Microsoft a GDPR: Ze vill User-Date gi gespäichert

Den 20. Dezember 2018 gouf an Holland d’Parlament vun der Regierung doriwwer informéiert, datt d’Produite vu Microsoft, déi op villen Aarbechtsplaze vum hollännesche Staat agesat ginn, onnéideg vill Date gesammelt a gespäichert hunn an domadder géint d’Rechter, déi de GDPR virgesäit, verstouss hunn. Betraff si Computere mat Windows 10 Enterprise, Office 365 ProPlus, Office Online an Apparater mat mobillen Office Applikatiounen.

Tëscht Dezember 2018 a Juli 2019 goufen tëscht Microsoft an der hollännescher Regierung doropshin nei “Terms & Conditions”, also Benotzungsbedéngungen, ofgeschloss, esou dass d’Benotzer vun 300.000 Computeren aus dem Staatsapparat nei Konditioune kruten, wärend Schoulen, Gemengen an natierlech och privat User ëmmer nach vun den illegalen Datespäicherunge betraff sinn. En DPIA (Data Protection Impact Assessment), deen den 29. Juli 2019 publizéiert gouf, koum iwwerdeems zum Schluss, datt d’Ännerungen, déi Microsoft op Basis vum Drock vun der hollännescher Regierung virgeholl huet, nach net duerginn, fir all Risiken ze miniméieren. 

Zu Lëtzebuerg ginn an de Verwaltunge vun de Ministèren an och am Enseignement – wou och mannerjäreg Schüler(innen) ob betraffene Computere schaffen – Produite vu Microsoft agesat, sou wéi de Minister fir Bildung et op verschiddenste Plazen och scho confirméiert huet. Aus deem Grond hun mir de Ministeren fir Digitalisatioun, Bildung & Ëffentlechen Déngscht eng parlamentaresch Fro gestallt mat folgende Punkten:

  • Wéi eng Versioune vu Microsoft-Produiten (Betribssystemer, Office Applikatiounen, Mobil Applikatiounen) si bei Ministèren a Verwaltungen an och an de Schoulen aktuell am Asaz? Ginn dës Produiten a Lizenzen zentral akaaft?
  • Wéi vill Lizenze vun all Produit sinn zum 1. August 2019 am Gebrauch, respektiv engem Benotzer attribuéiert ginn (w.e.g. als Tableau mat der Unzuel u Lizenzen an dem Numm vum Produit opgefouert)?
  • Den Artikel 35 vum GDPR gesäit fir, dass DPIAs mussen duerchgefouert ginn.
    • Goufe fir d’Produite vu Microsoft sougenannten DPIAs (Data Protection Impact Assessments) a Schoulen duerchgefouert?  Falls jo; a wéi engen a wou kann een d’Resultater vun dësen Analyse gesinn?
    • Goufe fir d’Produite vu Microsoft sougenannten DPIAs (Data Protection Impact Assessments) an de Ministèren an Administartiounen duerchgefouert? Falls jo; a wéi engen a wou kann een d’Resultater vun dësen Analyse gesinn?
    • War d’CNPD un der Ausféierung vun den DPIAs bedeelegt? 
    • Wéi eng Roll spillt de CTIE bei der Evaluatioun vu Risiken an dem Erstelle vun DPIAs am Kontext vun Datespäicherungen duerch auslännesch Softwareentwéckler?
  • Besteet e spezielle Kontrakt, fir ofgeännert Benotzungsbedéngungen tëscht dem lëtzebuergesche Staat a senge Verwaltungen a Ministèren op der enger Säit a Microsoft op der aner Säit nom hollänneschem Virbild ze garantéieren?
    • Wa jo, wéi eng speziell Klausele goufe geännert?
  • Fir de Fall, wou keng besonnesch Benotzungsbedéngungen ausgehandelt goufen: Kann d’Regierung affirméieren, datt d’Benotzungsbedéngungen, genee wéi d’effektiivt Verhalen vun den Applikatiounen konform mam GDPR ass – an dat fir all Microsoft-Produit, deen a Verwaltungen, Ministèren oder an de Schoulen am Asaz ass?
    • Wa jo: Wouranner ënnerscheet sech der Regierung hir Aschätzung vun där vun der hollännescher Regierung?
    • Wann nee: Wéi eng Ännerunge plangt d’Regierung, fir hei eng Konformitéit mam GDPR duerchzesetzen?
  • Wéi kënne Konsumenten zu Lëtzebuerg, déi net duerch e spezielle Kontrakt u Microsoft gebonne sinn, respektiv, Schülerinnen a Schüler (bei deenen zum Deel nach eng Awëllegung vun den Elteren erfuerderlech ass, wann online Date gespäichert ginn) hir Rechter aus dem GDPR vis-a-vis zu Microsoft duerchsetzen?
  • Wéi garantéiert d’Regierung d’Recht op Privatsphäre vu Staatsbeamten an -employéeë konform zum GDPR, wann dës am Kader vun hirer Aarbecht Software vu Microsoft benotzen?
  • Falen d’Daten, déi vun dësen Applikatioune gesammelt, stockéiert an an d’Ausland transferéiert ginn, ënnert de sougenannten “Privacy Shield”?
  • Wéi schätzt d’Regierung de Risiko an, datt de “Privacy Shield”, deen aktuell virun der CJUE verhandelt gëtt, kéint kippen? Wéi ass d’Regierung ob méiglech Uerteeler vun der CJUE virbereet?
  • Ech wéilt der Regierung folgend Froen iwwert d’Konformitéit vun aktuell agesate Microsoftproduiten mam GDPR stellen. Natierlech steet all Fro ënnert der Viraussetzung, datt de Produit aktuell an ëffentlechen Ariichtungen am Asaz ass – sollt dëst net de Fall sinn, ka selbstverständlech op d’Beäntwere vun der Fro verzicht ginn:
    • Gëtt prinzipiell d’Versioun 1905 oder méi eng héich Versioun vum Office 365 ProPlus agesat?
    • Ass beim Office 365 ProPlus d’Telemetrie op “Neither” agestallt?
    • Si beim Office 365 ProPlus déi sougenannten “Controller Connected Experiences” desaktivéiert?
    • Ass den “Customer Experience Improvement Program (CEIP)” am Office desaktivéiert?
    • Ass d’LinkedIn Integratioun am Office desaktivéiert?
    • Gëtt et e Memo fir d’Utilisateure virun de Risiken, déi den hollänneschen DPIA bei mobillen Office Applikatiounen an den “Controller Connected Experiences” am Office Online entdeckt huet, ze warnen?
    • Ginn d’Employéen an d’Fonctionnairen an hire Kontrakter respektiv an de Benotzungsbedéngungen explizit op d’Dateveraarbechtung duerch Microsoft higewisen?
    • Kënne Persoune fir de Staat schaffen, wann si engem Datentransfert an d’USA respektiv u Microsoft widderspriechen?
    • Gëtt Windows 10 Enterprise a mindestens der Versioun 1903 mat der Telemetrie-Astellung “Security” benotzt?

Zesummenhang posts

Kaderprogramm Péiteng 2023
Mam Gesetz vum 2ten November 2021 ass eng EU-Direktiv ëmgesat ginn, iwwert d’Kontroll vun der Proportionalitéit beim Accès zu verschiddene Beruffer. Am Mäerz 2023