微软的Office 365被宣布对德国学校来说是非法的--再次!

美国的云供应商不遵守严格的德国隐私保护法,德国学校不得使用。

由于侵犯隐私,德国学校不得使用微软Office 365。在与微软进行了两年的谈判后,德国数据保护会议(DSK)发表了一份严厉的声明,鉴于在数据保护和潜在的第三方访问方面缺少透明度,德国学校儿童的个人数据必须存储在德国以外的微软服务器上。这也可能影响到其他美国的云计算解决方案,如谷歌和苹果的。


德国学校禁止使用Office 365

过去,德国学校可以利用微软提供的 “德国云”,直到2018年中期。然后,微软就不再提供符合德国隐私保护要求的数据托管模式。

现在,德国数据保护会议(DSK)已经分析了微软为德国学校和当局提供的服务,并发表了一份严厉的声明。

根据德国DSK官员的说法,微软365违反了数据保护法(GDPR)。因此,它不适合在德国的学校或公共机构中合法使用。

虽然微软新的 “产品和服务数据保护附录 “有了些许进展,但这绝不足以满足隐私和安全的法律要求。

加密电子邮件服务Tutanota的创始人Matthias Pfau评论说。

令人难以置信的是,在欧洲GDPR通过四年多后,美国的在线服务仍然在践踏它。 很明显,美国的大公司正在忍受任何投诉,也在忍受惩罚,因为商业模式—“使用我的服务,我就使用你的数据”—对他们来说是非常有利可图的。与其依靠自愿合作,这里必须得出更严厉的后果;例如,通过使用完全不同的系统。带有LibreOffice的Linux是一个非常好的选择,学校和当局应该立即转换。只要学校和当局继续使用微软—尽管是在本地安装—微软显然认为没有理由尊重欧洲的数据保护规则。"

"其他云解决方案,如电子邮件和日历,不一定要使用微软。现在有非常好的、完全加密的服务,如汉诺威的Tutanota。在这里,隐私和数据保护得到了保证,另外所有的数据都储存在德国的服务器上”。

DSK声明的内容

在声明中,DSK说

”控制者必须能够根据第5(2)条履行其责任义务。5 (2) GDPR。在使用微软365时,根据 “数据保护补充文件”,在这方面仍然可以预期会有困难,因为微软没有完全披露哪些处理操作发生的细节。此外,微软没有充分披露哪些处理操作是代表客户进行的,哪些是为自己的目的进行的。 合同文件在这方面并不精确,不能对处理进行结论性的评价,甚至可能是广泛的,包括为公司自己的目的。"

"为供应商自己的目的使用用户(如雇员或学生)的个人数据,排除了在公共部门(特别是在学校)使用处理器。

微软的改变是不够的

新的评估是在微软的 “产品和服务数据保护附录 “更新之后进行的。

然而,所做的改变并不足以满足德国学校和当局的隐私要求。

微软做了什么改变?

  1. 微软采用了欧盟委员会的一些标准合同条款。
  2. 微软更详细地解释了它如何评估数据本身,以及评估的目的是什么。例如,附录中指出,微软从假名数据中生成非个人统计数据,并将其用于自己的目的。

然而,根据联邦数据保护专员Ulrich Kelber的说法,目前仍不清楚哪些数据是用于公司自己的议程。从外部仍然无法评估微软正在收集哪些信息,以及他们如何将这些数据用于自己的目的。

此外,DSK批评将数据转移到美国,这使得美国当局可以获得这些数据。

“工作组与微软的讨论证实,根据合同规定,在任何情况下,当使用Microsoft 365时,个人数据将被转移到美国。使用Microsoft 365而不将个人数据转移到美国是不可能的”。

在结束对微软 “产品和服务数据保护附录 “的分析时,DSK建议私人用户也不要使用微软365,因为人们根本无法依赖微软以符合隐私要求的方式处理收集的信息。

相反,微软在DSK发布后立即发表了一份声明,认为有可能以合法的方式使用微软365。

Gmail被禁止在欧洲学校使用

在非常类似的决定中,荷兰和丹麦的隐私监督机构宣布在学校使用谷歌和Gmail也是非法的,原因是违反了GDPR。在这里阅读更多关于这些决定的信息。

微软已经在2019年被禁止

在2019年已经,黑森州的数据保护和信息自由专员得出了与刚才DSK对更新的微软附录的审查类似的结论

在2019年,有两个隐私问题被特别批评了。

  • 美国当局可以访问存储在欧洲云中的数据,而德国政府对此没有控制权。
  • 在Office 365和Windows 10中,大量的遥测数据被收集并传输给微软,而微软没有对记录和传输的内容给予满意的信息。

保护儿童的数据

对于黑森州数据保护和信息自由委员会来说,保护儿童的数据是第一位的。

“关键的问题是,作为公共机构的学校是否可以将(儿童的)个人数据存储在(欧洲)云端,比如说,可以被美国当局访问。德国的公共机构在处理个人数据的允许性和透明度方面负有特殊的责任”。

因此,数据专员认为,微软的数据处理是非法的。此外,这不能通过要求父母同意数据处理来帮助。这不符合《通用数据保护条例》(GDPR)第8条中关于儿童的特殊保护权利。

黑森州的专员还指出

”对微软来说是这样,对谷歌和苹果的云解决方案也是如此。这些供应商的云计算解决方案到目前为止还没有透明和可理解的规定。因此,对于学校来说,目前也确实无法实现符合隐私要求的使用”。

此外,像微软这样的公司已经成为黑客攻击的新闻,恶意攻击者获得了大量的数据—如果微软服务器上的数据被端到端加密,所有这些都是可以避免的。

对德国学校的影响

隐私问题是如此严重,以至于德国学校必须不再使用Office 365。

然而,很多学校,特别是贸易学校,使用Office 365为学生准备Word、Excel等办公工作。这些学校现在必须在本地系统上使用内部许可,而不是Office 365。

需要德国的替代方案

只使用Office 365进行电子邮件的学校也可以选择切换到安全的电子邮件服务,如Tutanota。在这里,所有的数据都被加密存储在德国的服务器上,尊重严格的德国隐私保护法,完全遵守GDPR

在未来,我们计划将我们的安全电子邮件服务(已经包含了地址簿和日历)扩展到一个完全加密的群件套件。我们需要一个德国或欧洲的大科技公司的替代品,以便学校和当局能够在云端安全地存储公民的数据。

tl:dr: DSK的出版物主要是向微软施加压力,要求其遵守德国的数据保护法规;而较少涉及德国的每个人使用其他服务。不过,如果有一个真正的微软、谷歌和苹果的替代品,那就更好了。这就是Tutanota现在正在建立的东西。从安全的电子邮件开始,Tutanota现在还提供一个加密的地址簿,一个加密的日历和加密的联系表格Secure Connect。更多的功能正在计划中,我们估计在几年内,我们将能够提供一个加密的团体软件套件,内置加密和最大限度地尊重隐私。