Niemieckie władze nadal polegają na Microsoft 365 pomimo obaw związanych z ochroną danych. Kwestia zgodności z RODO pozostaje otwarta, podczas gdy firmy i władze są w dużym stopniu zależne od pozaeuropejskich dostawców IT. Dotyczy to w szczególności oprogramowania i aplikacji w obszarze Przetwarzanie w chmurze.
Badanie pokazuje, że około 80% firm czuje się zależnych od pozaeuropejskich dostawców kluczowych technologii cyfrowych. Sytuacja ta rodzi pytania o Bezpieczeństwo danych oraz Zgodność szczególnie w odniesieniu do Zagrożenia dla ochrony danych w chmurze Microsoft.
Wykorzystanie Microsoft 365 w prawie wszystkich firmach ilustruje dominację dostawcy. Już w 2018 r. niemiecka ocena wpływu na ochronę danych (DPIA) wykazała, że korzystanie z Office 365 nie było zgodne z prawem o ochronie danych. Niemniej jednak zależność ta nie zmniejszyła się.
Ważne ustalenia
- Niemieckie władze korzystają z Microsoft 365 pomimo obaw o ochronę danych
- Około 80% firm czuje się zależnych od dostawców IT spoza Europy
- DSFA z 2018 r. zadeklarował Office 365 jako niezgodne z zasadami ochrony danych
- Zgodność Microsoft 365 z RODO pozostaje kontrowersyjna
- Brak europejskich alternatyw zwiększa zależność
Zagrożenia dla ochrony danych w chmurze Microsoft: Obecna sytuacja
Wykorzystanie usług chmurowych Microsoft w niemieckich urzędach rośnie pomimo obaw o ochronę danych. Co najmniej sześć krajów związkowych planuje wprowadzenie tych usług w swojej administracji. The Zarządzanie ryzykiem stoi przed poważnymi wyzwaniami.
Zależność niemieckich władz od usług w chmurze
Dolna Saksonia i Bawaria są pionierami w korzystaniu z Teams i Microsoft 365, podczas gdy Hamburg planuje wyposażyć 8 000 do 10 000 administracyjnych stacji roboczych w Microsoft 365 do końca roku. Nadrenia Północna-Westfalia i Brema pójdą w ich ślady w 2025 r. Rozwój ten pokazuje rosnącą zależność od usług w chmurze w sektorze publicznym.
Brak europejskich alternatyw
Brak europejskich alternatyw napędza korzystanie z usług Microsoftu. Niemiecki rząd planuje oferować Microsoft 365 za pośrednictwem spółki zależnej SAP Delos w celu Przepisy dotyczące ochrony danych muszą być przestrzegane. Niektóre kraje, takie jak Badenia-Wirtembergia, preferują to rozwiązanie. OpenDesk, alternatywa open source, jest rozwijana, ale spotkała się z ograniczonym odzewem.
Przewaga techniczna amerykańskich dostawców
Przewaga techniczna amerykańskich dostawców jest bezdyskusyjna. Jednak poważne incydenty związane z bezpieczeństwem w Microsoft Azure Zagrożenia w 2021 i 2022 roku. Chińscy hakerzy uzyskali dostęp do wielu kont e-mail, w tym kont pracowników rządu USA. Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) zobowiązała władze USA do podjęcia środków ochronnych. Radzenie sobie z Dane organu wymaga najwyższych standardów bezpieczeństwa.
Rosnąca zależność od usług Microsoft w połączeniu z obawami dotyczącymi bezpieczeństwa stawia władze przed dylematem między wydajnością a ochroną danych.
Przetwarzanie danych w Microsoft 365: podstawowe aspekty
Microsoft 365 został zaprojektowany jako Software-as-a-Service (SaaS) i obejmuje programy takie jak Word, Excel i PowerPoint. Przetwarzanie danych w tym Chmura hybrydowa-Środowisko jest złożone i wiąże się z kwestiami ochrony danych.
Office 365 przetwarza różne rodzaje danych. Obejmuje to dane funkcjonalne, dane dotyczące zawartości, dane diagnostyczne i dane z Connected Experiences. W zależności od kategorii i celu, Microsoft przyjmuje różne role - jako podmiot przetwarzający lub niezależny administrator.
Niemiecka Konferencja Ochrony Danych (DSK) stwierdziła, że nie jest możliwe udowodnienie, że Microsoft 365 działa zgodnie z przepisami o ochronie danych. Pomimo dostosowania do Data Protection Addendum (DPA), dane osobowe są nadal przekazywane do USA.
Microsoft planuje wprowadzić do 2024 r. granicę danych UE, aby zapewnić przetwarzanie danych osobowych w europejskich centrach danych. Ma to na celu rozwianie obaw dotyczących Azure-infrastruktura.
Użytkownicy systemów Windows i Office 365 powinni pamiętać, że dane diagnostyczne są gromadzone w celu rozwiązywania problemów i ulepszania systemu. Unikalny identyfikator reklamowy jest również wykorzystywany do spersonalizowanych reklam.
Przetwarzanie danych w Microsoft 365 pozostaje złożonym tematem z wyzwaniami związanymi z ochroną i bezpieczeństwem danych. Zgodność.
Dane funkcjonalne i dotyczące zawartości dla usług w chmurze firmy Microsoft
Podczas korzystania z usług w chmurze firmy Microsoft generowane są różne rodzaje danych. Można je podzielić na dane funkcjonalne i dane dotyczące zawartości. Każda kategoria odgrywa ważną rolę dla Przetwarzanie w chmurze i Bezpieczeństwo danych.
Definicja i typy danych funkcjonalnych
Dane funkcjonalne są niezbędne do działania usług w chmurze. Obejmują one informacje techniczne, takie jak dane o lokalizacji na potrzeby synchronizacji czasu lub szczegóły połączenia. Dane te umożliwiają sprawne funkcjonowanie usług Microsoft i przyczyniają się do Zgodność z.
Przetwarzanie danych dotyczących zawartości
Dane dotyczące treści to informacje generowane przez użytkownika, takie jak teksty w dokumentach programu Word lub wiadomości e-mail w programie Outlook. Microsoft działa tutaj jako podmiot przetwarzający i wykorzystuje te dane wyłącznie w celu świadczenia usług. Przetwarzanie odbywa się zgodnie ze ścisłymi wytycznymi dotyczącymi ochrony danych.
Klasyfikacja na mocy przepisów o ochronie danych
Ocena prawna różni się w zależności od rodzaju danych i celu ich przetwarzania. Ocena wpływu na ochronę danych ujawniła 8 obszarów problematycznych w korzystaniu z Office 365, przy czym Microsoft był w stanie w zadowalającym stopniu zminimalizować ryzyko tylko w 2 obszarach. W szczególności w przypadku Outlooka i Teams Bezpieczeństwo danych czynnik krytyczny.
Typ danych | Przetwarzanie | Znaczenie dla ochrony danych |
---|---|---|
Dane funkcjonalne | Obsługa techniczna | Średni |
Dane dotyczące zawartości | Świadczenie usług | Wysoki |
Dane diagnostyczne | Analiza i poprawa | Bardzo wysoki |
Użytkownicy powinni aktywować ustawienia sprzyjające prywatności i skonfigurować funkcje telemetryczne, aby ograniczyć gromadzenie danych. Reguły domowe dotyczące korzystania z Microsoft 365 mogą pomóc w regulowaniu obsługi wrażliwych danych i zwiększeniu ich bezpieczeństwa.
Dane diagnostyczne i ich znaczenie dla bezpieczeństwa danych
Dane diagnostyczne odgrywają ważną rolę w Zarządzanie ryzykiem chmury Microsoft. Zapewniają one wgląd w funkcjonowanie i bezpieczeństwo systemów. Obsługa tych danych jest szczególnie wrażliwa dla władz, ponieważ często zawierają one informacje poufne. Dane organu proces.
Wymagane dane diagnostyczne
Kategoria ta obejmuje podstawowe informacje, takie jak dane urządzenia i raporty o błędach. Są one niezbędne do płynnego działania aplikacji. Microsoft poważnie ograniczył przetwarzanie tych danych w celu zminimalizowania negatywnych skutków. Przepisy dotyczące ochrony danych do przestrzegania.
Opcjonalne dane diagnostyczne
Opcjonalne dane diagnostyczne zapewniają dodatkowy wgląd w celu ulepszenia produktu. Ich wykorzystanie może być jednak problematyczne w świetle przepisów o ochronie danych. Organy powinny dokładnie rozważyć, które z tych danych udostępniają.
Przechowywanie i przetwarzanie
Przechowywanie i przetwarzanie danych diagnostycznych podlega rygorystycznym środkom bezpieczeństwa. Microsoft wprowadził dodatkowe umowne środki ochronne i uwzględnił metadane i dane diagnostyczne jako przedmiot przetwarzania zamówienia.
Typ danych | Przetwarzanie | Znaczenie dla ochrony danych |
---|---|---|
Wymagane dane diagnostyczne | Poważne ograniczenia | Niski |
Opcjonalne dane diagnostyczne | Rozszerzony | Potencjalnie wysoki |
W celu bezpiecznej obsługi danych diagnostycznych zalecamy dezaktywację telemetrii lub transmisji danych diagnostycznych. Szczególnie wrażliwe dane powinny być archiwizowane w zaszyfrowanych usługach przechowywania. Środki te wspierają władze w przestrzeganiu rygorystycznych Przepisy dotyczące ochrony danych.
Połączone doświadczenia i ich wpływ na ochronę danych
Usługi Connected Experiences w Office 365 oferują dodatkowe funkcje, które wymagają połączenia z Internetem. Usługi te umożliwiają na przykład współpracę nad dokumentami w usłudze OneDrive lub tłumaczenia w programie Word. Rodzą one jednak również pytania o ochronę danych.
Wykorzystanie połączonych doświadczeń w Chmura hybrydowa-Środowisko może być problematyczne. Przetwarzanie danych nie może być po prostu uzasadnione przez Microsoft jako podmiot przetwarzający. Zamiast tego może być wymagana umowa o współadministrowanie.
Aktualne statystyki pokazują wybuchowy charakter tego tematu:
- 90% firm uważa zgodność z RODO za niezbędną dla rozwiązań chmurowych
- 79% domaga się przejrzystości w architekturze bezpieczeństwa
- 67% przywiązuje wagę do lokalizacji dostawcy usług w chmurze
Liczby te ilustrują wysokie wymagania dotyczące ochrony i bezpieczeństwa danych, które są również spełniane przez Azure i Office 365. Firmy powinny dokładnie rozważyć korzystanie z Connected Experiences i, jeśli to konieczne, rozważyć alternatywne rozwiązania, aby zachować kontrolę nad swoimi danymi.
Aspekt | Wymóg | Znaczenie dla połączonych doświadczeń |
---|---|---|
Zgodność z RODO | 90% | Wysoki |
Przejrzystość zabezpieczeń | 79% | Średni |
Lokalizacja dostawcy | 67% | Wysoki |
Ocena przez niemieckie organy ochrony danych
Krajowa konferencja poświęcona ochronie danych przyjrzała się bliżej przepisom dotyczącym ochrony danych w Microsoft 365. Wyniki tego badania zostały przedstawione w obszernym 60-stronicowym raporcie.
Pozycja DSK
Konferencja poświęcona ochronie danych podkreśla odpowiedzialność firm za korzystanie z Microsoft 365 zgodnie z przepisami o ochronie danych. Nie było ani ostrzeżenia o produkcie, ani zakazu, ale firmy muszą być informowane o przepływie danych i poważnie traktować swoje obowiązki w zakresie ochrony danych.
Krytyczne osądy
Główne punkty krytyki podczas korzystania z Microsoft 365 to przesyłanie Dane organu do USA, brak przejrzystości w przetwarzaniu danych i niewystarczające możliwości interwencji ze strony klienta. Organy nadzorcze badają niedociągnięcia w ochronie danych i dają osobom odpowiedzialnym możliwość ich naprawienia.
Konsekwencje prawne
Sąd Apelacyjny w Berlinie wyjaśnił, że ekspertyzy organów nadzorujących ochronę danych stanowią jedynie opinię prawną, którą sądy nie są związane. Korzystanie z platformy Microsoft 365 w sposób zgodny z zasadami ochrony danych jest możliwe, ale wymaga zastosowania określonych środków zgodności. Mogą one mieć wpływ na codzienne życie zawodowe, takie jak wolniejsze działanie lub ograniczone korzystanie z niektórych funkcji.
Aspekt | Wymóg | Możliwy wpływ |
---|---|---|
Transmisja danych | Przekierowanie ruchu danych | Wolniejsza wydajność |
Przejrzystość | Pseudonimowe adresy e-mail | Trudniejsza wymiana danych |
Telemetria | Ustawienie transmisji danych | Ograniczone rozwiązywanie problemów |
Aktualizacje | Monitorowanie aktualizacji produktów | Dodatkowe prace administracyjne |
Perspektywy międzynarodowe: Holenderska ocena DSFA
Holenderski rząd przeprowadził przełomową ocenę wpływu na ochronę danych (DPIA) dla Microsoft Office 365. Ocena ta dostarcza ważnych informacji dla Przetwarzanie w chmurze i bezpieczeństwo danych w Europie.
Początkowo korzystanie z Office 365 zostało sklasyfikowane jako niezgodne z przepisami o ochronie danych. Po intensywnych negocjacjach i dostosowaniu przez Microsoft, wersja 1905 Office 365 ProPlus została uznana za zgodną. To pokazuje, jak ważne jest skuteczne Zarządzanie ryzykiem w obszarze przetwarzania w chmurze.
Niedawna ocena DPIA dotycząca Microsoft Teams, OneDrive, SharePoint i Azure AD zakończyła się pozytywnym wynikiem. Ocena wykazała, że nie ma wysokiego ryzyka dla ochrony danych, pod warunkiem wdrożenia zalecanych środków. Ocena ta podkreśla znaczenie bezpieczeństwa danych i proaktywnego zarządzania ryzykiem podczas korzystania z usług w chmurze.
Holenderska ocena DSFA pokazuje, że rozwiązania cloud computing mogą być zgodne z zasadami ochrony danych, jeśli są prawidłowo wdrożone i monitorowane.
Ustalenia te są bardzo istotne dla władz niemieckich. Pokazują one, że bezpieczne korzystanie z usług w chmurze jest możliwe, jeśli zostaną podjęte niezbędne środki ostrożności. Jednak ciągły przegląd i dostosowywanie środków bezpieczeństwa danych pozostaje głównym zadaniem w zarządzaniu ryzykiem w sektorze publicznym.
Środki techniczne i organizacyjne podjęte przez Microsoft
Microsoft podjął szeroko zakrojone kroki w celu poprawy ochrony danych i wymogów zgodności dla swoich usług w chmurze. Środki te mają na celu optymalizację zarządzania ryzykiem i zgodność z przepisami dotyczącymi ochrony danych.
Środki ochrony danych
Gigant technologiczny ograniczył przetwarzanie danych diagnostycznych i zwiększył przejrzystość. Jako podmiot przetwarzający dane Microsoft wspiera organizacje w spełnianiu wymogów RODO, w tym w przetwarzaniu żądań osób, których dane dotyczą. Purview Compliance Manager oferuje funkcje do oceny stanu zgodności i zmniejszania ryzyka.
Koncepcje bezpieczeństwa
Koncepcje bezpieczeństwa Microsoft obejmują bezpieczne przetwarzanie danych klientów zgodnie z udokumentowanymi instrukcjami. Obejmuje to działania takie jak fakturowanie, rekompensaty i raportowanie wewnętrzne. Microsoft podkreśla, że dane klientów ani informacje uzyskane na ich podstawie nie są wykorzystywane do profilowania, reklamy ani podobnych celów komercyjnych.
Wymagania dotyczące zgodności
Pomimo tych wysiłków, według Konferencji Ochrony Danych (DSK), nadal istnieją wątpliwości prawne we wdrażaniu środków technicznych i organizacyjnych. Konstrukcja obowiązku zwrotu i usunięcia danych nie jest w pełni zgodna z wymogami art. 28 RODO. Krytykuje się również fakt, że informacje o nowych podwykonawcach przetwarzania nie są wystarczająco szczegółowe, co może negatywnie wpłynąć na zgodność z przepisami.