A Microsoft 365 betiltása Németországban: mit tegyenek a cégek?

Német zászló képe az épületek előtt a Köztársaság téren, Berlin, Németország.
Németország 2018-ban bejelentette a Microsoft 365 részleges betiltását, és azóta is fenntartja.
Forrás: Maheshkumar Painam az Unsplash.com-on keresztül

A közép-német Hessen tartomány helyi adatvédelmi hatósága (DPA) betiltotta a Microsoft 365 használatát iskoláiban, az adatvédelmi megsértések miatti aggodalmak miatt. A hatóság szerint a program beállításai a felhasználók programjaiból gyűjtenek adatokat. Ez egyértelműen ellentétes az EU Általános Adatvédelmi Rendelet (GDPR) politikájával.

A Microsoft 365-ről szóló vita már régóta Németországban zajlik. 2018-ban több állami bíróság, köztük a német szövetségi bíróság is megállapította, hogy a Microsoft megsértette a GDPR-hoz kapcsolódó helyi törvényeket. Innentől a Microsoft 365 tilalma Franciaországra is átterjedt. A tilalom elsősorban az oktatási intézményeket és az ezekkel a programokkal dolgozó cégeket érinti.

A Microsoft szerződést bont Németországgal

A tilalom azután történt, hogy a Microsoft megszüntette a német felhasználókra vonatkozó különleges megállapodást. A megállapodás értelmében a Microsoft engedélyezte Németországnak, hogy szervereit helyi szinten tartsa. Ez biztosította, hogy egyetlen felhasználói adat se hagyja el az országot.

Az Egyesült Államokban a szabályozás és a jogszabályi fejlemények megszűnése óta a Microsoft 365 három fő problémával szembesül az EU-ban:

  1. Az uniós hatóságok helyi szervereket kérnek
  2. Egy újonnan kihirdetett törvény értelmében az amerikai ügynökségek hozzáférhetnek az amerikai cégek szerverein tárolt felhasználói adatokhoz, még a nem amerikai állampolgárok adataihoz is.
  3. A Microsoft nem tudja garantálni a kiskorúak adatvédelmét

A GDPR értelmében a 18 éven aluli személyek nem járulhatnak hozzá adataik gyűjtéséhez. Még az ilyen adatokat tároló platformokon is lehetővé kell tenni az ügyfelek számára, hogy kérjék az iratok törlését.

Mivel a korábbi szerződések lejártak, a Microsoft már nem használja szigorúan az AVG-kompatibilis operátorok helyi szervereit. Ezenkívül az Egyesült Államok 2018. évi törvényes tengerentúli adathasználati törvénye (CLOUD Act) lehetővé teszi az egyesült államokbeli ügynökségek számára az amerikai vállalatok szerverein tárolt külföldi adatok keresését. Az adott körülmények között az egyetlen megoldás a termék betiltása volt, legalábbis minden kiskorú számára.

Az Európán belül működő cégek számára az a megoldás, hogy egy szervert szereznek be a helyszínen. Ellenkező esetben fennáll annak a veszélye, hogy megsértik a kiskorúak és más felhasználók magánéletére vonatkozó helyi és GDPR-törvényeket.

A Microsoft 365 tiltása a GDPR megsértése miatt

A Microsoft 2018 végén kijelentette, hogy a továbbiakban nem kizárólag a német telekommunikációs óriás, a Deutsche Telekom szerverein folytatja tevékenységét.

Bár a szerverek fizikailag európai vagy német területeken maradnak, a Microsoft mostantól tetszés szerint használhatja őket.

A probléma középpontjában a 2018-as US CLOUD Act és a GDPR közötti ütközés áll. A CLOUD törvény értelmében az Egyesült Államok kormánya és ügynökségei felhasználói adatokat kérhetnek az egyesült államokbeli székhelyű technológiai vállalatoktól, beleértve a nem amerikai állampolgárokat is.

Ez azt jelenti, hogy az egyesült államokbeli ügynökségek olyan szervereken tárolt információkat kaphatnak, amelyek fizikailag nem az Egyesült Államokban találhatók, és más joghatóság alá tartoznak. A törvény értelmében az Egyesült Államok bíróságai kérhetnek információkat magánszemélyekről. Ez szigorúan ellentétes a GDPR rendelkezéseivel.

Az új tilalom értelmében Németországban a cégek vagy intézmények ezért privát helyszíni szervereken tárolhatnak fájlokat. Ha a vállalatok nem teljesítik a követelményt, az Office 365 használata illegális lenne. Németországon kívül más országok bíróságai is törvénytelenné tették a Microsoft adatkezelési gyakorlatát.

Végül a megfigyelők bírálják a CLOUD-törvényt amiatt, ahogy az Egyesült Államok Kongresszusa elfogadta azt. Az Egyesült Államok Kongresszusa elfogadta a 2018-as összevont előirányzati törvénnyel, amelynek célja az embercsempészet megakadályozása volt. A kritikusok azzal érvelnek, hogy kevés képviselő volt hajlandó megvitatni az embercsempészetről szóló törvényt. Ez lehetővé tette a CLOUD törvénynek, hogy visszautasítsa ezt az érzést.

Egy Microsoft Windows for Mobile rendszert futtató okostelefon képe Office 365-alkalmazásokkal az előtérben.
A 2018-as CLOUD Act előírásainak a Microsoftnak eleget kell tennie, ha adatokat kérnek egy szervertől a világ minden tájáról.

A Windows lehet a következő

A Német Szövetségi Információs Hivatal (BSI, németül) már aggodalmának adott hangot amiatt, hogy a Windows 10 és 11 operációs rendszerek telemetriai adatokat gyűjtenek, beleértve a gépelési adatokat, sőt a beszéd-szövegké alakítást is.

Válaszul a német és francia állami iskolák Linux operációs rendszerre és más Office 365-alternatívákra váltottak oktatási igényeik kielégítésére. Másrészt a magániskolák a szülő kifejezett hozzájárulása után választhatják a Windows operációs rendszert.

A vállalatoknak biztosítaniuk kell ezen országok helyi és GDPR előírásainak betartását, ha folytatni kívánják az üzleti tevékenységet. Ellenkező esetben az EU elhatárolhatja magát a Windows és az Apple eszközöktől ezen adatvédelmi aggályok miatt.

Problémák a CLOUD törvény értelmében

A 2018-as CLOUD Act a kezdetektől fogva ellentmondásos volt mind az Egyesült Államokban, mind Európában. A törvénnyel szembeni amerikai kritikák a negyedik módosítás köré összpontosultak, amely védelmet nyújt a jogellenes kutatások és lefoglalások ellen. A törvény azonban lehetővé teszi az amerikai bíróságok számára, hogy felhasználói információkat kérjenek egy vállalattól az egyén tudta vagy beleegyezése nélkül.

Európában a vártnak megfelelően egyáltalán nem ment a törvény. Az európai törvényhozók azonnal hatályon kívül helyezték ezt a törvényt, hogy megvédjék az európaiakat az amerikai bíróságoktól, amelyek a polgárok tudta nélkül gyűjtenek, hozzáférnek és tárolnak személyes adatokat.

Ez a helyzet az olyan vállalatokat, mint az Apple, a Google, az Amazon vagy a Microsoft, a szikla és a nehéz hely közé helyezi. Ezeknek a vállalatoknak meg kell felelniük az EU GDPR-nak és az Egyesült Államok felhőtörvényének. Az egyetlen megoldás azonban az, hogy az EU-ban magánszervereket használnak a személyes adatok tárolására.

Egy érintőképernyős laptop képe, vicces címkével ellátott Microsoft Excel lappal.
Több vállalkozás támaszkodik az Office 365-re, mint azt a legtöbb ember gondolná, még az operációs rendszert és a felhőszolgáltatásokat is leszámítva.
Forrás: Windows az Unsplash.com-ról

Hosszú távú következmények

A világjárvány idején a felhő alapú szolgáltatások jelentős növekedésének lehettünk tanúi. A Microsoft Azure és az Amazon Web Services a legnagyobb globális felhőszolgáltatókként vezettek.

Ezek a vállalatok azonban jelentős akadályokkal szembesülnek az EU-ban végzett tevékenységeik előtt. A GDPR még az Egyesült Államok törvényét is sérti, amely előírja a vállalatoknak, hogy adatokat osszák meg az Egyesült Államok kormányával.

Az Európában tevékenykedő és bármilyen módon vásárlói információkat gyűjtő cégek számára ez nem sok jót ígér.

Mindenekelőtt a cégeknek problémái vannak annak garantálásával, hogy ne gyűjtsenek információkat kiskorúakról.

Mivel a diákok széles körben használják oktatási célokra a Microsoft-termékeket, különösen az Office 365-öt, a más típusú szoftverekre váltás komoly üzleti problémákat okozhat ezeknek a cégeknek.

Lehetséges megoldások

Előfordulhat, hogy Franciaországban és Németországban a közintézmények költségvetése szűkös ahhoz, hogy megkerüljék a tilalmat. Ezzel szemben a magáncégeknek és intézményeknek megvan a lehetősége arra, hogy nagyobb gond nélkül megfeleljenek a hazai szabályoknak.

Ezeknek a cégeknek és intézményeknek az egyetlen lehetőségük az, hogy helyszíni vagy helyi szervereket szerezzenek be az ügyféladatok tárolására. Az értékesítési, marketing- vagy médiavállalatoknak csak a belső eszközeiken kell tartaniuk az ügyfelek adatait, nem pedig a teljes beállításukon. Ez viszont jelentősen csökkenti ezen megoldások költségeit.

A lehetőség azonban pénzügyi és technikai akadályokat gördít az európai vállalkozók elé. Sokkal magasabbra teszi a vállalkozás indításának lécet is. A dropshipperek és más online vállalkozók esetleg az EU-n kívüli országokon kívül szeretnének üzletet kötni, hogy elkerüljék az esetleges akadályokat.

Leave a Comment

%d bloggers like this: