Microsoft Outlook: Das datenfeindlichste Mailprogramm aller Zeiten? (Datenschutz Deluxe Podcast #35)

Datenschutz Deluxe, der Podcast rund um das Thema Datenschutz und IT mit Dr. Klaus Meffert und Stephan Plesnik.

Ja, hallo und herzlich willkommen zum Datenschutz Deluxe Podcast.

Mein Name ist Stephan Plesnik und ich begrüße euch recht herzlich wieder mal hier zusammen mit Klaus Meffert.

Klaus, ich grüße dich.

Wie geht es dir heute Morgen?

Ja Stephan, ich bin schon ganz gespannt, was wir heute für ein Thema haben.

Du hast kurz vorher jetzt verraten und ich bin ganz unvoreingenommen und auch unvorbereitet.

Ich bin gespannt, worum es geht.

Okay, also heute habe ich etwas ganz Besonderes in meinem Newsfeed gelesen, was eine Theorie von mir, die ich schon seit mehreren Jahren habe, sehr stark bestätigt hat.

Und zwar möchte ich heute mit dir und auch allen da draußen einmal über das Thema neue Outlook App von Microsoft sprechen.

Und für die Leute, denen das vielleicht noch nicht wirklich geläufig ist, was da los ist, was da passiert, möchte ich gerne einmal einleiten mit einem Statement zur neuen Outlook App unter Windows 11, das mit dem Titel Vorsicht in einer Pressemitteilung vom Thüringer Landesbeauftragten für Datenschutz und Informationsfreiheit veröffentlicht wurde.

Und ich lese dieses Statement mal kurz vor.

Da steht drin, Erfurt 17. 11. 2023. Also ziemlich taufrisch.

Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit möchte sie heute zu der neuen Outlook-Version von Windows 11 informieren.

In der neuen Version von Windows 11, so das IT-Magazin CT, bringt Microsoft das eigene E-Mail-Programm Outlook in die Microsoft Cloud, mitsamt Benutzernamen und Passwörtern.

Das neue Outlook soll noch benutzerfreundlicher und bequemer werden.

Das ist ein Statement von Microsoft.

Da ist ein Hinweis auf den Link.

Können wir bestimmt, wenn wir die Folge veröffentlichen, dann mit dazu packen als Quelle.

Das neue Outlook soll, dazu will Microsoft die Verwaltung der Postfächer übernehmen und die E-Mails der Nutzer selbst abrufen und senden.

Doch dafür speichert Microsoft die Benutzernamen und Passwörter sämtlicher E-Mail-Konten, die die Nutzer eingeben, in der Microsoft Cloud.

Damit gelangen auch alle E-Mails anderer Provider in die Microsoft Cloud.

Und jetzt kommt's.

Dort werden sämtliche Inhalte, Anhänge und Kontakte analysiert und ausgewertet.

Das IT-Magazin CT hat die Datenübertragung untersucht und festgestellt, dass Microsoft sich ohne ausführliche Hinweise Vollzugriff auf das Postfach genehmigen lässt.

Das ist auch noch ein Hinweis auf die Quelle, wo das getestet wurde.

Packen wir auch dazu.

Nutzerinnen und Nutzer werden nicht angemessen darüber informiert, wozu Microsoft die Daten nutzt.

Unklar bleibt, wie sie die Daten nutzt, bleibt unklar.

Siehe dazu auch den Beschluss der Konferenz der unabhängigen Datenschutz- Aufsichtsbehörden des Bundes und der Länder DSK.

Microsoft selbst teilt heise.de

mit, dass die Synchronisation, das heißt die Datenübernahme, doch gar nicht verpflichtend ist.

Nutzer, die ihre Konten nicht mit der Microsoft Cloud nutzen wollen, können abbrechen und zum klassischen Outlook zurückwechseln.

Der Landesbeauftragte Hasse sagt dazu mit anderen Worten, kann man das neue Outlook entweder so nutzen, wie von Microsoft vorgesehen, mit Datenübernahme oder gar nicht.

Ein Schelm, wer da Arges dabei denkt.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat sich am 9. November auf Mastodon dazu geäußert und eine Warnung ausgesprochen.

Die Zuständigkeit für Microsoft in Europa liegt allerdings bei der Aufsichtsbehörde in Irland.

Dementsprechend wird zurzeit davon abgeraten, die neue Outlook- Version zu nutzen.

Und wenn man das erstmal hört, möchte ich auf zwei unterschiedlichen Ebenen darüber mit dir sprechen, Klaus.

Und zwar die eine, datenschutzrechtliche offensichtlich, darum geht es hier, aber ich möchte auch, dass wir über die wirtschaftlichen Implikationen für ein Unternehmen sprechen, wenn man einem Konzern wie Microsoft den Vollzugriff auf die E-Mail-Postfächer im Unternehmen gewährt.

Erstmal die datenschutzrechtliche Ebene.

Wie gefällt dir das, so vom ersten Eindruck?

Also ich habe es tatsächlich zufällig auch, ich wusste wie gesagt bisher nicht, worum es genau geht, aber ich habe es zufällig auch vor ein paar Tagen gelesen, nicht tiefer geprüft, nur war ich auch etwas schockiert, dass Microsoft sowas macht.

Also natürlich ist das, wie soll ich sagen, Microsoft nimmt einfach alle Daten und macht damit, was es will.

Das macht Microsoft aber schon immer, wenn man mal genau hinschaut, nur dass es halt bisher nicht um E-Mails ging, sondern um andere Komponenten und deswegen kann ich auch gleich sagen, wird mein nächster Rechner kein Windows-Rechner sein, sondern ein Linux-Derivat sein, weil Microsoft alles in seine KI reinziehen möchte.

Ich habe nichts gegen KI, im Gegenteil, ich bin ja selbst in der KI-Entwicklung tätig, allerdings so, dass keine Daten zu dritten gehen.

Ich finde KI ganz toll, hat auch Gefahren, aber ich finde es ganz toll.

Aber Microsoft baut Windows und andere Produkte immer weiter so um, dass alle Daten in die Microsoft KI fließen, alle und das wird auch zukünftig im Windows so sein.

Statt dem Start-Button wird es dann Copilot geben, das heißt, wenn ich da irgendwas mache, wird alles in die KI geschickt.

Wenn ich irgendeine Frage habe, eine Suche oder so, die normalerweise lokal auf meinem Windows-Rechner läuft, dann läuft die zukünftig über die Microsoft Cloud.

Das ist meine Annahme und so habe ich auch Teile gelesen und wie du sagst, diese intransparente Information, die ist bei Microsoft immer vorhanden.

Es gibt bei Microsoft keine transparente Information.

Ich untersuche jetzt gerade für einen Kunden MS-365, die haben dann ein DPA, also ein AVV, Auftragsverarbeitungsvertrag, haben die da geliefert.

Da steht drin, wir halten uns an alle Vorschriften.

Das kann man natürlich immer behaupten.

Ich meine, dafür wird man nicht verklagt, dass man das behauptet, auch wenn es nicht stimmt.

Man muss nachweisen, dass es nicht stimmt und da ist es eben so, dass Microsoft selbst auf einer Webseite, ich weiß nicht, wie viele hundert URLs es sind, die ins Spiel kommen, Microsoft-URLs, an die Daten geschickt werden, wenn ein Kunde MS-365 nutzt.

Da gehört ja auch Outlook dazu übrigens.

Und eine Adresse, und da steht dann immer sehr kurz nur, wofür diese URLs da sind.

Viele sind ja auch tatsächlich notwendig.

Bei einer Übersetzung, die online stattfindet, kann ich natürlich den Text, der übersetzt werden soll, da hinschicken.

Wenn ich das nicht möchte, dann muss ich ein lokales Übersetzungsprogramm zählen, verstehe ich alles.

Es gibt eine Adresse, die heißt telemetryservice.

irgendwas, Microsoft, keine Ahnung,.

com.

Und die ist halt, sage ich, vollkommen irrelevant für den Kunden.

Die ist einfach nur da, damit Microsoft mehr Daten kriegt.

Und wenn ich das, ich hoffe, der Kunde wird das machen.

Ich würde ihm empfehlen, diese Adresse komplett zu blockieren.

Und außerdem, wenn wir dafür sorgen, kann der Kunde natürlich selbst entscheiden, dass Microsoft erklärt, was genau da passiert und alles transparent macht.

Und wahrscheinlich wird Microsoft das nicht tun, aber da wird man dann sehen, was Microsoft für ein asoziales Unternehmen ist.

Und das ist genau das, was du auch sagst.

Ja, das ist sehr spannend.

Also gehen wir mal auf den Punkt mit der Einwilligung, die du jetzt gesprochen hast, ein, weil das steht ja auch in dem Text vom Landesbeauftragten für den Datenschutz jetzt im Endeffekt erwähnt.

Also man kann natürlich die Einwilligung geben.

Erst mal tendenziell, wenn wir das jetzt mal aus der Schiene DSGVO betrachten, dann ist das jetzt schon mal richtig, dass Microsoft die Frage stellt, möchtest du das nutzen, ja oder nein?

Aber hier kommt eine ganz wichtige Einschränkung, die ich finde, die halt viel zu kurz kommt in der ganzen Debatte.

Und zwar, wenn wir uns anschauen, was die DSGVO über die Bedingungen für Einwilligungen sagt, dann sagen wir ja erst mal, klar, der Verantwortliche muss nachweisen können, dass die betroffene Person die Einwilligung gegeben hat.

Das heißt also, wenn ich da jetzt einen Klick durchführe und sage, ja, ich möchte das nutzen, dann hat Microsoft die Bestätigung, du hast deine Einwilligung gegeben.

Aber im zweiten Absatz von Artikel 7 steht, erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist.

Ja, also Stephan, ich glaube, wir müssen da gar nicht drüber sprechen, also ohne das genauer betrachtet zu haben, aber den Artikel, den du vorgelesen hast, ich bin mir sicher, dass das stimmt, was da drin steht grundsätzlich.

Microsoft fragt einfach rechtswidrig eine Einwilligung ab, also beziehungsweise keine Einwilligung, weil eine richtige Einwilligung ist informiert, freiwillig, vor allem freiwillig.

Also informiert, das ist ja das, was du sagst, ist nicht der Fall.

Und freiwillig, das ist ungefähr so wie, du hast die Wahl, die nächsten tausend Meter durch ein Mienenfeld zu laufen oder mit dem Taxi zu fahren.

Der Taxifahrer sagt dir, der Taxifahrer sagt dir, sie können entweder durch das Mienenfeld laufen oder die zwei Kilometer Weg mit mir fahren für 50.000 Euro.

Das ist jetzt wenig freiwillig, sage ich mal.

Der kann den Preis nach Belieben festsetzen, wenn es unfreiwillig ist.

Ich meine, entweder du verreckst oder du zahlst mir 50.000 Euro.

Was ist dein Wunsch?

Das ist ja kein Wunsch dann.

Das ist ja einfach ein Aufzwingen von einer nicht vorhandenen Alternative.

Die Sache, die ich dabei so spannend finde, ist erstmal klar die Alternativlosigkeit, weil sie sagen ja, entweder du nimmst das Neue oder du nimmst das Alte, aber dann hast du halt auch keine Features mehr und so weiter.

Das heißt, sie klemmen dabei ganz klar den massiven Eingriff in die Privatsphäre einmal der Nutzer, die das privat nutzen, zusammen damit, dass sie ein neues Update einer Software rausbringen.

Gleichzeitig, und da schlagen wir jetzt mal die Brücke kurz in den wirklich den Teil, den ich eigentlich viel massiver finde und der die ganze Zeit außer Acht gelassen wird in diesen Diskussionen, weil nur Datenschutzrechtler sich damit beschäftigen.

Und zwar die wirtschaftlichen Implikationen für eine Privatperson, aber auch vor allen Dingen für Unternehmen.

Sehr guter Punkt, Stephan.

Ich wollte eine Sache noch zum Datenschutz.

Ich finde das sehr wichtig mit der Wirtschaft, da müssen wir unbedingt drüber sprechen.

Aber eine Sache noch.

Jeder, der jetzt dieser Alternativlosigkeit durch Microsoft konfrontiert wird, entweder du nimmst das Neue oder du lässt das, so ungefähr, den würde ich auffordern und wünsche mir, dass er das tut.

Er soll Microsoft auffordern, zu garantieren, dass dieses bisherige Produkt genauso lange in der Wartungsphase sein wird, wie das Neue.

Weil Microsoft wird nämlich dann, wenn sich die Aufregung gelegt hat in zwei Jahren oder wenn keiner mehr weiß, dass wir heute darüber gesprochen haben, wird nämlich sagen, ja, unser altes Outlook wird leider demnächst nicht mehr in der Wartungsphase drin sein und da wird es keine Updates mehr geben und es wird keine Sicherheitsupdates und es ist unsicher.

Also bitte wechseln Sie doch zum neuen Outlook, was Sie zuvor, in Klammern, was Sie zuvor leider nicht wollten, weil wir dann alle Daten kriegen, was Sie aber hoffentlich jetzt vergessen haben.

Deswegen fragen wir jetzt erst.

Deswegen würde ich alle bitten, Microsoft zu zwingen, mitzuteilen, dass Sie dieses alte Outlook weiter im Wartungszyklus drin lassen oder ein neues anbieten ohne Cloud-Funktionen, in der alle Daten abgegriffen werden.

Absolut wichtiger Punkt.

Also an der Stelle, wenn ich dich richtig verstanden habe, ist das ein Hinweis, dass man sich das schriftlich von Microsoft bestätigen lässt.

Also jeder, der mit Microsoft-Produkten arbeitet und die gerade im Geschäftsumfeld diese Produkte einsetzt, der braucht diese Information, weil er sich sonst eben nicht darauf verlassen kann, dass nicht in einem Jahr oder zwei gesagt wird, ach ja, die nehmen wir jetzt einfach mal aus dem Support raus, so wie man das mit allen alten Betriebssystemen und Apps auch gemacht hat.

Und dann hat man eben keine Wahl mehr.

So nach dem Motto, jetzt kannst du ja nur noch das nutzen und das musst du halt mit der Übertragung der Daten nutzen.

Ja, und dann dazu noch eine.

Also ich würde mir wirklich wünschen, dass es mal Menschen gibt, die Eier oder Eierstöcke in der Hose haben, muss man jetzt schon sagen, und wirklich oder Unternehmen einfach mal klagen gegen Microsoft, wenn sie diese Erklärung nicht liefern.

Ich meine, der Punkt ist, Microsoft ist Monopolist.

Das ist einfach so.

Das heißt, ein Unternehmen ist gezwungen, dieses Produkt weiter zu nutzen und wenn Microsoft das Unternehmen quasi zwingt, ein anderes Produkt zu verwenden, ein Nachfolgeprodukt, was die Daten abgreift, in einer rechtswidrigen, asozialen Weise, dann geht das nicht.

Das heißt, das Unternehmen hat einen Anspruch drauf, von Microsoft eine äquivalente Software, die nicht Daten abgreift, geliefert zu bekommen.

Wenn Microsoft sich weigert, dann würde ich klagen dagegen, also wenn diese schriftliche Erklärung nicht kommt, würde ich klagen dagegen und ich bin mir relativ sicher, dass man da auch gegen Microsoft gewinnen wird, weil da kann man nämlich in Deutschland klagen.

Wir reden ja da nicht über Datenschutz, wir reden über ein, ich würde mal sagen, rechtswidriges Produkt, was einem aufgezwungen wird als Unternehmen.

Absolut richtig.

Genau das, und das ist eben genau der Punkt, weil das ist ja ein Verstoß, vor allen Dingen auch, das ist ja ein. . .

Ja genau, das ist ja gegen alle Grundsätze auch des Bundesdatenschutzgesetzes und die betrifft mich ja nun mal als Person, die dann in Europa, in Deutschland ein Unternehmen betreibt und jetzt kommt ja noch der Punkt oben drauf.

Wenn ich als Unternehmer Microsoft-Produkte einsetze, bin ich ja verpflichtet, das in einem ordentlichen, rechtsgültigen AV-Vertrag zu bestätigen.

Wenn ich jetzt aber all diese Daten an Microsoft übertrage und Microsoft selbst nicht erklärt, was sie mit den Daten tut, wie sie damit umgeht, welche KI sie damit trainiert und wie die Daten vielleicht auch kompromittiert werden können oder durch andere ausgelesen werden können, weil das Microsoft ihre KI nicht im Griff hat, das wissen wir ja alle seit dem Twitter-Fiasko mit deren komischen User, der in 24 Stunden rechtsradikal wurde, von daher. . .

Microsoft hat gar nichts im Griff, Microsoft hat sogar die Azure Cloud, war ja kompromittiert und ist es wahrscheinlich immer noch und Microsoft hat die Lücke runtergespielt.

Aber nur, also es geht wirklich, wenn ein Unternehmen klagen will gegen Microsoft, geht es jetzt hier gar nicht um Datenschutz.

Ich sage mal, es gibt Treu und Glauben und so weiter, da muss man einfach mal mit einem Anwalt sprechen, der wird einem schon sagen, warum man Microsoft verklagen kann.

Ich bin mir aber sicher, dass es nicht um Datenschutz in dem Fall nur geht, sondern dass ein Unternehmen einfach in Deutschland klagen kann vor einem deutschen Gericht und dass es hier nicht um Aufsichtsbehörden gehen muss oder um Irland, wie du ja zu Recht sagst beim Datenschutz, wenn man über eine Behörde geht, muss man Irland dann am Ende nehmen, sondern ein deutsches Unternehmen kann in Deutschland bei seinem Gericht vor der Haustür klagen und Microsoft vor die Karre spannen.

Und das würde ich machen, wenn ich ein Unternehmen wäre, was wirklich angewiesen ist auf diese Produkte und ich würde mir wirklich wünschen, dass es Unternehmen gibt, die das tun einfach.

So eine Klage kostet nicht viel Geld und Microsoft hat ein extremes Problem damit, wenn so eine Klage kommt.

Es geht ja nicht um die paar tausend Euro für eine Klage, die man ja sowieso zurückkriegt, wenn man gegen Microsoft gewinnt.

Also ich würde es einfach versuchen und das Unternehmen, das das tut, hat meine Unterstützung, meine ideelle, aber ich gebe auch gerne Facheinschätzungen zu Datentransfers und so weiter, die da ablaufen, gerne einfach so dazu und würde mich freuen, wenn Microsoft demnächst eine Klage bekommt.

Ich würde mich vor allen Dingen freuen, wenn sich da mal große Konzerne aus Deutschland anschließen, die alle diese Produkte nutzen, die alle auch angewiesen sind, darauf diese Produkte zu nutzen, weil, wie du schon sagtest, Microsoft ist ein Monopolist und wir dürfen nicht vergessen, dass eine gewisse Alternativlosigkeit in Bezug auf die Usability an dieser Stelle wirklich herrscht im IT-Umfeld.

An bestimmten Stellen ist es einem Unternehmen, das produktiv arbeiten möchte, einfach die Möglichkeit nicht gegeben, auf andere Produkte auszuweichen, weil das mit horrendem Schulungsaufwand und Umschulungskosten zu tun hat, in Bezug auf Mitarbeiter, die diese Software am Ende effektiv benutzen möchten.

Und genau das ist auch der Punkt.

Genau, man kann Microsoft auch auf Schadensersatz verklagen, wegen dieser Schulungskosten, die du erwähnt hast.

Also einfach mal mit dem Anwalt sprechen.

Ich bin mir sicher, da gibt es Möglichkeiten.

Da muss man kein Genie sein, um zu wissen, dass Microsoft asozial ist und rechtswidrig handelt.

Ganz einfach.

Und da noch, da haken wir jetzt nochmal ein auf den letzten Punkt.

Gehen wir mal davon aus, wir klagen jetzt als Unternehmen.

Finde ich super.

Okay, machen wir.

Aber noch ein ganz anderer Punkt.

Wenn wir wirklich, und das steht ja in der Analyse des CT Magazins, wurde also rausgefunden, dass die Inhalte, die Kontakte und alle Absender usw. , also das wirklich alles, Passwörter, Benutzernamen, von diesen Benutzeraccounts Microsoft so zur Verfügung stehen, dass sie darauf Zugriff haben.

Die erste Implikation, die das bedeutet, für alle da draußen, die das immer noch nicht gecheckt haben, und viele haben es noch nicht gecheckt, weil es laufen noch so viele 365 Cloud-Berater da draußen rum, die sagen, wir haben ein EU-US-Privacy-Framework.

Das ist alles Mumpitz.

Ja, genau.

Das sind einfach Idioten, die Produkt verkaufen wollen und von denen sollte man sich nicht belabern lassen.

Denn, was da passiert, ist, dass wir unverschlüsselte Informationen in der Hand eines multilateralen Konzerns haben, der in Amerika seinen Hauptsitz hat und damit an den Cloud- und den Patriot Act der USA gebunden ist.

Das heißt, damit sind diese Daten schon mal bei der US-Regierung und allen Geheimdiensten und angeschlossenen Behörden der US-Regierung frei verfügbar zu jeder Zeit, ohne Angabe von Gründen oder Vorwänden, warum man Zugriff auf diese Daten haben möchte.

Das ist der erste Punkt.

Genau, dazu möchte ich auch noch eine Sache sagen, weil du ja zu Recht sagst, dieser Privacy-Shield, manche sagen, es gibt ja jetzt ein Abkommen zwischen der EU und den USA und deswegen ist jeglicher Datentransfer und jegliche Datenverarbeitung, die in den USA stattfindet, erlaubt.

So sagen es ja manche Idioten.

Keine Ahnung von nichts haben, die sowas sagen.

Das sind einfach Leute, die wollen einfach eine Lösung haben und reden sie einfach herbei.

Das sind Tagträumer und Idioten.

Muss man leider so sagen.

Inkompetente Berater, die am besten keine Berater wären und am besten gar kein Geld damit verdienen dürften.

Aber jetzt, ich möchte es auch kurz erklären, warum dieser Privacy-Shield hier eigentlich völlig irrelevant ist.

Also es ist natürlich eine weitere Dimension, die negativ auf Microsoft wirkt.

Aber angenommen, Microsoft wäre eine rein deutsche Firma.

Ich meine, Microsoft ist ja auch so jetzt schon an die DSGVO gebunden, hält sich trotzdem nicht dran.

Also könnte auch eine rein deutsche Firma einfach das machen, was Microsoft macht und es wäre genauso rechtswidrig.

Es geht doch darum, das hast du ja auch gesagt, dass Microsoft sich das Recht vorbehält, alle Daten, die da über die E-Mails reinkommen, nach eigenem Belieben zu analysieren und zu nutzen.

Und das ist rechtswidrig.

Und in diesem Konstrukt auch, wenn man diese Einwilligung erzwingt quasi und auch nicht sagt, wofür man die Daten verwendet.

Es ist egal, wo die Firma sitzt.

Ob sie in Deutschland sitzt, in Timbuktu, in den USA oder sonst wo.

Es spielt keine Rolle.

Das Privacy-Shield ist weder die Lösung noch das Problem hier in diesem Fall.

Es kommt als zusätzliche Dimension noch dazu, dass die USA ein Geheimdienststaat sind und die Daten dann auch noch bei den amerikanischen Geheimdiensten landen.

Aber dessen Bedarf ist schon gar nicht, damit es ein Problem ist.

Es reicht schon, dass Microsoft einfach macht, was es will.

Da ist auch egal, wo der Firmensitz von Microsoft ist.

Es ist vollkommen egal im Endeffekt.

Es ist nur noch schlimmer, dass es in den USA ist.

Nur noch schlimmer wäre China wahrscheinlich.

Wobei ich nicht weiß, ob die Chinesen nicht manchmal sogar Datenschutz besser beherrschen als andere außerhalb von Europa.

Aber das ist jetzt nur mal so eine kleine Hypothese.

Und jetzt kommen wir, das ist super, dass du das sagst, weil jetzt kommen wir mal auf Punkt 2, den ich gerade erwähnen wollte.

Und zwar NDAs.

Ich kann gar nicht zählen, in wie vielen Fällen, auch komplett hanebüchenen Fällen zwischen Privatpersonen, NDAs verhandelt werden, also Non Disclosure Agreements, Geheimhaltungsvereinbarungen, wo sich also, und wir machen das jetzt mal auf der Unternehmensebene, weil da ist es eben rechtlich extrem relevant, da werden also Geheimhaltungsvereinbarungen zwischen zwei Unternehmen geschlossen, dass man alle möglichen Daten in einer ganz bestimmten Art und Weise behandelt, die zu einem Projekt bei der Zusammenarbeit gehören.

Damit eben sich beide Parteien davor schützen können, dass Firmengeheimnisse an die Öffentlichkeit geraten und dadurch vielleicht wirtschaftliche Schäden auf das Unternehmen wirken.

Jetzt mal ganz kurz, wenn diese Unternehmen Microsoft-Produkte einsetzen, dann braucht ihr keine NDAs unterschreiben, dann könnt ihr die direkt einfach in die Tonne klappen und vollkommen ignorieren, weil ihr habt sie beide schon gebrochen, dadurch, dass ihr das NDA mit Microsoft Word in der MS 365 Cloud geschrieben habt.

Damit ist es bereits wertlos.

Das muss man sich mal vorstellen.

Zumindest spätestens dann, um beim aktuellen Fall zu bleiben, hätte man den Geheimhaltungsvertrag gebrochen, wenn man diesen per E-Mail oder die Sache, wie es geht, per E-Mail über die Microsoft Cloud das neue Outlook abschickt oder empfangen lässt, weil man die E-Mail-Adresse halt angegeben hat als Empfängeradresse.

Du hast recht, man kann ja gar keine Geheimhaltung mehr einhalten.

Das ist das eine Problem, also rechtlich hat man da als Unternehmen einfach schon versagt und ist einfach, man muss es sagen, entweder dumm, also unwissend oder man will es nicht wissen.

Oder man ist gleichgültig.

Also ich meine, wie auch immer, es ist einfach ein dummes Unternehmen, muss man sagen, was sowas macht.

Finde ich einfach dumm, solche Leute, weil man muss es auch gleich sagen, warum die Dummheit so groß ist.

Ich meine, wir reden jetzt auch noch weiter über Geschäftsgeheimnisse, über die man vielleicht gar kein Stillschweigen vereinbart, sondern man behält sie im Unternehmen normalerweise.

Und wenn man kein ganz blödes Unternehmen ist, leider gibt es ja viele blöde Unternehmen, immer mehr wahrscheinlich, alle nämlich, die die Microsoft Cloud jetzt noch mehr nutzen, sind auf jeden Fall blöde Unternehmen, weil sie es ja jetzt wissen, wenn sie es gehört haben oder irgendwo gelesen haben.

Die geben freiwillig auch noch ihre Geschäftsgeheimnisse an Microsoft weiter.

Wie dumm ist das denn?

Die Einwilligung zur Nutzung, das muss man sich überlegen.

Unter Umständen gehen wir mal von der internen Firmenkommunikation aus.

Leute in einem Projekt, die alle E-Mails benutzen und über E-Mails intern kommunizieren, was sie in ihren Projekten tun, die an irgendetwas forschen, die übergeben, wenn sie das nutzen, die Nutzungsrechte an diesen Informationen an Microsoft dadurch, dass sie die neue Outlook-App nutzen oder Windows 11 nutzen.

Und Microsoft kann jetzt die ganze Firmenintelligenz, die können dafür beobachten, wie sich das Projekt entwickelt und wenn die fertig entwickelt haben, nehmen die sich das Ergebnis.

Und weil sie ein Multimilliarden-Dollar- Konzern sind, bringen sie das Produkt früher auf den Markt, bringen sie den Service früher auf den Markt.

So ist es.

Da sagen ja manche, das ist bestimmt ein realistischer Fall.

Das muss man einfach so sagen.

Jeder, der das nicht sieht, der ist einfach. . .

Das ist schon passiert mehrfach in den USA.

Tagträumer und Illusionisten, das sind Leute, die sowas nicht sehen, die wollen sich einfach Probleme wegreden.

Aber jetzt geht es ja noch weiter.

Das Problem wird ja noch größer.

Angenommen Microsoft wäre kein soziales Unternehmen.

Was es ist, aber wir tun einfach mal so, als wäre es keins.

Das ist aber schwer, Klaus.

Du verlangst gerade viel von mir.

Also, jetzt ist Folgendes.

Jetzt reden wir ja über KI.

Und da ich ja auch KI selbst programmiere und auch nutze, weiß ich ja, und wir alle wissen es ja wahrscheinlich mittlerweile, was die so können.

Das heißt, es ist halt ein Unterschied, ob ein böswilliges Unternehmen wie Microsoft irgendwas klaut.

Das passiert leider nicht ganz so, oder zum Glück passiert das nicht ganz so oft.

Viele Ideen sind einfach nicht so gut für Microsoft oder lohnen sich für Microsoft vielleicht nicht.

Dann sagen sie, wir machen das nicht.

Die haben ja auch den ganzen Tag andere Sachen zu tun, als Ideen zu klauen, muss man sagen.

Sonst würden sie wahrscheinlich noch mehr klauen, wenn sie nichts anderes zu tun hätten.

Aber so haben sie andere Dinge zu tun.

Aber die KI, ich habe es ja auch selbst ausprobiert grundsätzlich, kann natürlich alle Informationen, die da reingespielt werden, auch wieder ausspielen als Antwort.

Chatbot als Stichwort.

Ich habe es ausprobiert.

Chatbots wie ChatGPT, der höchstentwickelte Chatbot, den es jetzt gibt, würde ich mal sagen, sind in der Lage und das habe ich bewiesen durch ein praktisches Beispiel, was jeder ausprobieren kann, dass sie echte, volle Zitate von Trainingsdaten, also Dokumenten, die Firmen über Microsoft Outlook in die KI von Microsoft geschickt haben sozusagen, weil sie es nicht anders wissen oder wollen, weil sie es Microsoft gestatten, diese Dokumente von Firmen, Geschäftsgeheimnisse, Patentvoranmeldung und sonstiges, die fließen alle dann in die Microsoft-KI ein und können auch verwendet werden als Ausgabe von der KI oder generiert werden in einer Ausgabe.

Das heißt, sowohl Microsoft-Mitarbeiter, die ihre eigene Microsoft-KI nutzen, die über Dokumente deutscher Firmen gefüttert wurde, können dann diese Ausgaben bekommen, als auch, wenn Microsoft diesen Chatbot öffentlich macht, andere.

Also das heißt, dieses Wissen landet in jeder Such-, in jeder Antwort einer Frage, die auf genau diesen Zweck abzielt, den eine Firma zuvor als Geschäftsgeheimnis irgendwo hatte und über Outlook kommuniziert hat, an Microsoft sozusagen.

Das heißt, da ja viele Leute Chatbots nutzen, ist die Wahrscheinlichkeit sehr hoch, dass dieses geheime Wissen dann nicht mehr geheim ist.

Absolut.

Dann können wir die Brücke auch nochmal kurz als Erinnerung zurückschlagen zu unserer Folge über Nele.ai

, wo es dann auch heutzutage schon Unternehmen gibt, die einem versuchen, Weiß zu machen, dass man personenbezogene Daten und Rechtssicherheit bei der Nutzung von KI ermöglichen kann.

KI ist die Büchse der Pandora, die keiner kontrolliert und in keinstem Fall die Leute, die glauben, dass, weil sie sie entwickeln, sie einen Einfluss auf die Kontrolle, wie dieses System arbeitet, hätten.

Du selber sagst das immer wieder, dass man, egal wie viel Mühe man sich gibt, diese Dinge so zu entwickeln, wie man sie denn entwickelt und so weiterzumachen, wie man möchte, es einfach bestimmte Limits und Grenzen gibt, weil diese Möglichkeiten nicht existieren, es so zu anonymisieren, so pseudonymisieren, dass man wirklich sagen kann, wir können davon ausgehen, dass das alles vernünftig gemacht wird.

Und dann kommt nochmal der ganze Rattenschwanz, den du gerade erklärt hast, obendrauf.

Wenn wir diese Daten einfach unvorbereitet oder auch unausgewertet in diese Systeme reinschmeißen als Trainingsdaten, dann kann daraus halt Gott weiß was entstehen.

Wenn man sich alleine überlegt, es könnten Wirtschaftsgeheimnisse zweier unterschiedlicher Unternehmen, die in derselben Branche tätig sind, die an ähnlichen Dingen forschen, aber eben in einem Wettbewerb wer kommt früher an den Markt stehen mit einem bestimmten Produkt oder Service und die werden jetzt vernudelt zusammen in eine KI geschmissen und später kann über ChatGPT jeder sich diese Informationen wieder rausziehen, weil wie anfällig ChatGPT auch für das Ausbeuten von Daten, also für Exploits ist, haben ja auch schon viele Sicherheitsforscher in den letzten Monaten immer wieder gezeigt und bewiesen.

Also ich finde dieses gesamte Thema an sich, also dass Microsoft diesen Schritt geht und dass sie so offen damit umgehen und dass sie dann eben intransparent darüber sind, warum sie das tun, welchen Zugriff auf welche Daten sie genau haben und dass wieder andere Leute das erforschen müssen, das bestätigt halt allumfassend, dass wir es hier nicht mit einem vertrauenswürdigen Unternehmen zu tun haben, sondern mit einem Konzern, der nur ein Ziel hat und zwar jedes Unternehmen in ihre Services zu versklaven.

Das muss man ganz einfach platt so sagen.

Also Umsatzmaximierung, alles andere ist wirklich letztendlich vollkommen egal.

Profit, alles andere ist egal.

So, jetzt vielleicht noch zwei Punkte zum Schluss.

Das eine ist, du hast vollkommen recht, man kann eine KI nicht wirklich kontrollieren vollständig.

Deswegen empfehle ich auch einfach, dass man lokale, eigene, unternehmenseigene KI-Systeme nutzt, wo keine Daten zu dritten gehen, außer man möchte es.

Das heißt, ohne ChatGPT, ohne OpenAI, ohne Microsoft, ohne Google, ohne alles, was man von außen hat, man kann solche Systeme so bauen, dass sie nicht nur vollständig datensicher sind, sondern auch noch besser als ChatGPT.

So, der zweite Punkt ist, weil man nämlich spezialisiert dann vorgeht und man muss auch dazu sagen, Deutsch ist keine Weltsprache und ich glaube 0,3 Prozent, ganz grob gesagt, der Trainingsdaten von ChatGPT sind deutsche Dokumente.

Wir reden aber alle deutsch und Unternehmen in Deutschland haben typischerweise Deutsche als Primärsprache, möchte ich jetzt mal annehmen.

So, das heißt, alleine schon bei Chatbots hat man da deutlich bessere Möglichkeiten und so weiter.

Es gibt noch andere, also wie gesagt, ich weiß es aus eigener Praxis, es gibt die Ergebnisse mit eigener KI sind teilweise deutlich besser als mit ChatGPT oder anderen KIs, wenn es überhaupt diese Lösungen schon gibt.

Zweiter Punkt, du hast diesen Fall angesprochen, es sind zwei Unternehmen, die forschen an einem ähnlichen Thema, sagen wir mal.

Beide haben vielleicht leicht unterschiedliche Ansätze und beide haben ihre Geschäftsgeheimnisse über Microsoft Outlook kundgetan, weil sie es nicht besser wussten oder nicht besser wollten.

So, dann hat die KI von Microsoft beide Wissensbestände im Portfolio und die KI kann natürlich dann, wenn es ganz dumm läuft für die beiden Geheimnisträger- Unternehmen, die keine mehr sind, kann nämlich das Wissen dieser beiden Unternehmen, das eigentliche Geheimwissen dieser beiden Unternehmen kombinieren zu einer neuen Lösung, die die beiden Unternehmen gar nicht haben und auch nie haben werden, weil sie nämlich dann auf dem Markt nicht mehr existieren, weil nämlich dann derjenige, der die KI benutzt, falls es nicht Microsoft selbst ist, diese Lösung einfach auf den Markt bringt und die beiden Unternehmen fragen sich, wo hat er denn das her?

Ist ja viel besser als mein Ansatz, weil eins plus eins ist nämlich dann nicht zwei, sondern drei.

Also von der Qualität beachtet.

Das heißt, es kommen neue Lösungen zustande, die machen den Geheimnisträger mit seiner eigenen Lösung platt, weil diese KI einfach viel mehr Informationen hat, die sie nutzen kann.

Also so viel dazu.

Es ist wirklich eine denkbar schlechte Idee, weiter Microsoft-Produkte nutzen zu wollen und man muss es auch nicht in vielen Unternehmen.

Ich gebe zu, Unternehmen, die das schon bis ins Letzte eingeführt haben, da ist es schwierig, alles zurückzurollen, aber man kann ja zumindest punktuell was machen und bei den kleineren Unternehmen muss ich ganz ehrlich sagen, es gibt auch andere Mail-Programme als Outlook und es gibt auch andere, vor allem bessere Videokonferenz-Tools als Microsoft Teams.

Das gibt es einfach.

Also ich brauche und OneDrive brauche ich auch nicht.

Da gibt es auch andere Möglichkeiten.

Also für kleinere Unternehmen und mittelständische, die nicht so voll abhängig von Microsoft sind, gibt es Lösungen ohne Microsoft.

Das muss man einfach so sagen.

Wer das will, der kriegt das auch hin und ist am Ende sogar glücklicher.

Ich sage nur zum Schluss, seit ich bei WhatsApp ausgestiegen bin, vermisse gar nichts, überhaupt nichts.

Mein Leben ist besser geworden.

Du möchtest also quasi alle nochmal dazu ermutigen, dass ein Ausstieg von etwas, eine Trennung von etwas Bekanntem auch etwas Wunderbares haben kann.

Verstehe ich dich richtig?

So möchte ich es mal als Schlusswort sagen, ja.

Man muss sich von unliebsamen Dingen trennen, sonst wird das Leben immer trauriger.

Absolut.

Ich fasse zum Schluss, möchte nochmal kurz für alle, die jetzt zugehört haben, eine Sache anfassen und zwar alle rechtlichen Implikationen, die euch die Probleme bereiten können auf mehreren unterschiedlichen Ebenen, was wir hier diskutiert haben.

Der erste Punkt ist, wenn ihr im Unternehmen Microsoft das neue Outlook einsetzt oder auch Windows 11, dann habt ihr nicht die Möglichkeit, euch vor Schadenersatzklagen eurer Mitarbeiter zu schützen.

Denn ihr seid ja dazu verpflichtet, dass ihr die Mitarbeiter vollumfänglich über die Nutzung der personenbezogenen Daten innerhalb des Unternehmens informiert.

Das könnt ihr nicht.

Das bestätigen ja sogar die Sicherheitsforscher, die das CT-Magazin zur Rate gezogen hat, als auch mehrere unterschiedliche Landesdatenschutzbehörden, die sich über dieses Thema schon aufgeregt haben.

Sehe ich übrigens auch so, möchte ich unterstützen.

Der zweite Punkt ist dann eben, dass ihr, wenn ihr diese Daten dahin übertragt, eben auch eure eigenen Geschäftsgeheimnisse nicht mehr geheim halten könnt.

Das heißt, ihr begeht Vertragsbrüche auf handelsrechtlicher Ebene mit all euren Vertragspartnern, mit denen ihr NDAs abschließt, sobald ihr diese Daten oder Daten innerhalb dieses Projektes oder auch des NDAs selbst auf Windows-Maschinen verarbeitet, die unter Windows 10 oder 11 laufen, die bekannt sind dafür, per Telemetrie Daten zu übertragen, wo keiner weiß, was genau die wann wieder übertragen und ob man das überhaupt stoppen kann.

Und darüber hinaus, wenn man jetzt die neue Outlook-App nutzt, habt ihr quasi auch noch den perfekten Personenbezug mit übergeben.

Das heißt, man kann also auch noch nachgucken, wer welche Informationen rechtswidrig übertragen hat.

Das ist dann aber euer Rechtsverstoß.

Da hat Microsoft gar kein Problem mit, denn ihr habt eine Einwilligung gegeben.

Ihr habt eingewilligt, dass dieser Rechtsverstoß passiert.

Und das ist das megakritische dabei.

Das heißt also, ihr gefährdet sofort. . .

Da könnte das Unternehmen natürlich dann, wenn es ein Problem kriegt, könnte natürlich dann erst Microsoft verklagen und sagen, wir haben unsere Einwilligung zwar gegeben, aber sie war ja gar nicht gültig.

Dann ist es aber vielleicht doch schon ein bisschen zu spät.

Absolut.

Das heißt also, wir haben da das Problem, dass ihr auf der einen Seite die Privatsphäre und die Persönlichkeitsrechte eurer Mitarbeiter missachtet und das sehr, sehr teuer und problematisch werden kann.

Und auf der anderen Seite habt ihr noch mal die wirtschaftliche Schädigung.

Es kann dazu führen, dass euer Unternehmen wirtschaftlich nicht mehr handlungsfähig ist und ihr euer Unternehmen in die Tonne kloppen könnt.

Das nur, weil ihr Produkte nutzt, an die ihr seit mehreren Jahrzehnten gewöhnt seid.

Und da muss ich ganz ehrlich sagen, das ist mein Appell an alle.

Schlechte Gewohnheiten sollte man ablegen, indem man sie durch Gute ersetzt.

Also fangt an, vor eurer eigenen Tür zu kehren, anstatt mit dem Finger auf andere zu zeigen, die euch angeblich erklärt haben, dass alles, was wir gerade herausklamüsert haben und was andere bestätigt haben, Kokolores sein soll, weil es irgendwelche blödsinnigen Rechtskonstrukte von verwirrten Politikern, die gar keine Ahnung haben über was sie entscheiden, zusammen geschustert wurden, um sich dann darauf zu berufen, dass nicht Max Schrems in einem Jahr das Ding auch wieder kippt.

Also das ist absoluter Irrsinn, was da passiert.

Es geht ja gar nicht nur um Datenschutz, es geht auch um Geschäftsgeheimnisse, es geht, wie du sagst, vertrauliche Informationen.

Also lass mal den Datenschutz einfach mal weg.

Geschäftsgeheimnisse will keiner freiwillig irgendjemand anders geben, sonst wären es ja keine Geheimnisse.

Und vertrauliche Daten, da begeht man direkt einen Vertragsbruch.

Also das ist der Punkt, da brauchen wir gar nicht über Datenschutz reden, das kommt noch dazu.

Genau, der kommt nur obendrauf.

Also der ist nur obendrauf nochmal das Sahnehäubchen, wenn dann zum Beispiel alle Mitarbeiter Schadenersatzklagen gegen euch einreichen, weil ihr sie nicht ausreichend darüber informiert habt, dass wenn sie Ja klicken bei der neuen Outlook-App, die ihnen angeboten wird, das, was da eben im Hintergrund passiert und das impliziert.

Ihr könnt das natürlich mit Richtlinien verklusern und den Leuten sagen, damit werden alle Daten an Microsoft übertragen usw. Und dann würde ich eigentlich darauf hoffen, dass die Mitarbeiter in eurem Unternehmen etwas intelligenter seid als ihr selbst und nachfragen, wie man so fahrlässig und dumm sich verhalten kann.

Denn man kann das nicht einfach beschreiben.

Wenn man das als Unternehmen immer nutzt, dann ist man dumm.

Ganz einfach.

Ich will es ein bisschen realistischer machen.

Der unzufriedene Mitarbeiter oder der, der sowieso kündigen will oder der gekündigt wird, der wird der Erste sein, der dagegen vorgeht, wenn er ein bisschen intelligent ist.

Ja, das stimmt.

Und meistens suchen die sich Intelligente zur Unterstützung, weil die frustriert sind und euch einen reinwürgen wollen.

Das kommt dann nochmal oben drauf.

Also sehr, sehr viele, sehr, sehr kritische Punkte, die ich sagen müsste, unterstützt die nicht, sucht euch Alternativen, sucht euch die richtigen Alternativen und wenn ihr keine Lust habt zu suchen, dann fragt halt Profis, die seit Jahrzehnten sagen, nutzt nicht Microsoft, es gibt Alternativen.

Die haben Alternativen.

Denn es ist nicht so, als wenn es keine gäbe.

Es ist eben nur ein klein wenig unbequem in der Umstellung.

Aber auch das geht relativ einfach von statt.

Muss man ganz ehrlich sagen.

Tausendmal erlebt.

Ja, wunderbar.

Ich würde sagen, wir haben uns jetzt eine halbe Stündchen lang sehr schön aufgeregt über Microsoft.

Und zurecht.

Und damit der Blutdruck wieder runterkommen kann, entlassen wir jetzt alle Leute mit dieser Folge und dem mulmigen Gefühl, den das hinterlässt, wenn ihr euch jetzt alle an eure Laptops wieder zurückzieht und dieses kleine schöne Windows-Symbol sieht, das euch daran erinnert, dass ihr nicht alleine seid und nicht unbeobachtet bleibt.

Sehr gut.

Macht's gut da draußen.

Tschüss Klaus, ich danke dir vielmals.

Tschüss.

Das war Datenschutz Deluxe.

Du willst mehr spannende Themen oder Kontakt zu uns?

Dann besuche Klaus Meffert auf seinem Blog Dr. DSGVO und Stephan Plesnik auf seinem YouTube-Kanal Datenschutz ist Pflicht.

Bis zum nächsten Mal. .