Der nächste "DSGVO-Aufreger": Laut deutscher Datenschutzkonferenz könne Office 365 nicht datenschutzkonform betrieben werden. Es sei unklar, inwieweit der US-Hersteller Microsoft personenbezogene Daten der Nutzer verarbeite und weitergebe.
Wer sich - wie interact!multimedia - schon länger mit der Umsetzung der DSGVO befasst, musste sich eigentlich wundern, dass Office-365, das als Cloud-Lösung auch von vielen europäischen Firmen eingesetzt wird, nicht schon längst am Radar der Datenschützer erschien. Denn verglichen mit dem weit verbreiteten Office-Paket ist zB. der in letzter Zeit publikumswirksam gebrandmarkte Einsatz von GoogleAnalytics oder Google-Fonts auf Webseiten datenschutzrechtlich geradezu lächerlich, werden dabei doch vorwiegend nur IP-Adressen, besuchte Internetadressen oder Suchbegriffe gespeichert.
Bei den in Office-365 enthaltenen Programmen Word, Excel oder Outlook geht es um deutlich "intimere" Daten: durch die Nutzung dieser Programme in der Cloud ist es der US-Firma Microsoft prinzipiell möglich, pausenlos und in Echtzeit alle Inhalte der damit erstellten Dokumente zu scannen, zu speichern und dem (nötigerweise) eingeloggten, also sogar persönlich bekannten User zuzuordnen, weiter zu verarbeiten und Dritten zugänglich zu machen. Und was möglich ist, wird auch gemacht, wie ganz aktuell ein weiterer Datenschutzverstoss durch die Facebook-Mutter Meta zeigt: Meta hat offenbar (unter Bruch der eigenen Datenschutzregeln) sensible Daten, die Nutzer auf Steuerwebsites angaben, gesammelt, selbst verwertet und auch an Werbetreibende weitergegeben - darunter Einkommenszahlen, Meldestatus, Rückzahlungshöhen und Auskünfte über College-Stipendien der Steuerzahler. Möchte man, dass Facebook über diese Details Bescheid weiß, wenn man sich dort mit Freunden und der Familie austauscht? Und noch viel kritischer: möchte man, dass so mit privaten oder unternehmenskritischen Inhalten in Word-Texten, Excel-Tabellen oder E-Mails umgegangen wird?
Europäische Firmen von US-Herstellern abhängig
Betrachtet man die Verbreitung von Office 365, muss man zum Schluss kommen, dass dies den Nutzern entweder unbekannt oder egal zu sein scheint. Nun mag man noch einwenden, dass Firmeninhaber selbst dafür verantwortlich sind, ob sie der Wirtschaftsmacht USA kostenlos sensible Unternehmensdaten aus der Entwicklungsabteilung oder die Jahrebilanz schenken. Über die wirtschaftliche Abhängigkeit der EU-Unternehmen von US-Firmen oder gar einen Wirtschaftskrieg der USA gegen den Rest der Welt muss man sich dann aber nicht mehr beschweren.
Problemfall Schulen
Wirklich "haarig" könnte die Angelegenheit aber für Schulen werden, denn auch dort wird - der DSGVO zum Trotz - gerne und häufig Office 365 eingesetzt. Microsoft drängt aggressiv in diesen Markt. Verantwortlich für die Einhaltung der Datenschutzregeln ist die Schulleitung. Doch selbst wenn diese die Einwilligungen der Eltern für die Verwendung der Software einholen würde (was in der Regel wohl kaum je passieren wird), wäre sie unwirksam. Denn die Eltern müssten informiert einwilligen, die Schulleitung müsste also ausreichend über die mit der Nutzung verbundenen Datenschutzaspekte informieren. Doch das kann sie gar nicht, weil sie selbst nicht weiß, wie und wofür Microsoft die personenbezogenen Daten verarbeitet. Genau das müsste aber den Eltern mitgeteilt werden.
Klar ist, dass bei der Verbreitung der Software in Wirtschaft und Bildung ein Verbot massive Auswirkungen haben würde. Dass nun aber Interessensvertreter der Wirtschaft darüber jammern, welche Auswirkungen das hätte, kann nicht hingenommen werden, denn sie hätten seit Mai 2018 Zeit gehabt, sich mit der DSGVO auseinander zu setzen und nicht die von ihnen vertretenen Firmen sehenden Auges in eine IT-Katastrophe laufen zu lassen, ja aus lauter Bequemlichkeit förmlich zu drängen.
Es gibt im Grunde nur 3 mögliche Alternativen:
- entweder Microsoft legt offen, wie mit den Daten umgegangen wird (was allerdings zum endgültigen Aus der Software führen könnte...)
- oder es müssen verpflichtend datenschutzkonforme Alternativen mit gleichem Funktionsumfang und Kompatibilität genutzt werden (was allerdings mühsam werden könnte...)
- oder die EU verhandelt mit den USA endlich ernsthaft über eine tragfähige und transparente Nachfolgeregelung von Privacy Shield und Safe Harbour Abkommen, die den Betroffenen durchsetzbare Rechte zuerkennt (was allerdings ein Wunder wäre...)
Aufruf zur "digitalen Selbstverteidigung"
Letztlich liegt es an den Usern, an uns selber, ob wir den durch die DSGVO nun möglichen Schutz unserer eigenen digitalen Privatsphäre vor dem US-Überwachungskapitalismus auch nutzen woll oder nicht.
Im St. Pöltener Stadtmuseum läuft dazu seit wenigen Tagen (und noch bis Mitte März) eine interessante interdisziplinäre Ausstellung:
Sind wir reflektiert und widerständig gegen die großen Monopolisten, im speziellen die BIG FIVE, google, facebook, amazon, Apple und Microsoft und den von ihnen bereitgestellten Plattformen und Werkzeugen? Werden wir als Widerständige mehr und mehr ausgeschlossen oder gibt es Alternativen?
Thema der Ausstellung "DigiDic" ist die „digitale Selbstverteidigung“ in einer Welt, die sich in einer unglaublichen Geschwindigkeit auf eine absolute Monopolisierung der globalen digitalen Player zubewegt. Die interaktive Ausstellung vermittelt einen Blick hinter die Oberflächen und gibt mit dem dazu erscheinenden Handbuch Anleitungen zur digitalen Selbstverteidigung. Schulklassen und Museumsbesucher können in speziellen Führungen, Vorträgen und Workshops die digitale Selbstverteidigung lernen und üben.