenbezogenen Daten wo, wie und in welchem Umfang erhoben, verarbeitet und gespeichert werden, nebst Auskunft über die damit verknüpften internen/externen Programme, Dienstleister etc. und deren DSGVO-Konformität. Und man mußte sogar die Möglichkeit der nachweislichen Löschung personenbezogener Daten erklären und darlegen und mit welchen Mitteln/Apps kommuniziert wird. Da fällt auch WhatsApp von der Liste.

Im Kleinunternehmen ist der Unternehmer selbst für die Einhaltung der Datensicherheit und DSGVO verantwortlich. Denn der erste, der Dich anschwärzt, ist ein übel gelaunter ehemaliger Mitarbeiter oder Kunde, der Dir eins auswischen will. Da reicht ein Auskunftsersuchen, das dann nicht hieb- und stichfest ist, erst mal für den Ärger aus.

Im Großunternehmen als Angestellter ist mir das egal.

 

[maba_de]

Im Kleinunternehmen ist der Unternehmer selbst für die Einhaltung der Datensicherheit und DSGVO verantwortlich. Denn der erste, der Dich anschwärzt, ist ein übel gelaunter ehemaliger Mitarbeiter oder Kunde, der Dir eins auswischen will. Da reicht ein Auskunftsersuchen, das dann nicht hieb- und stichfest ist, erst mal für den Ärger aus.

Im Großunternehmen als Angestellter ist mir das egal.

das trifft auch auf Großunternehmen zu. Die können die Verantwortung der Daten betreffend auch nicht an andere Firmen auslagern, nur weil die Daten dort liegen.
Auch hier gibt es Datenschutzbeauftragte, die persönlich (!) haftbar sind. Der Unterschied ist, dass es hier natürlich entsprechende Versicherungen gibt, sonst würde das kein Angestellter machen. Das könnte sich bei den potentiellen Schadensummen auch keiner leisten.
Mein direkter Kollege ist Datenschutz Beauftragter, der klagt da immer sein Leid.

 

[picknicker1971]

MS Office 365 (MS 365 wie es jetzt heißt) ist ja auch nicht DSGVO konform.
Die Business Version jedoch schon

 

[picknicker1971]

natürlich entsprechende Versicherungen gibt

Man kann sich als Person „strafrechtlich“ nicht versichern.
Man sich gegen Regressansprüche o.ä. versichern, aber wenn man verurteilt wird, hilft keine Versicherung.
Ob das bei Datenschutz relevant ist - k.A.
Bei Umwelt- oder Arbeitsschutz jedoch relevant

Edit
Note to myself - hab mich ins OT reinziehen lassen

 

[bob rooney]

Auch hier gibt es Datenschutzbeauftragte, die persönlich (!) haftbar sind.

Man kann sich als Person „strafrechtlich“ nicht versichern.
Man sich gegen Regressansprüche o.ä. versichern, aber wenn man verurteilt wird, hilft keine Versicherung.

Ok....... Ich versuche mal mit der DSGVO etwas LICHT in die Nummer zu bringen.
Also:
DSGVO Artikel 3(1)
Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.
https://dsgvo-gesetz.de/art-3-dsgvo/

Somit ist für die Verarbeitung der "Verantwortliche" verantwortlich
DSGVO Artikel 4 (7)
„Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;
https://dsgvo-gesetz.de/art-4-dsgvo/

Somit scheidet der DSB als verantwortliche Person für die DSGVO aus und ist somit auch NICHT direkt haftbar zu machen = Er zahlt die Zeche nicht, wenn das in die Hose geht.
Verantwortlich ist quasi immer der Chef.... wie so oft.

Sehrwohl hat ein DSB aber Pflichten. Diese stehen in DGVO 39
https://dsgvo-gesetz.de/art-39-dsgvo/
Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;

Kommt ein DSB seinen Pflichten nicht nach, KANN der Verantwortliche den DSB natürlich aufgrund einer mangelhaften Beratung verklagen.
Hiergegen kann sich der DSB versichern.
Beispiel:
https://www.exali.de/consult/lp/ext...MIqfDQj6jTgwMV4JKDBx0qnQAGEAAYAyAAEgJC-fD_BwE

Sorry für OT, ich ziehe mich damit auch raus.

PS. Sollte ein DSB hier im Forum sein, gerne mich korrigieren.