Office 365 от Microsoft объявлен незаконным для немецких школ - снова!

Американские облачные провайдеры не соблюдают строгие немецкие законы о защите конфиденциальности и не должны использоваться немецкими школами.

Немецкие школы не должны использовать Microsoft Office 365 из-за нарушения конфиденциальности. После двух лет переговоров с Microsoft немецкая конференция по защите данных (DSK) выступила с грозным заявлением о том, что, учитывая отсутствие прозрачности в отношении защиты данных и потенциального доступа третьих лиц, личные данные немецких школьников не должны храниться на серверах Microsoft за пределами Германии. Это также может повлиять на другие американские облачные решения, такие как решения Google и Apple.


Office 365 запрещен в немецких школах

В прошлом немецкие школы могли пользоваться “немецким облаком”, предлагаемым компанией Microsoft, до середины 2018 года. Затем Microsoft перестала предлагать модель доверительного управления данными, соответствующую требованиям Германии в отношении защиты конфиденциальности.

Теперь Немецкая конференция по защите данных (DSK) проанализировала предложение Microsoft для немецких школ и органов власти и выступила с осуждающим заявлением.

По мнению немецких чиновников DSK, Microsoft 365 нарушает законы о защите данных (GDPR). Поэтому он не подходит для использования в школах и государственных органах Германии в соответствии с законом.

Несмотря на небольшой прогресс, достигнутый благодаря новому “Дополнению к защите данных продуктов и услуг” Microsoft, этого отнюдь не достаточно для выполнения законодательных требований к конфиденциальности и безопасности.

Матиас Пфау, основатель сервиса зашифрованной электронной почты Tutanota, комментирует:

Невероятно, что американские онлайн-сервисы продолжают попирать европейский GDPR спустя более четырех лет после его принятия. Очевидно, что крупные американские корпорации терпят любые жалобы, а также штрафы, потому что бизнес-модель - “пользуйтесь моим сервисом, а я буду использовать ваши данные” - является для них чрезвычайно прибыльной. Вместо того, чтобы полагаться на добровольное сотрудничество, здесь должны быть гораздо более суровые последствия; например, использование совершенно других систем. Linux с LibreOffice - это очень хорошая альтернатива, на которую школы и органы власти должны перейти немедленно. До тех пор, пока школы и органы власти продолжают использовать Microsoft - пусть и установленный локально - Microsoft, очевидно, не видит причин соблюдать европейские правила защиты данных."

"Другие облачные решения, такие как электронная почта и календарь, не обязательно должны использовать Microsoft. Сейчас существуют очень хорошие и полностью зашифрованные сервисы, такие как Tutanota из Ганновера. Здесь гарантируется конфиденциальность и защита данных, к тому же все данные хранятся на немецких серверах.”

Содержание заявления ДСК

В заявлении ДСК говорится следующее:

“Контроллеры должны быть в состоянии выполнять свои обязательства по отчетности в соответствии со ст. 5 (2) GDPR в любое время. При использовании Microsoft 365 можно ожидать трудностей в этом отношении на основании “дополнения о защите данных”, поскольку Microsoft не полностью раскрывает , какие операции по обработке данных имеют место в деталях. Кроме того, Microsoft не полностью раскрывает, какие операции по обработке данных выполняются от имени клиента, а какие - в собственных целях. Договорные документы не являются точными в этом отношении и не позволяют убедительно оценить обработку, которая может быть даже обширной, в том числе для собственных целей компании."

"Использование персональных данных пользователей (например, сотрудников или студентов) в собственных целях провайдера исключает использование процессора в государственном секторе (особенно в школах).

Изменения Microsoft недостаточны

Новая оценка последовала после обновления “Дополнения о защите данных продуктов и услуг” компании Microsoft.

Однако внесенные изменения недостаточны для удовлетворения требований по защите данных в немецких школах и органах власти.

Что изменила компания Microsoft?

  1. Microsoft приняла некоторые из стандартных договорных положений Комиссии ЕС.
  2. Microsoft более подробно объяснила, как она сама оценивает данные и для каких целей это делается. Например, в дополнении говорится, что Microsoft формирует неперсональные статистические данные из псевдонимизированных данных и использует их в своих целях.

Однако, по словам федерального комиссара по защите данных Ульриха Кельбера, пока неясно, какие именно данные используются в собственных целях компании. Со стороны пока невозможно оценить, какую информацию собирает Microsoft и как она использует эти данные в своих целях.

Кроме того, ДСК критикует передачу данных в США, что делает их доступными для американских властей:

“Обсуждения рабочей группы с Microsoft подтвердили, что в соответствии с положениями контракта персональные данные в любом случае будут передаваться в США при использовании Microsoft 365. Невозможно использовать Microsoft 365 без передачи персональных данных в США”.

В заключение анализа “Дополнения о защите данных продуктов и услуг Microsoft” ДСК советует и частным пользователям не использовать Microsoft 365, поскольку нельзя полагаться на то, что Microsoft будет обращаться с собранной информацией в соответствии с требованиями конфиденциальности.

Компания Microsoft, напротив, сразу после публикации DSK выступила с заявлением, утверждая, что использование Microsoft 365 возможно в соответствии с законом.

Gmail запрещен в европейских школах

В очень похожих решениях голландский и датский органы по защите частной жизни объявили использование Google и Gmail незаконным в школах, также из-за нарушения GDPR. Подробнее об этих решениях читайте здесь.

Microsoft уже запрещена в 2019 году

Уже в 2019 году гессенский комиссар по защите данных и свободе информации пришел квыводу, аналогичному тому, к которому только что пришел ДСК при проверке обновленного дополнения Microsoft.

В 2019 году особой критике подверглись два вопроса конфиденциальности:

  • Американские власти могут получить доступ к данным, хранящимся в европейском облаке, без контроля над этим со стороны немецкого правительства.
  • В Office 365 и Windows 10 собирается много телеметрических данных, которые передаются в Microsoft без предоставления удовлетворительной информации о том, что регистрируется и передается.

Защита данных детей

Для Гессенской комиссии по защите данных и свободе информации защита данных детей стоит на первом месте:

“Критический аспект заключается в том, может ли школа как государственное учреждение хранить личные данные (детей) в (европейском) облаке, которое, например, открыто для доступа американских властей. Государственные учреждения в Германии несут особую ответственность в отношении допустимости и прозрачности обработки персональных данных”.

Таким образом, комиссар по вопросам данных считает, что обработка данных компанией Microsoft является незаконной. Кроме того, здесь нельзя помочь, если попросить родителей дать согласие на обработку данных. Это не удовлетворит особые права детей на защиту в соответствии со статьей 8 Общего регламента по защите данных (GDPR).

Уполномоченный Гессена также заявляет.

”То, что верно для Microsoft, верно и для облачных решений Google и Apple. Облачные решения этих провайдеров до сих пор не были прозрачными и понятными. Поэтому верно и то, что для школ использование в соответствии с требованиями конфиденциальности в настоящее время невозможно.”

Кроме того, такие компании, как Microsoft, попали в новости благодаря взломам, в результате которых злоумышленники завладели огромным количеством данных - и все это можно было бы предотвратить, если бы данные на серверах Microsoft были зашифрованы из конца в конец.

Последствия для немецких школ

Проблемы конфиденциальности настолько серьезны, что немецкие школы больше не должны использовать Office 365.

Однако многие школы, особенно профессиональные, используют Office 365 для подготовки учащихся к офисной работе с Word, Excel и т. д. Вместо Office 365 эти школы теперь должны использовать локальные лицензии на локальных системах.

Необходима немецкая альтернатива

Школы, которые используют Office 365 только для электронной почты, также имеют возможность перейти на безопасный почтовый сервис, например, Tutanota. Здесь все данные хранятся в зашифрованном виде на немецких серверах, с соблюдением строгих немецких законов о защите конфиденциальности и в полном соответствии с GDPR.

В будущем мы планируем расширить нашу защищенную службу электронной почты, которая уже включает в себя адресную книгу и календарь, до полностью зашифрованного пакета Groupware Suite. Необходима немецкая или европейская альтернатива Big Tech, чтобы школы и органы власти могли безопасно хранить данные граждан в облаке.

tl:dr: Публикация DSK в основном направлена на оказание давления на Microsoft с целью заставить ее соблюдать немецкие правила защиты данных; и в меньшей степени на всех жителей Германии, использующих другие сервисы. Тем не менее, было бы гораздо лучше иметь реальную альтернативу Microsoft, Google и Apple. Именно этим сейчас занимается компания Tutanota. Начав с защищенной электронной почты, Tutanota теперь также предлагает зашифрованную адресную книгу, зашифрованныйкалендарь и зашифрованную контактную форму Secure Connect. Планируется добавить еще много функций, и, по нашим оценкам, через несколько лет мы сможем предложить зашифрованный пакет группового ПО со встроенным шифрованием и максимальным уважением к частной жизни.