Microsoft Teams und der Datenschutz (Datenschutz Deluxe Podcast #22)

Datenschutz Deluxe, der Podcast rund um das Thema Datenschutz und IT mit Dr. Klaus Meffert und Stephan Plesnik.

Ja, hallo und herzlich willkommen zum Datenschutz Deluxe Podcast in dieser Woche wieder mal.

Mein Name ist Stephan Plesnik und ich bin hier wie immer mit Dr. Klaus Meffert.

Klaus, ich begrüße dich.

Wie geht es dir?

Hallo Stephan, vielen Dank, dass wir wieder zusammen sind.

Mir geht es gut.

Ich hoffe, dir geht es auch gut und ich freue mich auf alles, was in den nächsten Minuten passiert.

Wunderbar.

Bei mir ist alles so weit Paletti.

Ich habe mir für heute was überlegt und dafür brauche ich gar kein Zitat rauskramen.

Ich glaube, da hat jeder ein eigenes Zitat in dem Universum Microsoft.

Denn ich habe mir überlegt, vielleicht wäre es ganz spannend, wenn wir uns mal angucken, was bei Microsoft Teams so alles an Datenverarbeitung passiert.

Und ich meine damit jetzt gar nicht so hinzugehen, was wissen wir alles darüber, weil wir Datenschutzbeauftragte sind und uns damit täglich beschäftigen.

Nein, ich meine wirklich aus der Perspektive eines Benutzers, also jedem Einzelnen, der jetzt zuhört, der Microsoft Teams schon mal genutzt hat oder regelmäßig nutzt, dass ihr mit uns gemeinsam mal herausfinden könnt, wo können wir denn überall sehen, dass Daten vielleicht rechtmäßig, vielleicht unrechtmäßig verarbeitet werden und wie können wir das überprüfen?

Also quasi, wie können wir uns gewahr werden darüber, was passiert eigentlich, wenn ich Microsoft Teams nutze?

So als allgemeine Frage.

Und dafür, Klaus, an dich die erste Frage.

Nutzt du häufig Microsoft Teams?

Nein, von mir aus selbst gar nicht, muss ich sagen.

Also, wenn jemand den Wunsch an mich heranträgt, eine Videokonferenz zu machen oder wenn ich es vielleicht sogar selbst mal vorschlage, was nicht so oft vorkommt, dann nehme ich andere Dienste.

Ich nehme einen deutschen Anbieter, der heißt Ecosero, E-C-O-S-E-R-O. Der muss auch nicht installiert werden und dann bin ich glücklich.

Bei Microsoft Teams habe ich schon, also unabhängig von den Datenschutzthemen, stört mich auch, dass es nicht wirklich besonders komfortabel ist.

Also ich kann kurz zwei Erfahrungen schildern.

Zum einen gibt es mit diesem Principle öfter mal ein Problem.

Ja, wenn man mal mehrere Microsoft Konten hatte oder hat, was durchaus mal vorkommen kann, wenn man zwei Windows-Installationen in seinem Leben schon gemacht hat in letzter Zeit, da kommt das Teams durcheinander.

Das habe ich schon mehrfach gehabt und ich glaube, mich mit Computern ganz gut auszukennen.

Und zum Zweiten ist es eben so, wenn man eine PowerPoint-Präsentation teilen will, also vortragender ist und nicht ein neues PowerPoint nutzt.

Ich nutze nämlich kein neues, weil ich nicht möchte, dass Cloud-Dienste meine Daten abgreifen von Microsoft, die Daten von mir.

Dann nehme ich Outlook 2016 beispielsweise.

Und das ist aber nicht mit dem Teams kompatibel, sodass ich entweder meine Präsentation sehen kann oder die Teilnehmer und den Chat.

Also das nur als zwei Beispiele.

Und ich meine, so weltfremd ist es jetzt auch nicht, PowerPoint von 2016 zu nutzen, weil ganz ehrlich, soweit ich weiß, dieses Präsentationsprogramm funktioniert jetzt genauso wie vor vier Jahren oder vor sechs.

Da hat sich nichts Wesentliches geändert.

Also es ist meine Sache, ob ich Präsentationen, die ich schon erstellt habe, damit darstellen möchte oder nicht.

Also für mich hat Teams überhaupt keinerlei Vorteile aus der Nutzersicht.

Ich bin natürlich auch nicht im Konzern eingebettet.

Aber selbst dann, wie gesagt, Prinzipalproblemen und auch Outlook 2016-Problemen finde ich nicht gut.

Genauso wie den Datenschutz nicht.

Ich wüsste nicht, warum ich Teams nutzen soll.

Okay, das nenne ich mal ein moderat absolutes Statement, finde ich aber sehr cool.

Das heißt, wenn ich das richtig verstehe, ist es so, du machst dir da Gedanken darüber, welche deiner Daten an Microsoft übertragen werden.

Und deswegen sagst du, mir ist das zu dubios, mir ist das zu undurchsichtig.

Also versuche ich mich zumindest von der Cloud-Infrastruktur dieser Dienste fernzuhalten.

Und da sitzt Teams ja nun mal direkt drin.

Habe ich dich da so richtig verstanden?

Ja, genau.

Microsoft Office 365 ist ein Cloud-Produkt und da sammelt Microsoft natürlich zahlreiche Daten.

Und wenn ich eben Outlook 2016 nehme, dann werden diese Daten nicht gesammelt von Microsoft, weil es eine lokale Installation ist.

Also es werden vielleicht auch Daten gesammelt, aber da kann ich mich ein bisschen gegen schützen.

Wenn ich einen Online-Dienst nutze, Outlook Office 365, dann muss ich ja in der Cloud arbeiten, dann sind die Daten ja auf jeden Fall bei Microsoft.

Da kann ich mich ja nicht dagegen wehren, weil entweder will ich einen Cloud-Dienst nutzen oder ich will keinen Cloud-Dienst nutzen.

Aber ein Cloud-Dienst ohne Internet funktioniert schlecht normalerweise.

Außer ich habe einen eigenen und das geht ja bei Microsoft nicht.

Und unabhängig davon ist es eben so, dass nur als ein Beispiel jeder, der Windows nutzt, und dazu gehöre ich auch, ich bin mit Windows an sich zufrieden, es gibt ja nicht so viele Alternativen, anders als bei Teams übrigens, da ist es extrem kompliziert bis unmöglich, die Telemetriedaten, die Microsoft an sich selbst schickt, von meinem Rechner aus zu unterbinden.

Und da werden Dinge geschickt, die haben nichts mit Diagnose zu tun oder jedenfalls in meinem Sinne ist es jedenfalls nicht.

Und da habe ich mit einem gesprochen, der sehr enge Verbindungen zu Microsoft hat, der findet Microsoft nicht super, aber der war in Amerika schon öfter bei Microsoft, dem habe ich gesagt, ja, bei Windows kann man ja nicht mal die Telemetriedaten offiziell abschalten.

Und wenn man es aus und zweit mal hingekriegt hat nach Stunden der Arbeit, dann wird es beim nächsten Update zunichte gemacht und man muss von vorne anfangen.

Und da sagt er, ja, man kann ja eine teurere Version von Windows kaufen, in der diese, ich sage jetzt mal mit meinen Worten, Späheinrichtung nicht mehr vorhanden ist.

Also ich habe gesagt, wenn ich mir ein Produkt kaufe, dann erwarte ich, dass ich nicht ausgespäht werde und ich zahle nicht 200 Euro mehr, damit ich dann aber gerade wenigstens nicht ausspioniert werde.

Also dafür zahle ich doch nicht 200 Euro mehr, dass die Spähfunktion ausgeschaltet wird.

Die hat von vornherein nicht da zu sein.

Bei Microsoft ist aber anscheinend ein anderer Datenschutzgeist vorhanden.

Wo du das gerade sagst, finde ich sehr spannend, weil genau das erlebe ich jetzt auch gerade.

Ich bin einfach mal wie so ein Endnutzer einfach auf die Microsoft-Seite gegangen zum Thema Teams.

Habe also in der Suchmaschine Microsoft Teams eingegeben und dann hat Ecosia mir als ersten Eintrag deren Login-Seite, wo ich mich anmelden oder das Produkt herunterladen kann, präsentiert.

Und bereits da sieht man schon diesen laschen Umgang mit der Privatsphäre der Nutzer, weil auf dieser Webseite sofort beim Laden natürlich ein Tracker aktiv ist.

Das ist ein Tracker, der ist ähnlich dem Google Tag Manager, aber nicht von Google.

Das heißt, irgendeinen Dienst der Verbindung zu anderen Diensten lädt, die nicht notwendig sind.

Und dann, wenn man in der Cookiebox egal was wählt, passiert gar nichts.

Auf der Webseite bleibt einfach alles so, wie es ist.

Und das zeigt mir dann auch wieder, okay, also diese Cookiebox ist auch nur irgendwas, was so tun möchte, als wenn ich da datenschutztechnisch irgendwas richtig mache oder einstellen beeinflussen kann.

Das passt ja auch zu der Aussage, die du gerade getätigt hast mit dem Betriebssystem und die auch ich in meinen Recherchen zum Windows-Betriebssystem, wie kann man das datenschutztechnisch vernünftig betreiben, herausgefunden habe.

Das ist eben, ja, bei Windows muss man sich, oder bei Microsoft muss man sich von der Spionage freikaufen, dadurch, dass man für Systeme zusätzlich Geld bezahlt.

Richtig.

Auf dem Hintergrund kann ich dann auch sehr gut verstehen, warum du sagst, ich will mich von dieser Cloud von Microsoft fernhalten und vor allen Dingen, dass du Alternativen nutzt.

Jetzt weiß ich schon direkt, das erste Argument, was kommt, wenn jetzt einer von uns beiden einem Kunden sagen würde, pass auf, da gibt es Alternativen zu Microsoft Teams, würde das direkt heißen, ja, aber das ist ja mit allem anderen integriert.

Und da ist jetzt für mich so die Frage, welche Argumente findest du da, also welche Argumente wählst du da, um vielleicht so ein Irrglauben, der es ja nun mal ist, zu entkräften?

Gut, also ich sag mal so, wenn man irgendwas erleichtert, indem man rechtswidrig handelt, dann kann ich da nur sagen, Sie dürfen es nicht tun.

Ich kann dem anderen nicht sagen, es gibt eine andere Lösung, die ist rechtskonform, die ist ein bisschen komplizierter, hält sich aber an alle Gesetze.

Wenn derjenige, der das nutzt, nicht die Gesetze einhalten will, obwohl er es könnte, mit geringen Nachteilen vielleicht in der Funktion, dann kann ich ihn nicht überzeugen.

Aber jeder hat die Gesetze einzuhalten, da kommt es nicht auf die Funktion an.

Ich gebe immer das Beispiel mit dem Falschparken.

Wie gerne würde ich so oft falsch parken, dass ich nicht so weit laufen muss und nicht so viel Zeit verschwende.

Ich darf es aber nicht und mache es auch nicht.

Und beim Falschparken allerdings hat man mehr zu befürchten an Strafen, als wenn man Microsoft Teams nutzt.

Das ist das Problem bei der Sache, wenn ich nämlich falsch parke, kann es sein, dass ich abgeschleppt werde.

Dann kann es sein, dass ich einen Strafzettel kriege und so weiter.

Das Problem ist einfach, dass das Problembewusstsein nicht da ist und Microsoft selbst behauptet, sie seien datenschutzkonform.

Das ist klar.

Das ist auch das Problem unserem Rechtssystem.

Man kann alles behaupten und alles bestreiten.

Das ist einerseits gut, andererseits kann man auch jeden groben Unsinn behaupten.

Und Microsoft sagt ja zum Beispiel, ich bin jetzt auch auf der Teams-Seite, also der Informationsseite, da steht, sind Microsoft 365 und Microsoft Teams datenschutzkonform?

Fragt Microsoft sich selbst und schreibt dann in der nächsten Zeile, die Antwort lautet Ja, Ausrufezeichen.

17. August 2022 ist dieser Artikel.

Und dann steht hier auch noch drin, von Microsoft selbst geschrieben, die wichtigsten Punkte im Überblick.

Ich zitiere jetzt mal ein.

Microsoft speichert Daten weitgehend regional in Rechenzentren in der EU.

In Klammern sage ich jetzt, nur ganz wenige Daten werden an amerikanische Geheimdienste geschickt.

Etwas vereinfacht jetzt.

Microsoft schickt nichts an amerikanische Geheimdienste wahrscheinlich, aber amerikanische Geheimdienste können eben darauf zugreifen, wenn die Daten nicht ausnahmsweise, mal nicht weitgehend regional in der EU gespeichert werden.

Ein Prozent der Fälle reicht ja schon aus.

Zusätzlich, schreibt hier Microsoft, wird die Microsoft EU Data Boundary es künftig in der EU ansässigen Kunden aus dem öffentlichen Sektor und Unternehmenskunden ermöglichen, ihre Daten innerhalb der EU zu verarbeiten und zu speichern.

Also künftig heißt ja nicht jetzt.

Wir werden zukünftig nicht mehr auf ihrem Parkplatz parken.

Irgendwann mal nicht mehr.

Aktuell machen wir es aber noch, auch wenn da eine Feuerwehrzufahrt ist.

Und was die Microsoft EU Data Boundary oder EU Data Boundary ist, weiß ich nicht.

Das steht ja nicht.

Ich möchte nur noch eins zu bedenken geben.

Da gibt es ja auch dieses berühmte PDF von Microsoft, was ich hier gerade offen habe.

Da sind so vier Seiten, also fast vier Seiten.

Die letzte ist ein bisschen leer.

Da steht ja Stellungnahme von Microsoft Deutschland zur Datenschutzkonformität von Microsoft 365 und Microsoft Teams.

Da steht zum Beispiel drin, dass amerikanische Geheimdienste nicht ernsthaft ein Interesse haben, Daten aus einem Schulunterricht in Deutschland abzugreifen.

So hat es Microsoft geschrieben.

Falsch.

Denn Mörder und Bombenleger können auch unter Lehrern vorhanden sein, wie man weiß.

Auch Lehrer sind Menschen und auch Schüler.

Wir hatten jetzt gerade das traurige Beispiel, dass zwei 13-jährige Mädchen eine 12-Jährige umgebracht haben in Deutschland.

Warum dann Schüler keine Straftäter sein können, erschließt sich mir nicht.

Und warum Schüler, gab es auch in den USA, gibt es auch regelmäßig irgendwelche Amokläufer, die 18 Jahre alt sind oder 17. Da geht man auch noch in die Schule.

Das waren ja Schüler.

Und das Witzige ist, Microsoft findet die amerikanischen Überwachungsgesetze selbst nicht gut.

Das schreibt Microsoft.

Das habe ich mir nicht ausgedacht oder interpretiert.

Das gibt Microsoft selbst zu.

Wir finden die US-Überwachungsgesetze, sage ich jetzt mal mit meinen Worten, nicht gut.

Und wir haben die US-Regierung schon mehrfach verklagt deswegen.

Also Microsoft hat folgendes Dilemma.

Wir unterstellen mal Microsoft, dass sie Datenschutz ernst nehmen.

Glaube ich zwar nicht, aber wir unterstellen es mal.

Dann könnte Microsoft selbst dann ihren Dienst nicht datenschutzkonform anbieten.

Also Microsoft Teams können sie dann nicht datenschutzkonform anbieten, weil leider die US-Regierung diese amerikanischen Überwachungsgesetze hat.

So, das ärgert Microsoft, verstehe ich.

Und aus dieser Nummer kommt Microsoft aber so nicht raus.

Allerdings gäbe es eine Lösung für dieses Problem.

Und diese Lösung würde nicht mal die amerikanische Regierung involvieren, also den Gesetzgeber.

Nämlich Microsoft müsste nur, in Anführungszeichen, ich gebe zu, es ist nicht mit einem Wimpernschlag gemacht, aber wenn Microsoft das wollte, ginge es, auch bei Google übrigens.

Sie müssten eine europäische Gesellschaft gründen, die weisungsfrei ist von einer amerikanischen Gesellschaft.

Weisungsfrei.

In Wirklichkeit geht Microsoft und Google aber her und gründen irische Tochtergesellschaften in der EU aus steuerlichen Gründen, wo einfach nur die Abrechnung stattfindet, um zu verschleiern, dass die amerikanischen Unternehmen und Geheimdienste Zugriff auf diese Daten haben können, wenn sie das wollen.

Beziehungsweise behaupte ich, bei Microsoft und bei Google ist es immer so, dass alle Daten in die USA kommen, die relevant sind für die Analyse von Nutzern.

Auch bei Microsoft.

Und da reicht es nicht, wenn man in Irland so eine Placebo-Gesellschaft platziert.

Also so viel dazu.

Microsoft nimmt Datenschutz nicht ernst, sage ich.

Und die Argumente, die sie bringen, sind nicht ernst zu nehmen.

Das finde ich sehr spannend.

Mir geht das ähnlich.

Für alle Nutzer da draußen, die das ausprobieren möchten, um sich selber ein Bild davon zu machen, geht doch einfach mal per Webbrowser, nehmt euch den Brave, geht ihr mit diesem Webbrowser auf den Link zu eurer Videokonferenz, öffnet die, dann meldet ihr euch da an und dann schaut ihr einfach mal oben auf den kleinen Löwenkopf, dieses kleine Sicherheitssymbol, was mit so kleinen Zahlen zählt, wie viele Tracker und Analyse-Tools geblockt werden.

Und dann könnt ihr mal gucken, ob ihr meinen Highscore von 99 plus in weniger als 28 Minuten innerhalb einer Videokonferenz schlagen könnt.

Also vielleicht schafft es ja einer von euch den Highscore von über 100 Trackern und Analyse-Tools, die geblockt werden durch Brave, in weniger als 28 Minuten zu bekommen in einer Videokonferenz von Microsoft Teams.

An der Stelle mal der Hinweis, nichts hindert die Videokonferenz.

Also funktionell ist alles verfügbar, alles geht.

Ich kann mein Screensharing machen, ich kann alles machen, was ich sonst auch in einer Webkonferenz in Teams machen kann.

Aber über 100 Tracker und Analyse-Tools werden versucht, nacheinander zu laden.

Wahrscheinlich so nach dem Motto First come, first serve.

Wer aber nichts serviert bekommt, dann kommt halt der nächste Gast hinterher und versucht, die Daten abzugraben.

Und das so lange, bis man dann irgendwann das geschafft hat, dass man durchkommt und die Daten abgraben kann.

Das Interessante ist, dabei werden natürlich wieder externe Dienste benutzt.

Also das verweist auf Hömmele viele unterschiedliche URLs anderer Dienstleister.

Das heißt, hier ist also gar nicht Microsoft derjenige, der direkt die Daten erhebt und verarbeitet, sondern Microsoft beauftragt andere mit dieser Datenerhebung.

Das ist dann nochmal etwas, was in der gesamten Datenschutzerklärung von Microsoft nicht zu finden ist.

Welche dieser Unternehmen das sind, wo sie da die Daten sammeln.

Das heißt also, auch hier ist keine Transparenz, was die Informationen, die erhoben werden versus der Notwendigkeit dieser Informationen irgendwie in eine Relation stellt.

Und das, was du sagst, finde ich total super, weil in der Datenschutzerklärung von Microsoft, gerade jetzt Stand, letzte Aktualisierung Februar 2023, steht tatsächlich eine Information, die ihr jederzeit sehen könnt.

Ihr müsst nur auf diese Seite gehen, Microsoft, dann unten im Footer auf Datenschutz.

Und an der linken Seite ist eine permanent angezeigte Information.

Und da steht Privacy Shield Abkommen zwischen der EU und den USA beziehungsweise der Schweiz und den USA.

Jetzt wollen wir es vielleicht allen Leuten nochmal sagen, die es noch nicht mitbekommen haben.

Das EU-US-Privacy Shield Framework und Abkommen ist seit dem Schrems-2-Urteil lange vom Tisch.

Das ist nichts wert.

Und trotzdem steht es hier prangert auf der Webseite, als wenn es, hier steht sogar, dass die das betrachten, dass sie die Prinzipien beachten usw. Und dann steht da so in einem Beispiel, aufgrund des Urteils des Europäischen Gerichtshofs in der Rechtssache C311-18 nicht als legale Basis für die Übertragung persönlicher Daten.

Weitere Informationen erhalten Sie unter.

Ja, ja, so ist es.

Wozu steht das dann da?

Das ist meine Frage.

Das soll doch suggerieren, Alter, das läuft alles vernünftig, was wir machen.

Und erst, wenn man genau liest, merkt man, das ist überhaupt keine Aussage.

Das müsste da einfach gar nicht stehen.

Ja, das machen die Anwälte von Microsoft, haben das da reingeschrieben, um Leute zu verwirren.

Weil umso mehr man verwirrt, umso weniger muss man befürchten, dass man Probleme kriegt.

Das ist leider die Strategie im Rechtssystem.

Ich habe jetzt auch gerade nachgeguckt.

Also das Urteil, was du zitiert hast, C311-18, ist das Privacy-Shield-Schrems-2-Urteil vom 16.07.2020. Und der EuGH hat eben festgestellt, dass dieses Privacy-Shield, es war ein informelles Datenschutzabkommen zwischen Europa und den USA, also das Privacy-Shield zu dem Urteil 16.07.2020 für ungültig erklärt wurde und zwar auch rückwirkend.

Also es war nie gültig.

Seit diesem Urteil steht fest, Privacy-Shield gab es offiziell gar nicht sozusagen.

Es gab es nicht und gibt es auch erst recht jetzt nicht.

Also jetzt nicht darauf zu berufen, ist vollkommener Blödsinn.

Und es wird auch nicht mehr kommen, solange die USA Überwachungsgesetze haben.

Das kann man auch schon sagen.

Selbst wenn die Europäische Union jetzt wieder ein Privacy-Shield 2.0 erlassen würde oder bestätigen würde, wäre es ungültig oder würde spätestens, wenn wieder geklagt wird, was der Schrems dann auch tun wird, hat er schon gesagt, für ungültig erklärt werden.

Ich habe mir mal die Executive Order von Joe Biden durchgelesen, die als Grundlage dafür dienen soll, für dieses zukünftige Abkommen.

Und die ist einfach, also kurz gesagt, man wird besser gestellt als jetzt, aber eben noch viel zu schlecht.

Und außerdem kann eine Executive Order jederzeit geändert oder zurückgenommen werden.

Wenn jetzt zum Beispiel ein neuer Präsident in den USA irgendwann mal rankommt, kann ja sein, der Biden ist ja nicht mehr der Jüngste, dann kann der, selbst der Biden könnte es morgen, diese Executive Order rückgängig machen mit einem Federstrich.

Dann stünden wir Europäer blöd da.

Und das geht einfach nicht.

Also, wie du auch sagtest, Microsoft verwirrt einfach.

Und ich habe jetzt nur kurz nachgeguckt, als kleines Detail nebenbei.

Ich habe mir diese Informationsseite von Teams aufgerufen, wo man es runterladen kann.

Da wird ein Cookie gesetzt ohne meine Einwilligung.

Ich kriege übrigens nicht mal die Abfrage.

Ich weiß nicht, warum, obwohl ich alle Cookies gelöscht habe.

Microsoft Application Telemetry Device ID mit einem Wert, der als Personenidentifiziere geeignet ist, lauft seit ein Jahr.

Also, darf gar nicht gesetzt werden.

Ohne meine Einwilligung wird es aber.

Und da gucke ich im Internet nach und finde keine Information dazu.

Ich habe jetzt nur kurz recherchiert, aber ich finde keine Information dazu.

Es fragt sogar jemand bei Stack Overflow, was denn die Bedeutung von diesem Cookie wäre.

Also, Microsoft könnte es ja auch einfach mal irgendwo hinschreiben.

Dann wüsste man nämlich, dass Microsoft rechtswidrig dieses Cookie nutzt.

Das möchte Microsoft aber nicht, dass man das weiß.

Und deswegen schreiben sie es lieber gar nicht hin.

Also, nur als ein Beispiel für die Intransparenz von Microsoft.

Das läuft doch grundsätzlich auf denselben Schmu hinaus.

Wir haben jemanden, der irgendwie rechtswidrig handelt.

Der ist der Täter.

Und auf die Frage nach der Tat antwortet er nicht mit, ja, ich habe sie begangen, sondern sagt irgendetwas anderes.

Damit ist er ganz klar schuldig.

Weil nur die Leute, die nicht sagen können, nein, das mache ich nicht, und das ganz klar abstreiten können und sagen können, nein, das mache ich nicht, sind die, die man ernst nehmen kann, wenn sie wegen irgendetwas beschuldigt werden.

Die Leute, die versuchen, irgendwas anderes zu argumentieren, haben irgendwas zu verbergen.

Ja, du hast recht.

Ich meine, du hast natürlich recht, dass es für den normalen Menschen, wenn jemand sagt, nein, ich war es nicht, sozusagen, im normalen Leben, sage ich jetzt mal, dann geht man stark davon aus, dass es wohl doch war.

Aber im Rechtswissen ist es halt schon anders.

Da darf man es halt alles abstreiten.

Und das Gericht darf es nicht so werten, als wäre es verdächtig, sozusagen.

Sondern muss es einfach, wenn es substanziiert abgestritten wird, also mit einer gewissen Begründung, da muss das Gericht es sozusagen hinnehmen.

Und der andere darf dann Widerstellung nehmen.

Und wenn seine Argumente gewichtiger sind, als die von der Gegenseite, die wieder abstreiten wird, dann ist es sozusagen eine Tatsache.

Ansonsten ist es für das Gericht, als nicht existent zu werten.

Das heißt, wenn, das wurde mal sogar vom Richter als Beispiel genannt, wenn jetzt eine Partei behauptet, die Wiese wäre blau, ja, es gibt keine blauen Wiesen, sagen wir mal, es kann theoretisch sein, aber wir sagen, es gibt keine blauen Wiesen.

Wenn der Beklagte sagt, die Wiese ist blau, der Beklagte widerspricht nicht, dann ist für das Gericht in diesem Gerichtsverfahren die Wiese blau.

Wenn der eine sagt, die Wiese ist grün und der andere bestreitet das mit einem gewissen Argument vielleicht, dann muss das Gericht davon ausgehen, dass die Wiese nicht grün ist.

Und da gibt es dann abgestufte Beweislast und so weiter.

Also es ist wirklich für den normalen Menschenverstand nicht logisch nachzuvollziehen.

Zum Beispiel wird ja auch gesagt von manchen Gerichten, ich kenne leider eins, zwei sogar, in Hessen, dass nämlich du hast zwar Rechte als Privatperson, dass deine Daten nach DSGVO von anderen verarbeitet werden und nicht anders, also nicht rechtswidrig, aber wenn jemand deine Rechte verletzt, dann darfst du dagegen nicht klagen.

Hä?

Moment, da verschlucke ich mich ja fast.

Was ist denn das für eine Logik?

Wofür habe ich denn dann ein Rechtswesen?

Kann ich aus erster Hand berichten, manche Gerichte sehen es nicht als gegeben an, dass für bestimmte Datenverarbeitungen ein Rechtsweg offen wäre, du müsstest dich schon an eine Aufsichtsbehörde wenden.

Die Aufsichtsbehörden sind aber keine Gerichte, wie wir beide wissen, und sie können nach billigem Ermessen den Fall bearbeiten oder auch nicht, wobei, vielleicht müssen sie ihn immer bearbeiten, aber bearbeiten heißt durchlesen und abheften und sagen, wir können uns nicht weiter damit beschäftigen.

Oder wenn dann in drei oder sieben, zwanzig Jahren.

Also das hat nichts mit effektivem Rechtsschutz zu tun.

Es bringt ja nichts, wenn Gesetze da sind, aber man nichts tun kann, wenn einer sie nicht einhält, wenn einer bei meiner Einfahrt falsch parkt und ich komme nicht rein.

Ich habe das Recht, dass er das nicht tut, aber wenn er es tut, dann kann ich nichts tun, damit er es lässt.

Also das ist vollkommener Blödsinn, ja?

So bewegen wir uns gerade in Deutschland und deswegen, Rechtswesen hin oder her, da sollte man mal einige Dinge verbessern, dass Europarecht auch anerkannt wird in Deutschland zum Beispiel und nicht deutsches Recht, was europarechtswidrig ist, dann drüber geht, bis man von EuGH gegangen ist, drei Jahre später sozusagen.

Jetzt gab es doch diesen Fall im Beschäftigtendatenschutz, dass das deutsche Gesetz dazu rechtswidrig ist, wie der EuGH teilweise festgestellt hat und woraus ich ableisten könnte, dass wenn der eine Paragraph ungültig ist, dass dann alles ungültig ist.

Ich kenne da die Details nicht, aber wollte ich nur mal so nebenbei erwähnen.

In Deutschland gibt so einige Lücken im Rechtswesen, mit denen wir uns als betroffene Personen, hoffentlich werden wir es nie sozusagen, ja, leider abfinden müssen, bis zehn Jahre später irgendein Urteil kommt.

Wahnsinn.

Ja, ich meine, eine ähnliche Vorgehensweise haben wir ja auch bei dieser Privacy Shield-Thematik.

Ich meine, ganz zu Anfang ging das ja los mit dem Safe Harbor Abkommen, das ist dann 2016 gekippt worden, das ist das Schrems I Urteil, dann gab es den Privacy Shield, der ist dann 2020 gefolgt, wurde gekippt, Schrems II Urteil, jetzt arbeiten sie an irgendeinem Data Act oder wie sie das nennen.

Nee, das ist was anderes, das ist ein weiteres Thema.

Stimmt, den habe ich gerade verwechselt, das ist diese EU-interne Idee, wie man es wirklich mal schaffen kann, dass Datenschutz verbessert wird, wo eigentlich auch ganz vernünftige Vorschläge drin sind.

Aber im Bezug auf externe Datenübertragung in so ein unsicheres Drittland wie den USA gilt halt, da gibt es keine vernünftige Grundlage und was ich auch sehr spannend finde, wo wir gerade bei Teams waren und von Microsofts Datenschutzeinstellungen kamen, die haben einen ganzen Abschnitt zum Thema Werbe-ID und das finde ich doch schon sehr spannend, weil ich meine, als wir über Google gesprochen haben und geguckt haben, was machen die mit den Daten, haben wir gesehen, die nennen das Google-ID, jeder hat eine Google-ID, das ist ja wenigstens, sag ich mal noch intransparent, ja?

Was ist so eine Google-ID?

Aber Microsoft geht einfach hin und sagt, das ist eine Werbe-ID.

Also die machen noch nicht mal einen Hehl daraus, dass sie und hier steht wirklich, Windows erzeugt eine eindeutige Werbe-ID für jede Person, die ein Gerät verwendet.

Also nicht nur für das Gerät, also ihr werdet bei der Nutzung von Windows sofort getrackt und zwar jeder einzelne, der ein Profil auf einem Rechner mit Windows-Betriebssystem hat, da wird eine einzelne ID für diese Person angelegt.

Es geht also noch nicht mal um das Nutzerprofil, sondern es geht direkt um die Person.

Also das ist wirklich Datenschutz mit Füßen treten und das auf die, sag ich mal, auf die arroganteste Art und Weise, die man machen kann.

Ja, das stimmt.

Das finde ich auch eine Unverschämtheit, wie du sagst.

Also man muss sich ja mittlerweile, glaube ich, mit einer E-Mail-Adresse anmelden üblicherweise für so ein blödes Microsoft-Konto, wenn ich mir ein Windows kaufe.

Ich möchte nichts mit Microsoft Online zu tun haben idealerweise und trotzdem muss ich's.

Und dann wird man auch, wie du sagst, ich konnte es jetzt nicht prüfen, aber wenn du es eben so vorgelesen hast, klingt das so für mich auch, wie du sagst, dass Microsoft einen nämlich mit einer Werbe-ID überzieht und zwar nicht nur ein Gerät mit einer Werbe-ID, sondern wenn da drei Nutzer drauf arbeiten, eine Familie zum Beispiel, jeder hat sein eigenes Nutzerkonto, dann kriegt jedes Nutzerkonto auf demselben Gerät eine eigene Werbe-ID und nebenbei bemerkt möchte ich nochmal sagen, Microsoft muss ja auch einen Transparenzbericht wahrscheinlich herausgeben.

Also ich nehme an, dass es müssen, weil sie machen's.

Google macht's auch und Apple und Facebook und da steht drinnen zum Beispiel, dass zwischen Juli und Dezember 2021 zwischen 12.500 und 12.999 Nutzerkonten betroffen waren von dieser Datenabfrage bezüglich des Foreign Intelligence Surveillance Act Pfizer.

So viel dazu.

Es mögen jetzt nicht so viele sein, aber ich möchte nicht unter diesen 12.999 Nutzerkonten sein.

Und übrigens ist es auch so, möchte ich nochmal sagen, weil viele ja sagen, ich hab nichts zu verbergen.

Das ist erstmal kompletter Blödsinn.

Jeder hat was zu verbergen.

Punkt eins, jeder.

Wer nichts zu verbergen hat, der lebt in der Wüste.

Ganz ehrlich.

Also wirklich, in der Wüste, ohne jede Elektronik und ohne irgendwas.

Und selbst da hat man wahrscheinlich was zu verbergen.

Vielleicht hat man ja auch mal jemanden vergewaltigt oder so.

In der Wüste ist das auch möglich.

Aber man hat ja nichts zu verbergen.

Aber selbst, wenn man nichts zu verbergen hat, angenommen, ich bin Terrorist und schreibe dir eine E-Mail.

Du kennst mich gar nicht.

Ich hab deine E-Mail-Adresse durch Webcrawling rausgefunden, ja, zufällig.

Ich schreibe dir eine Mail, ich bin Terrorist.

Jetzt kommt der amerikanische Geheimdienst, FBI oder so was zum Beispiel oder NSA wahrscheinlich nicht, weil es ja national ist, aber FBI.

Und guckt, ach, ich könnte ja Terrorist sein, wem hab ich denn Nachrichten geschrieben?

Da steht nämlich auch drinnen, dass Absender- und Empfängeradresse von E-Mails auch ausgewertet werden bei so was.

Und da bist du dann der Dumme, weil du nämlich als unbescholtener Bürger, der zufällig von einem Terroristen eine E-Mail gekriegt hat, nämlich dann auch im Fadenkreuz der amerikanischen Geheimdienste bist.

Nämlich so ein Terrorist, der schreibt mehr als eine Mail in seinem Leben.

Selbst wenn ich also nur 13.000 Nutzerkonten habe und jedes dieser Nutzerkonten hat 100 Mails geschrieben, dann kann man sich schnell mal ausrechnen, über eine Million betroffene Personen, die da ins Visier des Geheimdienstes kommen.

So viel nur dazu.

Selbst wenn es nur 10 Personen wären.

Wenn du eine von diesen 10 Personen bist, dann siehst du das ganz anders als alle anderen Personen, die nicht betroffen sind.

Absolut.

Und als Mensch ist es ja auch total normal, dass du immer erst dann, wenn das Kind in den Brunnen gefallen bist, sagst, hoppla, das war aber dumm, da einen Brunnen hinzumachen und kein Schild hinzustellen oder keinen Zaun draufzumachen.

Richtig.

Also dann denken wir immer darüber nach.

Ich wollte zum Schluss noch mal was, was ich gerade rausgekramt hab, weil du meintest, du hast es jetzt so schnell nicht gefunden mit der Werbe-ID und so weiter.

Ich hab's wie gesagt aus der Datenschutzerklärung vorgelesen und dabei bin ich auf diesen Datenschutztransparenzbericht gestoßen und den kann man sich aufrufen für den April 2022 zum Thema Microsoft Teams.

Und da steht etwas ganz Spannendes über optionale Diagnosedaten in Microsoft Teams.

Die sind in mehrere Kategorien unterteilt.

Gerätekonnektivität und Konfiguration, Leistung von Produkten und Diensten, Nutzung von Produkten und Diensten und Softwareinstallation und Bestand.

Und wir haben gerade gesagt, es gibt eine Werbe-ID, die die Daten zur Person eines Profils auf einem Gerät erfasst.

Und jetzt möchte ich mal kurz euch vorlesen, was jeder einzelne Nutzer von Microsoft Teams Microsoft über sein Nutzungsverhalten der Softwaredaten auf einem Windows-Betriebssystem verrät bei der Nutzung von Teams.

Hier geht's los.

Das erste ist vielleicht nicht so wichtig.

Informationen zu Stärke und Geschwindigkeit des Benutzernetzwerks.

Da kann man sagen, naja, okay, die wollen halt irgendwie versuchen, dass die Verbindung besser ist.

Aber interessant sind doch Informationen über den Netzwerkanbieter des Benutzers.

Ja, das ist unmöglich.

So. Das ist Gerätekonnektivität und Konfiguration.

Dann Leistung von Produkten und Diensten.

Leistungsgeschwindigkeit beim Ändern der Sortierung einer Aufgabenliste von alphabetisch zu chronologisch.

Ja, unmöglich.

Wenn ein Benutzer seine Microsoft Teams App Einstellung, Farbthema, Erwähnungsprioritäten und so weiter löscht, werden Appname, Version und Fehlercode gesendet, wenn das Ereignis fehlgeschlagen ist.

Ein Hinweis darauf, dass ein Benutzer eine Nachricht manuell als letzte ungelesene Nachricht markiert hat.

Das muss man sich, weil wir auf der Zunge zergehen lassen, was da drin steckt an Informationen.

Ein Hinweis darauf, dass ein Benutzer eine Nachricht manuell als letzte ungelesene Nachricht markiert hat.

Ja, das geht Microsoft nix an.

Ja, ein Ereignis, wenn ein Benutzertext in einer Chatnachricht fett dargestellt wurde.

Ja, das ist unmöglich.

Informationen zum Vorinitialisierungsprozess des Aufgaben-App-Moduls einschließlich Fehlercode, wenn das Ereignis fehlgeschlagen ist.

Und jetzt sollten wir vielleicht zum Ende noch eine Sache erwähnen, von der, glaube ich, fast niemand, der Microsoft-Produkte nutzt, etwas weiß.

Und zwar, dass diese ganze Datenerhebung nur aus einem einzigen Grund passiert.

Microsoft bietet in der größtmöglichen Enterprise Aufblähung ihre komischen Business-Suite-Produkte, die wirklich Datenschutz fehlgeleitetste und irrationalste Funktion aller Zeiten, nämlich eine Tracking-Funktion für Administratoren des Unternehmens, um zu ermitteln, wie fleißig und produktiv sind die Mitarbeiter.

Und diese Daten, die ich gerade zitiert habe, diese Daten, die ich gerade hier zitiert habe, das sind ja wohl zu 100% reine Kontrollinstrumente, um zu überprüfen, ob irgendjemand so arbeitet, wie man das gerne hätte.

Also, wer immer keinen Bock hat, in einem Unternehmen zu arbeiten, wo der Chef denkt, es sei vernünftig, sich wie Xi Jinping zu verhalten, der sollte darüber nachdenken, ob er nicht die Rechte der DSGVO nutzt und vom Chef einfordert, in einem Umfeld arbeiten zu dürfen, in dem seine Privatsphäre nicht wissentlich, vorsätzlich und unnötig missbraucht wird.

Denn das ist euer Recht.

Ihr könnt darauf plädieren.

Genau.

Also, ich muss auch noch eine Sache dazu sagen, ich kenne einen Vortrag von einem Anwalt, nämlich, wenn im Arbeitsverhältnis, das hattest du ja gerade gesagt, also als Angestellter, wenn man da gezwungen ist, Microsoft Windows zu nutzen, dann werden ja die Daten von einem selbst in Verantwortung des Arbeitgebers zu Microsoft geschickt.

Was anderes ist, wenn ich jetzt privat Windows nutze, das kann ich ja machen, wie ich möchte.

Da bin ich selbst dran schuld, sozusagen.

Aber wenn der Arbeitgeber mir das vorschreibt, dann kann ich sagen, also, vor allem, wenn ich kurz vor der Kündigung stehe oder möchte, dass der Arbeitgeber mich kündigt, dann kann man schon mal auf die Idee kommen, dem Arbeitgeber zu sagen, dass man das nicht mehr möchte und dass er einem, wie du sagst, eine andere Möglichkeit bietet.

Und man kann den Arbeitgeber auch verklagen.

Und soweit ich weiß, die Arbeitsgerichte sind ja leider oder zum Glück, je nachdem aus welcher Richtung man sieht, arbeitnehmerfreundlich.

Und da kann es schon sein, dass der Arbeitgeber große Probleme bekommt.

Also, das sollte man durchaus mal erwägen.

Und noch vielleicht zum Schluss von mir.

Es gibt ganz viele Produkte, auch aus Deutschland, die datenschutzkonform sind und die keine Daten, keine Leistungskontrolle machen und keine Daten an Microsoft oder sonst wen schicken zu Zwecken, die nichts mit einer Videokonferenz zu tun haben.

Absolut.

Definitiv.

Gebe ich dir voll recht.

Und vor allen Dingen, diese ganzen Business-Suiten, wo die Unternehmen versuchen, alle möglichen ihre Tools in so eine eierlegende Wollmilchsau zu kombinieren, sind eben dafür da, dass man eine Cloud-Subscription hat, damit man regelmäßig Geld ins Unternehmen bringt, dass Unternehmen ihre Services nicht vernünftig weiterentwickeln muss und sich stattdessen darauf konzentrieren kann, wie sie im Hintergrund mit den abgegriffenen Daten ein ganz anderes Geschäftsmodell aufbauen.

Und wer das nicht glauben möchte, der lebt eben hinterm Mond oder unter einem Stein.

Das ist die Realität.

Und auch wenn das nicht schön ist, gibt es, wie du gerade sagtest, Alternativen.

Und nach denen kann man sich nicht nur umsehen, sondern die kann man auch einfach ausprobieren.

Ich meine, Leute, Software.

Das ist ja nichts Schwieriges, eine App runterzuladen, zu gucken, ist die gut, sich ein paar Testberichte anzugucken, wie die mit den Daten umgehen und sich dann für die Variante zu entscheiden, die eben vernünftig mit den Daten umgeht, anstatt einfach ins Blaue hinein das zu kaufen, was jeder nutzt, nur weil's halt jeder nutzt.

Man kann auch den Prozess ein bisschen einfacher noch gestalten.

Jeder Anbieter aus Deutschland oder Europa, rein deutsch, rein europäisch, ist besser als Microsoft oder Google oder Zoom, weil diese Datenbestände, die Microsoft, Zoom und Google haben, sind so riesig, dass sie eben mit diesen Daten besonders gut arbeiten können.

Selbst wenn jetzt ein deutscher Anbieter genauso viele Daten klauen würde wie Microsoft, könnte er mit den Daten gar nicht so viel anfangen wie Microsoft.

Deswegen ist es eigentlich fast egal, wie die Daten von deutschen oder europäischen Anbietern verarbeitet werden.

Es ist immer besser als Microsoft.

Datenschutzrechtlich.

Das, finde ich, ist ein sehr schönes Schlusswort für diese Runde.

Finde ich auch.

In diesem Sinne, liebe Zuhörer, ich hoffe, es hat euch Spaß gemacht.

Ihr habt ein bisschen was lernen können.

Lasst uns Kommentare da, welche Software ihr nutzt und ein bisschen darüber diskutieren, was es für Alternativen gibt.

Wir verlinken euch bestimmt gerne auf Produkte, die wir da so kennen und mit denen wir schon Erfahrungen sammeln durften.

Und ja, mich würde vor allen Dingen mal interessieren, schildert mal so den Alltag.

Wann erlebt ihr das eigentlich, wo eure Daten von Microsoft in irgendeiner Form abgegriffen werden?

Irgendwie zieht sich Microsoft doch so sehr schön aus dieser Datenschutz- Diskussionsaffäre in der Öffentlichkeit raus.

Ich höre da immer Meta, Facebook, WhatsApp, Google, Instagram, Amazon, Apple.

Aber Microsoft hört man fast gar nicht.

Die schaffen das irgendwie total gut, unterm Radar zu fliegen.

Also, lasst mal das Licht auf die draufrichten.

Alle gemeinsam.

Das fände ich sehr cool.

Und damit sage ich danke, Klaus, für diese sehr coolen Informationen und vor allen Dingen auch brisanten Informationen, die mich wieder was gelehrt haben.

Und dann würde ich sagen, liebe Freunde, bis zum nächsten Mal.

Stephan, ich danke dir.

Vielen Dank fürs Zuhören und bis zum nächsten Mal.

Tschüss.

Ciao.

Das war Datenschutz Deluxe.

Du willst mehr spannende Themen oder Kontakt zu uns?

Dann besuche Klaus Meffert auf seinem Blog Dr. DSGVO und Stephan Plesnik auf seinem YouTube-Kanal Datenschutz ist Pflicht.

Bis zum nächsten Mal.