Niemieckie władze nadal polegają na Microsoft 365 pomimo obaw związanych z ochroną danych. Kwestia zgodności z RODO pozostaje otwarta, podczas gdy firmy i władze są w dużym stopniu zależne od pozaeuropejskich dostawców IT. Dotyczy to w szczególności oprogramowania i aplikacji w obszarze Przetwarzanie w chmurze.

Badanie pokazuje, że około 80% firm czuje się zależnych od pozaeuropejskich dostawców kluczowych technologii cyfrowych. Sytuacja ta rodzi pytania o Bezpieczeństwo danych oraz Zgodność szczególnie w odniesieniu do Zagrożenia dla ochrony danych w chmurze Microsoft.

Wykorzystanie Microsoft 365 w prawie wszystkich firmach ilustruje dominację dostawcy. Już w 2018 r. niemiecka ocena wpływu na ochronę danych (DPIA) wykazała, że korzystanie z Office 365 nie było zgodne z prawem o ochronie danych. Niemniej jednak zależność ta nie zmniejszyła się.

Ważne ustalenia

  • Niemieckie władze korzystają z Microsoft 365 pomimo obaw o ochronę danych
  • Około 80% firm czuje się zależnych od dostawców IT spoza Europy
  • DSFA z 2018 r. zadeklarował Office 365 jako niezgodne z zasadami ochrony danych
  • Zgodność Microsoft 365 z RODO pozostaje kontrowersyjna
  • Brak europejskich alternatyw zwiększa zależność

Zagrożenia dla ochrony danych w chmurze Microsoft: Obecna sytuacja

Wykorzystanie usług chmurowych Microsoft w niemieckich urzędach rośnie pomimo obaw o ochronę danych. Co najmniej sześć krajów związkowych planuje wprowadzenie tych usług w swojej administracji. The Zarządzanie ryzykiem stoi przed poważnymi wyzwaniami.

Zależność niemieckich władz od usług w chmurze

Dolna Saksonia i Bawaria są pionierami w korzystaniu z Teams i Microsoft 365, podczas gdy Hamburg planuje wyposażyć 8 000 do 10 000 administracyjnych stacji roboczych w Microsoft 365 do końca roku. Nadrenia Północna-Westfalia i Brema pójdą w ich ślady w 2025 r. Rozwój ten pokazuje rosnącą zależność od usług w chmurze w sektorze publicznym.

Brak europejskich alternatyw

Brak europejskich alternatyw napędza korzystanie z usług Microsoftu. Niemiecki rząd planuje oferować Microsoft 365 za pośrednictwem spółki zależnej SAP Delos w celu Przepisy dotyczące ochrony danych muszą być przestrzegane. Niektóre kraje, takie jak Badenia-Wirtembergia, preferują to rozwiązanie. OpenDesk, alternatywa open source, jest rozwijana, ale spotkała się z ograniczonym odzewem.

Przewaga techniczna amerykańskich dostawców

Przewaga techniczna amerykańskich dostawców jest bezdyskusyjna. Jednak poważne incydenty związane z bezpieczeństwem w Microsoft Azure Zagrożenia w 2021 i 2022 roku. Chińscy hakerzy uzyskali dostęp do wielu kont e-mail, w tym kont pracowników rządu USA. Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) zobowiązała władze USA do podjęcia środków ochronnych. Radzenie sobie z Dane organu wymaga najwyższych standardów bezpieczeństwa.

Rosnąca zależność od usług Microsoft w połączeniu z obawami dotyczącymi bezpieczeństwa stawia władze przed dylematem między wydajnością a ochroną danych.

Przetwarzanie danych w Microsoft 365: podstawowe aspekty

Microsoft 365 został zaprojektowany jako Software-as-a-Service (SaaS) i obejmuje programy takie jak Word, Excel i PowerPoint. Przetwarzanie danych w tym Chmura hybrydowa-Środowisko jest złożone i wiąże się z kwestiami ochrony danych.

Office 365 przetwarza różne rodzaje danych. Obejmuje to dane funkcjonalne, dane dotyczące zawartości, dane diagnostyczne i dane z Connected Experiences. W zależności od kategorii i celu, Microsoft przyjmuje różne role - jako podmiot przetwarzający lub niezależny administrator.

Niemiecka Konferencja Ochrony Danych (DSK) stwierdziła, że nie jest możliwe udowodnienie, że Microsoft 365 działa zgodnie z przepisami o ochronie danych. Pomimo dostosowania do Data Protection Addendum (DPA), dane osobowe są nadal przekazywane do USA.

Microsoft planuje wprowadzić do 2024 r. granicę danych UE, aby zapewnić przetwarzanie danych osobowych w europejskich centrach danych. Ma to na celu rozwianie obaw dotyczących Azure-infrastruktura.

Użytkownicy systemów Windows i Office 365 powinni pamiętać, że dane diagnostyczne są gromadzone w celu rozwiązywania problemów i ulepszania systemu. Unikalny identyfikator reklamowy jest również wykorzystywany do spersonalizowanych reklam.

Przetwarzanie danych w Microsoft 365 pozostaje złożonym tematem z wyzwaniami związanymi z ochroną i bezpieczeństwem danych. Zgodność.

Dane funkcjonalne i dotyczące zawartości dla usług w chmurze firmy Microsoft

Podczas korzystania z usług w chmurze firmy Microsoft generowane są różne rodzaje danych. Można je podzielić na dane funkcjonalne i dane dotyczące zawartości. Każda kategoria odgrywa ważną rolę dla Przetwarzanie w chmurze i Bezpieczeństwo danych.

Definicja i typy danych funkcjonalnych

Dane funkcjonalne są niezbędne do działania usług w chmurze. Obejmują one informacje techniczne, takie jak dane o lokalizacji na potrzeby synchronizacji czasu lub szczegóły połączenia. Dane te umożliwiają sprawne funkcjonowanie usług Microsoft i przyczyniają się do Zgodność z.

Przetwarzanie danych dotyczących zawartości

Dane dotyczące treści to informacje generowane przez użytkownika, takie jak teksty w dokumentach programu Word lub wiadomości e-mail w programie Outlook. Microsoft działa tutaj jako podmiot przetwarzający i wykorzystuje te dane wyłącznie w celu świadczenia usług. Przetwarzanie odbywa się zgodnie ze ścisłymi wytycznymi dotyczącymi ochrony danych.

Klasyfikacja na mocy przepisów o ochronie danych

Ocena prawna różni się w zależności od rodzaju danych i celu ich przetwarzania. Ocena wpływu na ochronę danych ujawniła 8 obszarów problematycznych w korzystaniu z Office 365, przy czym Microsoft był w stanie w zadowalającym stopniu zminimalizować ryzyko tylko w 2 obszarach. W szczególności w przypadku Outlooka i Teams Bezpieczeństwo danych czynnik krytyczny.

Typ danych Przetwarzanie Znaczenie dla ochrony danych
Dane funkcjonalne Obsługa techniczna Średni
Dane dotyczące zawartości Świadczenie usług Wysoki
Dane diagnostyczne Analiza i poprawa Bardzo wysoki

Użytkownicy powinni aktywować ustawienia sprzyjające prywatności i skonfigurować funkcje telemetryczne, aby ograniczyć gromadzenie danych. Reguły domowe dotyczące korzystania z Microsoft 365 mogą pomóc w regulowaniu obsługi wrażliwych danych i zwiększeniu ich bezpieczeństwa.

Dane diagnostyczne i ich znaczenie dla bezpieczeństwa danych

Dane diagnostyczne odgrywają ważną rolę w Zarządzanie ryzykiem chmury Microsoft. Zapewniają one wgląd w funkcjonowanie i bezpieczeństwo systemów. Obsługa tych danych jest szczególnie wrażliwa dla władz, ponieważ często zawierają one informacje poufne. Dane organu proces.

Wymagane dane diagnostyczne

Kategoria ta obejmuje podstawowe informacje, takie jak dane urządzenia i raporty o błędach. Są one niezbędne do płynnego działania aplikacji. Microsoft poważnie ograniczył przetwarzanie tych danych w celu zminimalizowania negatywnych skutków. Przepisy dotyczące ochrony danych do przestrzegania.

Opcjonalne dane diagnostyczne

Opcjonalne dane diagnostyczne zapewniają dodatkowy wgląd w celu ulepszenia produktu. Ich wykorzystanie może być jednak problematyczne w świetle przepisów o ochronie danych. Organy powinny dokładnie rozważyć, które z tych danych udostępniają.

Przechowywanie i przetwarzanie

Przechowywanie i przetwarzanie danych diagnostycznych podlega rygorystycznym środkom bezpieczeństwa. Microsoft wprowadził dodatkowe umowne środki ochronne i uwzględnił metadane i dane diagnostyczne jako przedmiot przetwarzania zamówienia.

Typ danych Przetwarzanie Znaczenie dla ochrony danych
Wymagane dane diagnostyczne Poważne ograniczenia Niski
Opcjonalne dane diagnostyczne Rozszerzony Potencjalnie wysoki

W celu bezpiecznej obsługi danych diagnostycznych zalecamy dezaktywację telemetrii lub transmisji danych diagnostycznych. Szczególnie wrażliwe dane powinny być archiwizowane w zaszyfrowanych usługach przechowywania. Środki te wspierają władze w przestrzeganiu rygorystycznych Przepisy dotyczące ochrony danych.

Połączone doświadczenia i ich wpływ na ochronę danych

Usługi Connected Experiences w Office 365 oferują dodatkowe funkcje, które wymagają połączenia z Internetem. Usługi te umożliwiają na przykład współpracę nad dokumentami w usłudze OneDrive lub tłumaczenia w programie Word. Rodzą one jednak również pytania o ochronę danych.

Wykorzystanie połączonych doświadczeń w Chmura hybrydowa-Środowisko może być problematyczne. Przetwarzanie danych nie może być po prostu uzasadnione przez Microsoft jako podmiot przetwarzający. Zamiast tego może być wymagana umowa o współadministrowanie.

Aktualne statystyki pokazują wybuchowy charakter tego tematu:

  • 90% firm uważa zgodność z RODO za niezbędną dla rozwiązań chmurowych
  • 79% domaga się przejrzystości w architekturze bezpieczeństwa
  • 67% przywiązuje wagę do lokalizacji dostawcy usług w chmurze

Liczby te ilustrują wysokie wymagania dotyczące ochrony i bezpieczeństwa danych, które są również spełniane przez Azure i Office 365. Firmy powinny dokładnie rozważyć korzystanie z Connected Experiences i, jeśli to konieczne, rozważyć alternatywne rozwiązania, aby zachować kontrolę nad swoimi danymi.

Aspekt Wymóg Znaczenie dla połączonych doświadczeń
Zgodność z RODO 90% Wysoki
Przejrzystość zabezpieczeń 79% Średni
Lokalizacja dostawcy 67% Wysoki

Ocena przez niemieckie organy ochrony danych

Krajowa konferencja poświęcona ochronie danych przyjrzała się bliżej przepisom dotyczącym ochrony danych w Microsoft 365. Wyniki tego badania zostały przedstawione w obszernym 60-stronicowym raporcie.

Pozycja DSK

Konferencja poświęcona ochronie danych podkreśla odpowiedzialność firm za korzystanie z Microsoft 365 zgodnie z przepisami o ochronie danych. Nie było ani ostrzeżenia o produkcie, ani zakazu, ale firmy muszą być informowane o przepływie danych i poważnie traktować swoje obowiązki w zakresie ochrony danych.

Krytyczne osądy

Główne punkty krytyki podczas korzystania z Microsoft 365 to przesyłanie Dane organu do USA, brak przejrzystości w przetwarzaniu danych i niewystarczające możliwości interwencji ze strony klienta. Organy nadzorcze badają niedociągnięcia w ochronie danych i dają osobom odpowiedzialnym możliwość ich naprawienia.

Konsekwencje prawne

Sąd Apelacyjny w Berlinie wyjaśnił, że ekspertyzy organów nadzorujących ochronę danych stanowią jedynie opinię prawną, którą sądy nie są związane. Korzystanie z platformy Microsoft 365 w sposób zgodny z zasadami ochrony danych jest możliwe, ale wymaga zastosowania określonych środków zgodności. Mogą one mieć wpływ na codzienne życie zawodowe, takie jak wolniejsze działanie lub ograniczone korzystanie z niektórych funkcji.

Aspekt Wymóg Możliwy wpływ
Transmisja danych Przekierowanie ruchu danych Wolniejsza wydajność
Przejrzystość Pseudonimowe adresy e-mail Trudniejsza wymiana danych
Telemetria Ustawienie transmisji danych Ograniczone rozwiązywanie problemów
Aktualizacje Monitorowanie aktualizacji produktów Dodatkowe prace administracyjne

Perspektywy międzynarodowe: Holenderska ocena DSFA

Holenderski rząd przeprowadził przełomową ocenę wpływu na ochronę danych (DPIA) dla Microsoft Office 365. Ocena ta dostarcza ważnych informacji dla Przetwarzanie w chmurze i bezpieczeństwo danych w Europie.

Początkowo korzystanie z Office 365 zostało sklasyfikowane jako niezgodne z przepisami o ochronie danych. Po intensywnych negocjacjach i dostosowaniu przez Microsoft, wersja 1905 Office 365 ProPlus została uznana za zgodną. To pokazuje, jak ważne jest skuteczne Zarządzanie ryzykiem w obszarze przetwarzania w chmurze.

Niedawna ocena DPIA dotycząca Microsoft Teams, OneDrive, SharePoint i Azure AD zakończyła się pozytywnym wynikiem. Ocena wykazała, że nie ma wysokiego ryzyka dla ochrony danych, pod warunkiem wdrożenia zalecanych środków. Ocena ta podkreśla znaczenie bezpieczeństwa danych i proaktywnego zarządzania ryzykiem podczas korzystania z usług w chmurze.

Holenderska ocena DSFA pokazuje, że rozwiązania cloud computing mogą być zgodne z zasadami ochrony danych, jeśli są prawidłowo wdrożone i monitorowane.

Ustalenia te są bardzo istotne dla władz niemieckich. Pokazują one, że bezpieczne korzystanie z usług w chmurze jest możliwe, jeśli zostaną podjęte niezbędne środki ostrożności. Jednak ciągły przegląd i dostosowywanie środków bezpieczeństwa danych pozostaje głównym zadaniem w zarządzaniu ryzykiem w sektorze publicznym.

Środki techniczne i organizacyjne podjęte przez Microsoft

Microsoft podjął szeroko zakrojone kroki w celu poprawy ochrony danych i wymogów zgodności dla swoich usług w chmurze. Środki te mają na celu optymalizację zarządzania ryzykiem i zgodność z przepisami dotyczącymi ochrony danych.

Środki ochrony danych

Gigant technologiczny ograniczył przetwarzanie danych diagnostycznych i zwiększył przejrzystość. Jako podmiot przetwarzający dane Microsoft wspiera organizacje w spełnianiu wymogów RODO, w tym w przetwarzaniu żądań osób, których dane dotyczą. Purview Compliance Manager oferuje funkcje do oceny stanu zgodności i zmniejszania ryzyka.

Koncepcje bezpieczeństwa

Koncepcje bezpieczeństwa Microsoft obejmują bezpieczne przetwarzanie danych klientów zgodnie z udokumentowanymi instrukcjami. Obejmuje to działania takie jak fakturowanie, rekompensaty i raportowanie wewnętrzne. Microsoft podkreśla, że dane klientów ani informacje uzyskane na ich podstawie nie są wykorzystywane do profilowania, reklamy ani podobnych celów komercyjnych.

Wymagania dotyczące zgodności

Pomimo tych wysiłków, według Konferencji Ochrony Danych (DSK), nadal istnieją wątpliwości prawne we wdrażaniu środków technicznych i organizacyjnych. Konstrukcja obowiązku zwrotu i usunięcia danych nie jest w pełni zgodna z wymogami art. 28 RODO. Krytykuje się również fakt, że informacje o nowych podwykonawcach przetwarzania nie są wystarczająco szczegółowe, co może negatywnie wpłynąć na zgodność z przepisami.

FAQ

Dlaczego niemieckie władze nadal korzystają z Microsoft 365 pomimo obaw o ochronę danych?

Niemieckie władze są silnie uzależnione od usług w chmurze, takich jak Microsoft 365, ze względu na brak europejskich alternatyw. Około 80% firm czuje się zależnych od pozaeuropejskich dostawców kluczowych technologii cyfrowych. Przewaga techniczna dostawców spoza Europy jest postrzegana jako decydujący czynnik przez około 75% firm.

Jakie rodzaje danych są przetwarzane na platformie Microsoft 365?

Microsoft 365 przetwarza różne typy danych, w tym dane funkcjonalne (np. dane lokalizacji do synchronizacji czasu), dane zawartości (dane generowane przez użytkownika, takie jak tekst w dokumentach Word), dane diagnostyczne (wymagane i opcjonalne) oraz dane w kontekście Connected Experiences.

W jaki sposób Microsoft klasyfikuje przetwarzanie danych zgodnie z przepisami o ochronie danych?

Rola Microsoft różni się w zależności od kategorii danych i celu przetwarzania. W przypadku danych dotyczących treści Microsoft działa jako podmiot przetwarzający. W przypadku innych rodzajów danych, w szczególności Connected Experiences, Microsoft może być uważany za niezależnego administratora.

Jakie są główne zarzuty niemieckich organów ochrony danych wobec Microsoft 365?

Konferencja Niezależnych Federalnych i Krajowych Organów Ochrony Danych (DSK) krytykuje głównie brak przejrzystości, bezprawne przekazywanie danych do niebezpiecznych krajów trzecich oraz nieodpowiednie środki techniczne i organizacyjne.

W jaki sposób holenderska ocena skutków dla ochrony danych (DPIA) oceniła platformę Microsoft 365?

Po wstępnej negatywnej ocenie i dostosowaniu przez Microsoft, korzystanie z Office 365 ProPlus w wersji 1905 zostało uznane za dopuszczalne. Nowsza ocena DPIA dotycząca Microsoft Teams, OneDrive, SharePoint i Azure AD wykazała, że nie ma wysokiego ryzyka dla ochrony danych, pod warunkiem wdrożenia zalecanych środków.

Jakie środki podjęła firma Microsoft w celu zminimalizowania ryzyka związanego z ochroną danych?

Microsoft wprowadził korekty, w tym ograniczenia dotyczące przetwarzania danych diagnostycznych i ulepszenia w zakresie przejrzystości. Niemniej jednak, według DSK, nadal istnieją wątpliwości prawne dotyczące wdrażania środków technicznych i organizacyjnych.

Czym są połączone doświadczenia i jaki mają wpływ na ochronę danych?

Connected Experiences to funkcje, które wykorzystują połączenie internetowe do oferowania dodatkowych funkcji, takich jak współpraca nad dokumentami OneDrive lub funkcje tłumaczenia w programie Word. Przetwarzanie danych w kontekście Connected Experiences jest problematyczne z punktu widzenia przepisów o ochronie danych i może wymagać zawarcia umowy o współadministrowanie.

Jaka jest różnica między wymaganymi a opcjonalnymi danymi diagnostycznymi?

Wymagane dane diagnostyczne obejmują informacje o urządzeniu i raporty o błędach, które są niezbędne do funkcjonowania aplikacji. Opcjonalne dane diagnostyczne zapewniają dodatkowy wgląd w ulepszenia produktu. Przetwarzanie wymaganych danych diagnostycznych jest wysoce ograniczone, podczas gdy korzystanie z danych opcjonalnych może być problematyczne pod względem ochrony danych.
DSB buchen
pl_PLPolski