1. Ist MS365 datenschutzwidrig?
Die unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) haben sich erneut mit der Frage befasst, ob die Verträge von Microsoft 365 (MS365) den Anforderungen der DSGVO genügen. Und wie bereits zuvor lautet die Antwort weiterhin: Nein. Diese Einschätzung ruft bei einigen Frust und Unverständnis hervor, da sich dies ungünstig/nachteilig auf das eigene (Arbeits-)Leben oder das manifestierte Weltbild auswirkt.
Wie gewöhnlich sind die Reaktionen auf solch eine Entscheidung gemischt. Von Zustimmung, über neutrale Berichterstattung bis hin zu Beiträgen, die die Fakten ausblenden bzw. anders interpretieren, ist alles dabei. Und natürlich darf eine Stellungnahme von Microsoft auch nicht fehlen – diese fällt allerdings eher unter die Kategorie absurd und stellt das kleinkindliche Trotzverhaltens eines Großkonzerns offen für alle zur Schau.
Im vorliegenden Kommentar möchte ich mich mit der Frage befassen, weshalb Menschen trotz vorliegender Fakten, weiterhin starrsinnig behaupten, MS365 sei datenschutzrechtlich unbedenklich nutzbar. Wie ist dieses irrationale Verhalten erklärbar? Eine mögliche Erklärung finden wir in unserer evolutionären Entwicklung.
2. Wie der »Bestätigungsfehler« (engl. Confirmation Bias) sogar Fakten aushebelt
Nachfolgend wird es zunächst einen kleinen Ausflug in unsere evolutionäre Entwicklung geben. Dies wird uns helfen, zu verstehen, weshalb Menschen selbst dann noch an ihrer Erklärung bzw. Meinung festhalten, wenn die Fakten für das Gegenteil eindeutig sind.
Unser Unterbewusstsein kann als Meilenstein der Evolution bezeichnet werden. Es ermöglicht uns bspw. blitzschnelle Entscheidungen zu treffen, die aufgrund bereits erfolgter Erfahrungen basieren. Dazu gewichtet das Unterbewusstsein anhand sieben einfacher Prinzipien, die sich in der Evolution bewährt haben, wie wir auf Situationen reagieren bzw. unsere Entscheidungen treffen. Eines dieser Prinzipien ist der sog. Verlust-Frust. Dieses evolutionsbiologische Prinzip, das sich im Unterbewusstsein abspielt, wird im Buch »Die dunkle Seite des Gehirns« von Prof. Stefan Kölsch anschaulich dargestellt:
Stellen Sie sich vor, eine gute Fee würde Ihnen heute ein schickes Haus, einen Lamborghini und eine Million Euro bescheren. Wenn die Fee Ihnen in einem Monat unverhofft alles wieder wegnähme, ginge es Ihnen viel schlechter, als wenn die Fee gar nicht erst aufgetaucht wäre – obwohl Sie dann ebenso viel besäßen wie vorher und dazu noch einen Monat viel Spaß gehabt hätten. Die dunkle Seite unseres Gehirns findet es viel besser, etwas nie zu haben, als dasselbe zu verlieren. Dies liegt daran, dass das Unterbewusste einen Verlust doppelt so negativ bewertet, wie es einen gleich großen Gewinn positiv bewertet, und bei Verlust doppelt so viel Missvergnügen erzeugt, wie es bei Gewinn Vergnügen hervorruft.
Wenn wir uns ein Vanilleeis kaufen, ruft dies Spaß hervor. Wenn die Eiskugel von der Waffel rutscht und auf den Boden fällt, erzeugt es doppelt so viel Schmerz. Unseren Kleiderschrank auszumisten fällt uns maßlos schwer, denn unser Unterbewusstes erzeugt beim Verlust der Kleidungsstücke viel mehr Missvergnügen, als es Spaß hervorruft, wenn wir Kleidungsstücke erlangen.
Das Prinzip des Verlust-Frusts wirkt sich ebenfalls auf unsere Gedanken und Einstellungen aus bzw. beeinflusst diese. Anhand eines Beispieles wird dies verdeutlicht:
Eine besonders geistreiche neurowissenschaftliche Studie zeigte, dass das Orbitofrontalhirn am Verlust-Frust von Einstellungen beteiligt ist. Vor den US-Wahlen 2004 untersuchte ein Forschungsteam Testpersonen, die sich entweder als überzeugte Republikaner oder als überzeugte Demokraten bezeichneten. Die Testpersonen lasen im Hirnscanner Aussagen von George W. Bush (dem Kandidaten der Republikaner) und John Kelly (Kandidat der Demokraten). Zum Beispiel lasen sie eine ältere Aussage von Bush darüber, wie groß seine Bewunderung für den Enron-Chef Kenneth Lay sei – der, wie sich später herausstellte, in eine gigantische Bilanzfälschung involviert war. Oder die Testpersonen lasen eine ältere Aussage von John Kelly darüber, dass das Rentenalter erhöht und Sozialleistungen gekürzt werden müssten. Danach lasen sie eine Verlautbarung von Bush bzw. Kelly, welche der jeweiligen älteren Aussage widersprach, etwa dass Bush nun kritisch gegenüber Enron sei oder dass Kelly nie die Altersgrenze für Sozialleistungen an Seniorenerhöhen werde. Daraufhin hatten die Testpersonen einen Moment Zeit, über die Aussagen nachzudenken, und dann anzugeben, ob es sich hierum einen Widerspruch handle.
Die Republikaner hielten die Aussagen des Demokraten Kelly für skandalös widersprüchlich, konnten hingegen in den Aussagen Bushs kaum Widersprüche erkennen. Für die Demokraten verhielt es sich umgekehrt. Nun wurde den Testpersonen eine dritte Aussage präsentiert, welche die widersprüchlichen Aussagen rechtfertigte, zum Beispiel eine Aussage Bushs darüber, dass er schockiert gewesen sei über die korrupte Führung Enrons, oder eine Aussage Kellys, dass das Sozialsystem nun über erheblich mehr Geld verfüge als in den 90er-Jahren. Erneut hatten die Testpersonen einen Moment Zeit, über die Aussagen nachzudenken und die Widersprüche im Lichte der neuen Information zu bewerten. Auch hier fanden die Testpersonen stets, dass die Rechtfertigung ihres eigenen Kandidaten plausibel sei – »ein ehrlicher Fehler, der jedem passieren kann«. Die Rechtfertigung des gegnerischen Kandidaten hingegen wurde als völlig unakzeptabel angesehen – »ein hinterhältiger Politiker will sich mal wieder mit einer Lüge rausreden«.
Das Forscherteam entdeckte, dass während der widersprüchlichen Aussage des eigenen Kandidaten die Aktivität im (mittleren) Orbitofrontalkortex deutlich anstieg und bei dessen Rechtfertigung wieder zurückging. Das Unterbewusste erzeugte Minuspunkte, als das Weltbild der Testpersonen durch die widersprüchliche Aussage bedroht wurde –und zwar erzeugte es mehr Minuspunkte, als es Pluspunkte erzeugte, wenn das Weltbild durch die rechtfertigende Aussage wieder geradegerückt wurde (Verlust-Frust). Unterbewusst beurteilten die Testpersonen zudem aufgrund ihres festgelegten Weltbildes die Aussagen des eigenen Kandidaten als weniger widersprüchlich, und fassten dessen Rechtfertigung als Beweis dafür auf, dass die Aussagen letztendlich die eigene Position untermauerten. Unterbewusst interpretieren wir Informationen also derart, dass sie in unser Weltbild passen, und werten sie dann als Bestätigung unseres Weltbilds.
Die Studienergebnisse zeigen auch die Neigung unseres Unterbewussten, die Aussagen von denjenigen zu ignorieren, die nicht zu »unserer Gruppe« gehören – nicht gerade die optimale Strategie, um mit Personen, die andere Meinungen vertreten, zu sprechen oder sie gar zu verstehen. Gespräche mit Andersdenkenden verlaufen friedlicher und konstruktiver, wenn wir bedenken, dass wir unterbewusst genauso an unserem Weltbild hängen wie unser Gegenüber an seinem. Sowohl unser Unterbewusstes als auch das Unterbewusste unseres Gegenübers erzeugt ordentlich Minuspunkte, sobald das eigene Weltbild in Gefahr gerät, und diese Minuspunkte empfindet man oft als Angst, Furcht oder Ärger. Auch hier hilft es zu bedenken, dass es tatsächlich nur halb so schlimm wäre, seine Ansicht zu ändern – denn Verlust-Frust bedeutet ja, dass das Unterbewusste mit der Erzeugung von Minuspunkten stark übertreibt.
Viele soziale Medien (insbesondere Facebook, Twitter und ähnliche Dienste) sind wenig am friedlichen, konstruktiven Austausch zwischen Andersdenkenden interessiert, sondern bedienen sich des Bestätigungsfehlers für ihre Zwecke: Sie schaffen Habitate für Nutzer, in denen alle Informationen angenehmerweise die eigenen Ansichten bestätigen und man über gemeinsame Feindbilder die Stirn in Zornesfalten ziehen kann. So halten sich die Nutzer länger in diesen Habitaten auf und können mit mehr Werbung bombardiert werden. Wer dem unterbewussten Bestätigungsfehler folgt, wird jedoch früher oder später unweigerlich falschen Hypothesen aufsitzen.
[…]
Vor diesem Verlust-Frust bzw. dem damit einhergehenden Bestätigungsfehlers ist keiner gefeit. Er trifft aber besonders jene, die von einer Sache/Person besonders überzeugt, sich damit identifizieren oder mit dieser in irgendeiner Art verbunden sind. Sei es durch eine finanzielle/berufliche Abhängigkeit oder aufgrund (positiver) Erfahrungswerte, die damit bereits gemacht wurden. Infolgedessen wird ein Microsoft-Befürworter den Beschluss der DSK anders interpretieren, als jemand, der gegenüber Microsoft nicht so wohlwollend eingestellt ist. Fakten werden in den Hintergrund gedrängt und unser Unterbewusstsein deutet Informationen derart (um), dass sie in unser manifestiertes Weltbild passen bzw. dieses bestätigen. Evolutionär betrachtet macht diese Reaktion natürlich Sinn, denn sich mit anderen Meinungen/Standpunkten/Bewertungen etc. auseinanderzusetzen, kostet wertvolle Energie. Der Verlust-Frust ist also auch eine Art Schutzfunktion, die uns aber gleichzeitig die Sicht auf Fakten vernebelt und es so schwierig macht, einmal getroffene Meinungen zu hinterfragen bzw. sich mit Gegenpositionen zu befassen. Dieses Phänomen, also dass wir irrational stark an unseren Gedanken hängen, selbst dann, wenn sie falsch sind, wird auch als Bestätigungsfehler (Confirmation Bias) bezeichnet:
Wenn wir uns erst einmal eine Meinung über etwas gebildet haben oder eine Erklärung für etwas gefunden haben, nehmen wir unterbewusst vorzugsweise Dinge wahr, welche diese Meinung oder diese Erklärung bestätigen. Aufgrund des Verlust-Frusts erzeugt das Unterbewusste Unlust für das Aufgeben bereits gefundener Erklärungen. Anzeichen oder gar Beweise, welche sie widerlegen, ignoriert es oder lehnt sie ab.
Der Beschluss der DSK löst bei einigen diesen Verlust-Frust aus. Ich wage nun zu behaupten, dass aufgrund dieses evolutionären Prinzips (Bestätigungsfehler) Beiträge wie diese entstehen:
- Microsoft 365: Microsoft bewegt sich, die Datenschützer mauern unverhältnismäßig (heise, Dezember 2022)
- Bedenken gegen Microsoft Teams : Lebensfremder Datenschutz (FAZ, Dezember 2022)
- Neue Runde im ideologischen Streit um Microsoft an Schulen: Datenschutzkonferenz legt windelweichen Beschluss vor – aber… (News4Teacher, Dezember 2022)
Vor dem Hintergrund, dass die DSK ihre Entscheidungen nicht leichtfertig trifft, sondern mit bedacht und dem ein langer Prozess vorausgeht (inkl. Anhörungen Microsoft), ist es befremdlich, wenn Microsoft-Befürworter so reagieren. Evolutionär betrachtet ist das allerdings ein nachvollziehbares Verhalten und lässt sich mit dem Bestätigungsfehler begründen, der dafür sorgt, dass wir selbst dann unterbewusst an einem Weltbildbild/Meinung festhalten, wenn die Fakten für das Gegenteil eindeutig sind. Ich möchte die dort getätigten Aussagen nicht weiter kommentieren, denn in großen Teilen sind diese bereits entweder widerlegt oder einfach nur Mumpitz. Zurückzuführen ist dies vermutlich auf eine unpräzise Recherche, die Fakten ausblendet oder so umdeutet, um das eigene Weltbild zu bestärken. Der Bestätigungsfehler schlägt voll zu.
Was also tun? Evolutionär ist der Verlust-Frust tief in uns verwurzelt. Allerdings sind wir nicht dazu verdammt, diesem »Manipulator« blind zu gehorchen, sondern wir können unabhängig denken und handeln. Dies setzt allerdings voraus, dass wir den Bestätigungsfehler und seine möglichen Auswirkungen kennen. Anschließend müssen wir, auch wenn es mühsam und kraftraubend ist, Gegenpositionen sachlich und nüchtern bewerten. Am Ende zählen Fakten und weniger unsere Meinung bzw. Erklärungen, die unser (verschrobenes) Weltbild stützen.
3. Fakten liegen (längst) auf dem Tisch
Nicht erst seit MS365 stehen Microsoft-Produkte bzw. Dienstleistungen in der Kritik. Experten warnen seit Jahren vor der riskanten Abhängigkeit vom US-Konzern. Das zeigen diverse Analysen, Studien und Recherchen schon seit Jahren. Ein großer Teil der geäußerten Kritik bezieht sich auf Microsofts Umgang mit dem Thema Datenschutz bzw. der DSGVO. Anbei etwas Hintergrundwissen zu dieser Thematik:
- Datenschutzkonferenz: Microsoft 365 ist und bleibt datenschutzwidrig (heise, 25.11.2022)
- Datenschutzbeauftragter will Microsoft 365 aus Schulen verbannen (heise, 25.04.2022)
- Office 365 in der Schule: Grobe Verletzungen datenschutzrechtlicher Vorschriften (netzpolitik.org, 03.11.2020)
- Datenschützer sehen Microsoft 365 in Behörden als nicht rechtskonform an (heise, 14.09.2020)
- BigBrotherAward 2020 in der Kategorie »Digitialisierung« für das Kultusministerium Baden-Württemberg (Digitalcourage, 2021)
- Microsoft Office 365: Die Gründe für das Nein der Datenschützer (heise, 05.10.2020)
- Deutsche Verwaltung nutzt Microsoft-Produkte nicht rechtskonform (netzpolitik.org, 14.09.2020)
- Die riskante Abhängigkeit der Bundesrepublik von amerikanischen IT-Riesen (heise.de, 07.09.2020)
- EU-Datenschützer warnt vor unüberlegtem Einsatz von Microsoft-Produkten (heise, 04.07.2020)
- Datenschützer: Einsatz von Microsoft Office 365 an Schulen ist unzulässig (heise.de, 09.07.2019)
- Strategische Marktanalyse zur Reduzierung von Abhängigkeiten von einzelnen Software-Anbietern (Studie Bundesministeriums des Innern, 2019)
- Wie Microsoft Europa kolonialisiert (netzpolitik.org, 20.02.2018)
- Das Microsoft-Dilemma Europa als Software-Kolonie (ARD, 19.02.2018)
- Europe’s dire dependency on Microsoft (Investigate Europe, Juni 2017)
- EU-Experten warnen: Abhängigkeit von Microsoft gefährdet die digitale Souveränität (heise.de. 10.04.2017)
In der Gesamtsumme liegen bereits genügend Fakten vor, die belegen, weshalb ein datenschutzkonformer Einsatz von Microsoft-Produkten in der Praxis so schwierig ist und sich Verantwortliche mit der Nutzung zwangsläufig in eine aussichtslose Situation manövrieren. Das ist fatal, denn Unternehmen, Schulen, Institutionen etc. sollten sich vor Augen führen, dass sie selbst die Verantwortlichen sind, die die Datenschutzkonformität ihrer Prozesse nicht nur sicherstellen, sondern nach Artikel 5 Abs. 2 DSGVO auch nachweisen müssen. Wichtig zu wissen: Sich dabei einfach auf Unterlagen/Verträge, die Microsoft bereitstellt, zu beziehen, reicht nicht aus, sondern Verantwortliche müssen sich selbst von der Rechtskonformität ihrer eingesetzten Produkte überzeugen.
Nachfolgend möchte ich die Betrachtung allerdings wieder auf MS365 lenken, denn dies steht aktuell zur Debatte. Unabhängig vom DSK-Beschluss möchte ich auf einige Studien und Bewertungen zu MS365 verweisen und kurz aus diesen zitieren.
[1] Bewertung des LfDI BaWü bzgl. des Pilotprojekts des Kultusministeriums für den Einsatz einer speziell datensparsam konfigurierten Version von Microsoft 365 (Der Landesbeauftragte für den Datenschutz und Informationsfreiheit Baden-Württemberg, durchgeführt April 2021)
Im Ergebnis empfiehlt der LfDI, von der Nutzung der erprobten MS-Produkte im Schulbereich abzusehen. Trotz des besonderen Zuschnitts der eingesetzten Produkte bleiben eine Vielzahl von Problemen und offenen Fragestellungen, welche weder das Kultusministerium noch die einzelnen Schulen datenschutzrechtlich verantworten können.
[2] Data Protection Impact Assessment (DPIA): Diagnostic data processing in Microsoft Office365 for the Web and mobile Office apps (niederländische Datenschutzbehörde Autoriteit Persoonsgegevens, durchgeführt Juni 2020)
Despite these improvements, this DPIA shows that the use of Office for the Web andthe mobile Office apps in combination with the Connected Experiences and theConnected Cloud Services still leads to six high and three low data protection risks for data subjects. […]
[3] Data Protection Impact Assessment (DPIA): Diagnostic Data processing in MicrosoftTeams, OneDrive, SharePoint and Azure AD (niederländische Datenschutzbehörde Autoriteit Persoonsgegevens, durchgeführt Februar 2022)
Both Microsoft and the government organisations / universities can use the collected Diagnostic Data about the user to create a profile of the user. Microsoft has access tomore personal data about the use of the Azure AD and the use of Teams, OneDrive and SharePoint through Telemetry Data and raw data logs generated on its cloud servers Data than admins can see and export from the available reports and logs. This leads to a risk that data subjects cannot exercise their fundamental right to access these personal data.
Hilf mit die Spendenziele zu erreichen!
Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.
Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.
3.1 Brennpunkt: DSK-Beschluss
Richten wir den Fokus nun wieder auf den Beschluss der DSK zu MS365. Von Kritikern wird der Unmut geäußert, dass der Beschluss keine (neuen) Fakten oder Argumente auf den Tisch legt, die zeigen, dass der Einsatz von MS365 datenschutzrechtlich höchst bedenklich ist. Dem muss man entschieden widersprechen. Diese Wahrnehmung ist aus meiner Sicht auf den Bestätigungsfehler zurückzuführen. Getreu dem Motto
Ich mach mir die Welt, widde widde wie sie mir gefällt.
werden Fakten einfach ausgeblendet bzw. nicht in die Bewertungen einbezogen. Das ist fatal, denn das führt zu einer verzerrten Wahrnehmung und letztendlich zu einer Berichterstattung bzw. Aussagen, die die Debatte vergiften und nur der Bestätigung des eigenen Weltbilds dienen.
Nüchtern betrachtet beinhaltet bereits die Zusammenfassung der DSK genügend Fakten, die den Beschluss schlüssig untermauern – jedenfalls dann, wenn man gewillt ist, Quellen, die in Fußnoten genannt werden, zu folgen und zu berücksichtigen. Eine ganz entscheidende Quelle ist eine Bewertung des LfDI Baden-Württembergs, der das Pilotprojekt zur Einführung von MS365 an Schulen in Baden-Württemberg beratend begleitet hat. Das Ergebnis kurz zusammengefasst:
Der LfDI begleitete und beriet das Kultusministerium Baden-Württemberg über einen langen Zeitraum in einem intensiven und umfangreichen Verfahren zum eventuellen Einsatz von Microsoft 365 (im Folgenden: MS 365) an Schulen.[1] Für einen Pilotbetrieb zwischen Herbst 2020 und Frühling 2021 wurde vom Kultusministerium in Zusammenarbeit mit den beteiligten Dienstleistern und hochrangigen Vertretern von Microsoft eine funktionell eingeschränkte und möglichst datenschutzkonforme Konfiguration von MS 365 gewählt. Datenschutzrechtlich besonders bedenkliche Funktionen von MS 365 waren abgeschaltet bzw. wurden soweit möglich deaktiviert, wie z.B. die Erfassung von Telemetrie- und Diagnosedaten. Weiterhin wurden zusätzliche Sicherheitsfunktionen implementiert und Accounts nur für Lehrkräfte vergeben, nicht jedoch für Schülerinnen und Schüler.
Die getroffenen Maßnahmen stellen zwar signifikante Verbesserungen im Vergleich zu einer Standard-Installation dar, reichten aber nach der Bewertung des LfDI nicht aus, um zu einem datenschutzkonformen Einsatz zu kommen. Im April 2021 informierte der LfDI das Kultusministerium über die datenschutzrechtliche Bewertung dieses Pilotprojekts und empfahl, von der Nutzung der geprüften Software abzusehen und alternative Lösungen zu fördern. Der mehrmonatige und intensive Praxistest hat gezeigt, dass dieser Versuch der Erstellung einer datenschutzkonformen Konfiguration nicht erfolgreich war, Annahmen sich als nicht zutreffend erwiesen haben und dass der Einsatz von MS 365 im schulischen Kontext zahlreiche datenschutzrechtliche Verstöße mit sich bringt. Dass sich diese künftig – auch unter konstruktiver Mitwirkung von Microsoft – reduzieren oder teilweise beheben lassen, ist nicht ausgeschlossen, aber derzeit nicht absehbar.
Nachfolgend kann die Stellungnahme des LfDI abgerufen werden. Besonders empfehlenswert ist die abschließende Bewertung (finale Fassung) nebst Anlagen, in denen detailliert aufgezeigt wird, wie die Schulen bzw. die zugrundeliegende MS365-Konfiguration gegen die DSGVO – und aus heutigem Blickwinkel auch gegen das TTDSG – verstößt. Datenmitschnitte, die die Konfiguration bzw. das Datensendeverhalten von MS365 (und seiner Tools) in der Praxis untersuchen, liefern eindeutige Anhaltspunkte, um mögliche Verstöße gegen die DSGVO/TTDSG aufzudecken. Mehr Beweisführung geht nicht – und der Interpretationsspielraum dieser Datenmitschnitte ist meist sehr eng bemessen. So Wischi-Waschi ist die DSGVO nun auch wieder nicht gestaltet. Aufgrund dieser eindeutigen Faktenlage ist das starrsinnige Festhalten am Mantra
[…] dass weiterhin ein datenschutzkonformer Einsatz von Microsoft 365 möglich ist.
ein völlig irrationales Verhalten.
Nun zu behaupten, es liegen keinerlei (neue) Fakten oder Argumente auf dem Tisch, ist entweder der gezielte Versuch, die Debatte zu manipulieren, Vorteil aus der Situation zu schlagen oder auf den Bestätigungsfehler zurückzuführen. Rational geht jedenfalls anders.
Mehr Fakten bitte!
Während die DSK bzw. Aufsichtsbehörden tatsächlich Fakten vorlegen, stützen sich Kritiker überwiegend auf Unterlagen, die Microsoft bereitstellt. Wer im Jahr 2022 die Rechtskonformität eines Produkts/Dienstleistung tatsächlich noch ausschließlich auf Papier- bzw. Vertragslage bewertet, dem sei gesagt: Nice try, better luck next time!4. Fazit
Anstatt nun wieder Unmengen an Zeit und Geld dafür aufzuwenden, um Wege zu suchen, die den Einsatz von MS365 weiter legitimieren sollen bzw. – und das ist noch viel absurder – an der Einführung von MS365 festzuhalten, sollten Verantwortliche der Realität ins Auge blicken: Der Einsatz von MS365 ist datenschutzrechtlich höchst problematisch. Eine Feststellung die nun seit Jahren immer und immer wieder gemacht wird. Aber klar, wer das nicht verstehen mag oder will, ist für Microsoft-Consultants und windige Rechtsberater ein gefundenes Fressen, die dabei helfen sollen, den Status Quo zu erhalten. Und wenn das Vorhaben am Ende dann scheitert, wird auf die Datenschützer geschimpft, die Schuld daran seien, dass die Digitalisierung so erfolglos und teuer sei.
An Microsoft-Befürworter kann man daher nur appellieren: Befasst euch mit den Argumenten der Kritiker, geht in euch, macht euch frei von Vorurteilen und betrachtet die Faktenlage ganz sachlich. Niemand ist dazu verdammt, dem inneren »Manipulator« blind zu gehorchen, sondern wir können unabhängig denken und handeln. Am Ende wird sich der eine oder andere dann vermutlich eingestehen (müssen), dass das manifestierte Weltbild/Meinung vielleicht doch überdacht werden sollte.
Letztendlich muss jeder (Verantwortliche) für sich entscheiden, ob er weiterhin an der Vogel-Strauß-Technik festhält, oder anerkennt, dass MS365 bzw. höchstwahrscheinlich auch weitere Produkte/Dienste von Microsoft nicht datenschutzkonform nutzbar sind. Je eher man sich mit dieser Thematik befasst und nicht dem Unterbewusstsein die Kontrolle über das manifestierte Meinungsbild überlässt, umso eher kann ein Prozess angestoßen werden, der eine Exit-Strategie bzw. Alternativen zu MS365 evaluiert. Das schöne ist, sie sind längst da und werden bereits erfolgreich eingesetzt.
Bildquellen:
ISO 7010 M030: SVG is licensed by CC0 1.0
Über den Autor | Kuketz
In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.
Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.
Unterstützen
Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.
Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:
Bildungswesen: Entlarvung der häufigsten Microsoft-Mythen
Bildungswesen: Datenschutzkonforme Lösungen sind die Zukunft – nicht Microsoft
Datenschutz: Studien, Analysen und Einschätzungen zu Microsoft-Produkten
Das in der Corona-Pandemie viel zitierte Beispiel Südkorea – eine Datenschutz-Analyse
Kommentar: Microsoft, Google, Apple und Co. aus Bildungseinrichtungen verbannen
2 Ergänzungen zu “Kommentar zu MS365: Wenn Fakten nicht mehr ausreichen”
Wenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-ForumAbschließender Hinweis
Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.
Ich finde, bei dieser Thematik sollte man nicht nur einzig und alleine MS365 betrachten, sondern generell den Einsatz von Microsoft-Produkten:
Ein Windows 10 oder ein Windows 11 Betriebssystem verhalten sich mindestens genau so „undurchsichtig“ bei der Datenübermittlung und Speicherung (oder sogar noch etwas schlimmer als MS365) und sind deshalb ebenfalls nicht DSGVO-konform zu betreiben. Einerseits fehlt die einfache Option den Datentransfer komplett abschalten zu können und anderseits an Transparenz bei Microsoft, die das unfreiwillige Datenabsaugen auch noch als „gutartige Telemetriedaten“ Übermittlung bezeichnen. Aber der CLOUD Act ist dabei der eigentliche Hauptpunkt, weshalb es augenblicklich schlicht unmöglich ist irgendwelche Software-Produkte amerikanischer Firmen – die Daten ins Netz übermitteln und für den Zugriff speichern – DSGVO-konform zu benutzen. DSGVO und CLOUD Act widersprechen sich, doch es scheint nur sehr wenige Leute zu stören.
Leider ist Win10/Win11 heute die Basis für fast alles: Gefühlt 95% aller PCs/Laptops werden damit verkauft und ausgeliefert. Es ist weiterhin das Top-Betriebsystem in den allermeisten Unternehmen. Darauf laufen fast alle Anwendungsprogramme, doch eigentlich dürfte derzeit IMHO keine einzige europäische Schule, keine europäische Behörde, kein europäischer Arzt und kein europäischer Rechtsanwalt diese beiden Betreibsysteme einsetzen. Früher (sehr lang ist es her) wurde MS mal wegen dem Internet-Explorer von der EU recht teuer abgemahnt und musste Dinge abändern. Weshalb die EU heute nicht mehr re(a)giert und von MS beispielsweise EU-Versionen – ohne Datenabfluss – fordert, ist ein großes Rätsel.
Der Confirmation Bias ist wissenschaftlich gesicherte Erkenntnis, ist er aber auch entscheidend in diesem Zusammenhang?
Als Verantwortlicher für das Funktionieren der Geschäftsprozesse einer Institution hat man ein Problem, wenn man auf die Datenschützer hört: Man muss nämlich etwas neues aufbauen, was Arbeit ist, schlimmer noch: man muss etwas lernen, igitt. Arbeit und Lernen sind unbequemer als den Status quo verwalten. Der Datenschützer oder Kritiker stört also nicht, weil er unangenehme Fakten bringt, sondern Bequemlichkeit erschwert. Also folgt man nur, wenn andernfalls Strafe droht. Die droht mir, wenn ich 10min. falsch parke, weshalb ich dies vermeide. Den Datenschutz kann man aber jahrelang ignorieren, ohne dass irgendwelche Konsequenzen drohen. Das ist das Hauptproblem. Gesetze und Verordnungen, die nicht durchgesetzt werden, verlieren über die Jahre überdies an Autorität. Daran kann man sich leicht gewöhnen; die Kurskorrektur wird dann immer schwieriger.