Neues Outlook sendet Passwörter, Mails und andere Daten an Microsoft!

"Microsoft krallt sich Zugangsdaten": Das IT-Portal "Heise Online" weist mit drastischen Worten darauf hin, dass hier eine Gefahr besteht. Geht es nach dem Willen von Microsoft, so sollen alle Windows-Nutzer auf die neueste Version von Microsoft Outlook umsteigen. Achtung: Dabei werden nicht nur die IMAP- und SMTP-Zugangsdaten des EKIR-E-Mail-Kontos an Microsoft übertragen, sondern es werden auch alle E-Mails auf die Microsoft-Server kopiert!

Hauptrisiko: Übertragung Ihrer Daten an Microsoft "Synchronisation mit dem Microsoft-Server" – und schon wird alles kopiert!

Bei der Einrichtung eines neuen Kontos in der Software bietet Microsoft eine vermeintliche Sicherheitsfunktion an: So heißt es, dass Nicht-Microsoft-Accounts mit der Microsoft-Cloud synchronisiert werden und dabei Kopien von "E-Mails, Kalender und Kontakten zwischen Ihrem E-Mail Anbieter und den Microsoft-Rechenzentren synchronisiert werden". Wer aufmerksam liest, wird stutzig werden. Aber wir alle wissen, wie leicht gerade bei der Einrichtung von Software vermeintliche Banalitäten ungelesen hingenommen und Hinweise weggeklickt werden. Angesichts der drastischen Folgen einer hier erteilten Zustimmung sind die Warn- und Aufklärungshinweise von Microsoft nicht sofort erkennbar. Den wenigsten Nutzern wird bewusst sein, dass sie Microsoft umfassenden Zugriff auf Passwörter, Mailbestand und anderes mehr gewähren.

Microsoft erhält vollen Zugriff auf Mails, Kalender und Kontakte!

Doch nicht nur Windows-Nutzer sind gefährdet: Betroffen sind auch die Outlook-Versionen für iOS, Mac und sogar Android, so Heise.

Das Risiko, das bei der Nutzung des neuen Outlook sensible Daten an Microsoft übermittelt werden, ist hoch! Zu diesen kompromittierenden Daten gehören nicht nur E-Mails, sondern auch Kalender- und Kontaktdaten.

Für alle Nutzer kann eine solche (auch ungewollte) Speicherung personenbezogener Daten im Übrigen einen Verstoß gegen die DSGVO darstellen. Schließlich handelt es sich bei der Speicherung der Daten in der Microsoft Cloud rechtlich um eine Datenverarbeitung. Diese erfordert den Abschluss eines Auftragsdatenverarbeitungsvertrages (AVV) mit Microsoft und ist von allen Stellen in den Datenschutzerklärungen und im Verarbeitungsverzeichnis als solche zu kennzeichnen. Dabei ist es unerheblich, ob dies bewusst durch die Leitung oder letztlich durch die unbedachte Einwilligung eines einzelnen Mitarbeitenden geschieht.

Quellen:

https://www.heise.de/news/Microsoft-krallt-sich-Zugangsdaten-Achtung-vorm-neuen-Outlook-9357691.html

https://www.heise.de/news/Microsofts-Outlook-Datenumleitung-BfDI-will-Bericht-von-EU-Datenschuetzer-9358371.html

https://mailbox.org/de/post/warnung-neues-outlook-sendet-passwoerter-mails-und-andere-daten-an-microsoft?nl=d

Resumé für den Datenschutz im Jahr 2022.

• dem BfDI wurden in 2022 10.658 Meldungen von Datenschutzverstößen zugetragen, hiervon 10.614 Meldungen nach Art. 33 DSGVO und 44 Meldungen nach § 169 TKG
• durch Bürger:innen wurden im Jahre 2022 6.619 Beschwerden und Anfragen an den BfDI gerichtet, die sich im Großteil aus 4.434 allgemeinen Anfragen und 2.115 Beschwerden nach Art. 77 DSGVO zusammensetzen

Lesen Sie die aktuellen Empfehlungen des Bundesdatenschutzbeauftragten: 31. Tätigkeitsberichts des BfDI

Was kann ich als Betroffener eines Datenleaks tun?

Wenn Sie begründeten Verdacht haben, dass sich unbefugte Dritte Zugriff auf eines oder mehrere Online-Konten verschafft haben, um zum Beispiel Ihre persönlichen oder sensible Daten zu entwenden, empfiehlt das BSI, folgende Schritte durchzuführen:

weiterlesen

Die Nutzung sozialer Medien gehört für viele Ärztinnen und Ärzte, Medizinstudierende sowie Patientinnen und Patienten mittlerweile zum Alltag. Soziale Medien können ein direktes Arzt-Patient-Gespräch sinnvoll ergänzen. Wichtig aber ist, bei der Nutzung sozialer Medien die ärztliche Schweigepflicht und den Datenschutz stets zu beachten.

Weiterlesen

Erhebt der Arbeitgeber Notfallkontaktdaten seiner Mitarbeiter, so muss er auch dabei den Datenschutz beachten. Als erstes wird die Rechtsgrundlage festgelegt. Dies kann die Einwilligung nach Art. 6 Abs. 1 lit. a sein. Die Einwilligung kann aber nur vorab, freiwillig und in informierter Weise von der Notfallkontaktperson abgegeben werden. Dafür muss der Betrieb die betroffene Person, dokumentiert, nach Art. 13 DSGVO belehren. Die Einwilligungserklären muss schriftlich im Betrieb eingehen.

Um die Notfallkontaktperson nach Art. 13 DSGVO zu informieren und eine Einwilligung einholen zu können müssen also vorab Kontaktdaten eingeholt und verarbeitet werden.

Zu beachten ist hier, dass die Notfallkontaktperson die Möglichkeit hat, seine Einwilligung für die Zukunft zu widerrufen. Dies geschieht normalerweise aber nur aus einem wichtigen Grund, z.B. nach einer Trennung.  

Eine andere Möglichkeit wäre die Interessenabwägung nach Art. 6 Abs. 1 lit. f. Die Interessen des Mitarbeiters in Not und die seines Arbeitgebers ihm in der Not helfen zu können, sind höher zu bewerten, als der Name und die Telefonnummer der Notfallkontaktperson.  

Der praktikabelste Weg wäre die Notfallkontaktdaten im Rahmen der Interessenabwägung direkt bei dem Beschäftigen zu erheben und der Notfallkontaktperson die Informationspflichten nach Art. 14 DSGVO durch den Beschäftigten zukommen zu lassen. So müssen keine weiteren Daten (Andresse oder E-Mail-Adresse) von der Notfallkontaktperson erhoben und gespeichert werden. Zu Dokumentationszwecken, sollte der Beschäftigte schriftlich bestätigen, dass er das Informationsschreiben an seine Notfallkontaktperson übergeben hat.

Zu beachten wäre auch hier: Die Kontaktperson kann nach Art. 21 Abs. 1 Satz 1 DSGVO der Verarbeitung widersprechen.

Manch einer meint, es handelt sich um alltägliche Nachlässigkeiten, die nun mal passieren können in einem hektischen Arbeitstag. Was aber, wenn sich die Nachlässigkeiten häufen? Was passiert, wenn der Mitarbeiter bereits mehrfach darauf hingewiesen oder sogar verwarnt wurde?

Das LAG Sachsen (9 Sa 250/21) hat am 7.4.2022 zur Frage entscheiden, inwiefern Verstöße gegen organisatorische Maßnahmen des Arbeitgebers eine Kündigung rechtfertigen.