Ich sehe übrigens einen Ausweg aus dem Problem:

Wenn man schon nicht bereit ist, auf die ausschließliche Microsoft-Bindung zu verzichten, dann gäbe es da noch eine weitere Möglichkeit, die die Telekom vor einigen Jahren einmal vorgeführt hat. Leider wurde das wieder eingestellt.

Die Telekom hatte in Kooperation mit Microsoft ein eigenes, auch physisch gut gesichertes Rechenzentrum betrieben. Dort liefen die normalen Microsoft Cloud Dienste. Aber ohne Eingriffsmöglichkeit durch Microsoft. Nur von Telekom-Mitarbeitern administriert und vor Zugriffen durch Microsoft geschützt.

Das war im Vergleich zu den Microsoft-Tarifen gar nicht mal soo teuer, wie ich es erwartet hätte.

Trotzdem wurde das Ganze relativ schnell, vermutlich mangels Nachfrage, wieder eingestellt.

Aber genau solche eine Lösung würde ich von Datev für seine Mitglieder erwarten, wenn es schon Microsoft 365 sein muss.

Lustiger Link von Datev zur "Hilfestellung zu technischen Lösungsansätzen"

In dem PDF von Datev findet sich am Schluss folgender Absatz, den ich als Hilfestellung für Steuerberater auffasse, die keine Ahnung haben, was sie nun tun müssen, um Office 365 legal zu nutzen:

Zitat:

"Anwender:innen sollten nach alledem eine sorgfältige Dokumentation ihrer konkreten Nutzung von
M365 inklusive der technischen, organisatorischen sowie vertraglichen Maßnahmen zur
Risikoreduzierung vornehmen, um ihrer Rechenschaftspflicht aus Art. 5 Abs. 2 DS-GVO Genüge zu tun.

Eine Hilfestellung zu technischen Lösungsansätzen bietet eine Veröffentlichung des LfDI Rheinland-
Pfalz10, mit der Zielsetzung, eine Übermittlung personenbezogener Daten in ein Drittland zu reduzieren.

DATEV wird die weiteren Entwicklungen unverändert intensiv beobachten und über Fortschritte an passender
Stelle berichten bzw. in Hinweise zum Thema aufnehmen. Wir hoffen, dass die aktuelle, für die Praxis sehr
schwer zu behandelnde Situation durch das Handeln der unmittelbar relevanten Player so schnell wie möglich
überwunden werden kann."

Folgt man nun dem Link aus der zugehörigen Fußnote 10 dieser Seite:

Vgl. https://www.datenschutz.rlp.de/themen/microsoft-office-365.

So gelangt man auf die Seite des "Landesbeauftragten für den Datenschutz und die Informationsfreiheit Reinland-Pfalz.

Dort gibt es direkt auf der Seite eher ein paar unwichtige Tips (Cloud selber hosten (was bei 365 gar nicht möglich ist, Telemetriedaten deaktivieren usw. - was aber alles eher zweitrangig ist.

Weiterhin gibt es drei verlinkte PDFs:

Die erste Seite des ersten PDFs aus Ende 2022 spricht Bände:

Zitat:

"Festlegung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden
des Bundes und der Länder

Stand: 24.11.2022

1. Die DSK nimmt den Bericht der Arbeitsgruppe DSK „Microsoft-
Onlinedienste“ und dessen Zusammenfassung zur Kenntnis.
2. Die DSK stellt unter Bezugnahme auf die Zusammenfassung des
Berichts fest, dass der Nachweis von Verantwortlichen, Microsoft 365
datenschutzrechtskonform zu betreiben, auf der Grundlage des von
Microsoft bereitgestellten „Datenschutznachtrags vom 15.
September 2022“ nicht geführt werden kann.
Solange insbesondere die notwendige Transparenz über die
Verarbeitung personenbezogener Daten aus der
Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt
und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis
nicht erbracht werden.
3. Für eine vertiefte Bewertung der Gesprächsergebnisse stellt die DSK
die beigefügte Zusammenfassung der Arbeitsgruppenergebnisse zur
Verfügung.
Anlagen: Zusammenfassung des Berichts der Arbeitsgruppe"

Im zweiten Dokument von 2020 (Reaktion auf Microsoft) wird es etwas unübersichtlicher, denn im Endeffekt wird zu vielen Einzelpunkten, bei denen Microsoft nachgebessert haben will, gesagt, dass sie ungeklärt bleiben oder "keine signifikanten Nachbesserungen" festgestellt werden konnten. Der Text strotzt von fett markierten Stellen wie "keine substantiellen Verbesserungen", "keine Anpassungen an den tatsächlichen Verarbeitungen", "weiterhin unklar", .. usw usf.

Auf diese beiden Dokumente wollte Datev vermutlich eher nicht verlinken, sondern auf das dritte Dokument dieser Seite:

"Handreichung für die Verantwortlichen zum Abschluss eine Auftragsdatenverarbeitung gem. Art. 28 Abs. 3 DSGVO mit Microsoft für den Einsatz von Microsoft 365".

https://www.datenschutz.rlp.de/fileadmin/datenschutz/Dokumente/Orientierungshilfen/Handreichung_MS_365_Stand_24.08.2023_RLP.pdf

Da wünsche ich erst mal viel Spaß beim Lesen 🙂

Aber um es mal möglichst kurz runterzubrechen:

Da wird zunächst wiederholt, dass Ende 2022 (obiges Dokument) festgestellt wurde, dass die Standardvereinbarung nicht den Anforderungen ... entspricht und ... der Nachweis der Rechtmäßigkeit nicht erbracht werden kann.

Und nun folgt die Fragestellung, was das für öffentliche und nicht-öffentliche Stellen bedeutet, wenn sie ein Microsoft 365 Produkt erwerben. Der Rest des Textes befasst sich mit dieser Frage.

Im Prinzip wird dann erörtert, was man wie handhaben müsste und was Microsoft zusichern müsste, und was auf keinen Fall erlaubt ist. Das jetzt hier alles wiederzugeben, sprengt völlig den Rahmen. Und ich bezweifle, dass ein Steuerberater mit Microsoft einen passenden Vertrag oder auch nur die angesprochene Zusatzvereinbarung abschließen kann.

Und dann steht auch noch dieser Satz in dem Dokument:

"Ferner ist zu beachten, dass aufgrund der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO jede
vertraglich vereinbarte Verpflichtung auch nachweisbar umgesetzt werden muss. Die Nach-
weispflicht liegt beim Verantwortlichen, Microsoft sollte hier in der Praxis aber entsprechende
Hilfestellungen bereitstellen."

Sprich, der Steuerberater muss es nicht nur schaffen, mit Microsoft überhaupt solche Zusatzvereinbarungen abzuschließen, er muss die Einhaltung auch noch selbt überprüfen - bzw. wenn sie nicht eingehalten werden, ist er mit haftbar - nicht nur Microsoft allein.

Na, noch ein zweites Mal viel Spaß.

In meinen Augen nimmt Datev das alles nicht ernst genug.

Allein schon die Verlinkung auf diese 3 Dokumente unter dem Hinweis einer Hilfestellung, was der Steuerberater konkret zu tun hat, ist ja fast eine Frechheit - sorry. In Wirklichkeit erfährt man dort, dass man Office 365 eigentlich gar nicht nutzen darf, und wenn doch, unter nicht erfüllbaren Prämissen - allein nur von Microsoft-Seite her.

Ich will einzelne Punkte der vorgetragenen Einwände gar nicht in Abrede stellen, aber die Überschrift

mit dem Zwang zu Microsoft 365

stimmt so nicht. Das Steuerbüro kann jeden Mailprovider oder Mailserver seiner Wahl einsetzen.

Um die Datev Schnittstellen zu nutzen ist jedoch notwendig Microsoft Office zu nutzen. Das kann nach heutigem Stand ein Office 2021 oder Office 2024 sein (Office 2016 und 2019 fallen ja mit "DVD" 19 raus), aber nicht zwangsweise ein Office aus der M365 Welt.

OK,

danke für diesen Hinweis. Das war mir gar nicht klar.

Wenn es tatsächlich so ist, dass man gar kein Microsoft 365 benötigt, zumindest nicht die Online-Dienste, um Datev "normal" benutzen zu können, dann ist ja alles gut.

Ich frage mich dann nur, warum Datev seine Kunden dann dermaßen mit dieser Microsoft 365 Problematik behelligt, wenn man einfach nur zu einem passenden deutschen Mailprovider wechseln müsste und alle Probleme in dieser Richtung würden gar nicht erst entstehen.

Als Antwort auf diese Frage *vermute* ich, dass langfristig eine Integration mit Microsofts Webdiensten geplant sein könnte...  ;-(

Aber dann hat man zumindest noch Zeit und kann erst einmal abwarten, wie sich das mit dem Datenschutz bezüglich Microsoft so entwickelt, wenn man erst einmal nur einen deutschen Mailanbieter sucht.

---

@TobiasX  schrieb:

wenn man einfach nur zu einem passenden deutschen Mailprovider wechseln müsste

---

Um den Provider geht es da ja nicht mal, sondern um die Mail-Software (sowohl Server- als auch Client-seitig). Ich kann auch bei Strato einen Exchange laufen haben oder bei einem US-Hoster einen Postfix. Und dem Server ist wiederum egal, ob ich meine Mails mit Outlook oder Thunderbird abrufe.

Die Kombination Exchange/Outlook bietet halt einen deutlich größeren Funktionsumfang bzw. ich muss weniger manuell und zusätzlich einrichten, weil sie nicht auf Standard-Schnittstellen und -Protokolle beschränkt sind. Und DATEV fokussiert sich leider auch ausschließlich darauf.

Einerseits nachvollziehbar, weil jeder Mail-Server und -Client andere APIs für Drittprogramme bietet und man nur so viele Schnittstellen parallel pflegen kann. Andererseits wäre es schon besser, wenn man sich vom Monopolisten aus Übersee losmachen und stattdessen eine/n europäische/n Anbieter/Software unterstützen könnte. Stichwort digitale Souveränität. Das macht in der Umstellung natürlich erstmal Mehrarbeit, hilft langfristig aber dabei die immer wieder geforderten europäischen Alternativen zu … aufzubauen und stärker zu machen. Und DATEV dürfte, selbst als reiner Kunde, dort deutlich mehr Einfluss haben als bei Microsoft.

---

@rschoepe  schrieb:

---

@TobiasX  schrieb:

wenn man einfach nur zu einem passenden deutschen Mailprovider wechseln müsste

---

Um den Provider geht es da ja nicht mal, sondern um die Mail-Software (sowohl Server- als auch Client-seitig).

 

Naja, aber Outlook Classic gibt es ja noch bis 2029.

D.h. mit dem Wechsel zu einem deutschen Mailprovider könnte man dann erst einmal so lange noch seelenruhig abwarten, bevor man sich in diese zurzeit völlig ungelöste Rechtslage hineinbegibt.

Wann stellt Datev eigentlich seine Mailserver ab?

Office 2024 & das klassische Outlook werden noch für einige Jahre verfügbar sein (Support-Ende 2029) und werden von DATEV unterstützt.

Der Support für Exchange Server 2019 endet im Oktober 2025. Als Nachfolger gibt es hier Exchange Online (DSGVO-Probleme identisch mit M365) oder die "Exchange Server Subscription Edition". Ein lokaler Exchange, der aber ebenfalls über ein Abo-Modell abgerechnet wird. Eine Info, ob es eine weitere Kaufversion für Exchange geben wird, gibt es aktuell nicht.

Mit Office 2024 und Exchange Server Subscrition Edition kann man also noch mindestens bis 2029 die Microsoft Office Programme (inkl. Exchange Server) lokal betreiben, ohne sich um die M365 Probleme Gedanken machen zu müssen.

Es wäre schön, wenn DATEV diese Zeit nutzen würde um Alternativen aufzubauen. Sonst stehen wir 2029 wieder vor der Frage. Und dann haben wir sicher keine Alternative mehr bei Microsoft.  

---

@olafbietz  schrieb:

Es wäre schön, wenn DATEV diese Zeit nutzen würde um Alternativen aufzubauen. Sonst stehen wir 2029 wieder vor der Frage. Und dann haben wir sicher keine Alternative mehr bei Microsoft.  

---

Man sollte sich gedanklich davon verabschieden, dass es eine ernsthafte Alternative zu Microsoft gibt. Diese Gelegenheit hätte man vor Jahrzehnten noch verfolgen können. Aber es wird keinen Weg an Microsoft vorbei geben.

2029 ist nicht mehr lange hin. Allein das Auslaufen der SQL-Lizensierung ist schon ein Indiz dafür, dass es hier keine Lösung geben wird, außer dem Weg in die Cloud. Und das auch für die Officeprodukte. 

Man sollte sich gedanklich davon verabschieden, dass es eine ernsthafte Alternative zu Microsoft gibt. Diese Gelegenheit hätte man vor Jahrzehnten noch verfolgen können. Aber es wird keinen Weg an Microsoft vorbei geben.

Ja, wer sich ergibt hat schon verloren. 

Dadurch dass DATEV weiter ausschließlich auf MS setzt, nimmt DATEV auch billigend in kauf, dass MS eines Tages sagt: nur noch 365.   

Und ich habe mal von einem Prof gelernt: Vorsatz heißt, mit Wissen und Wollen, Absicht ist nicht erforderlich, ein billigendes Inkaufnehmen genügt.

Ich bin kein Jurist. Wenn Microsoft nach 2029 nur noch 365-Produkte anbietet und DATEV MS 365 dann voraussetzt, wird der Datenschutz dadurch nicht vorsätzlich missachtet (=strafbar)? 

DATEV schreibt doch sowieso alles neu. Kann man da nicht auf offene Standards setzen? Wie war das noch mit Silverlight bei DUO? Ups, von MS abgekündigt. Wir müssen schnell alles neu schreiben. Wieso lernt niemand daraus?

Moin Moin,

@TobiasX
Es stimmt, prinzipiell ist der Einsatz von M365 möglich.
Sowohl wenn der Verantwortliche einen Dreck um die Folgen schert.
Als auch (wesentlich seriöser) durch flankierende Massnahmen. Z.B. nicht die Webversionen nutzen, die verbundenen Optionen abschalten, das Roaming von Einstellungen und Daten zu unterbinden u.a.m. Die Datev-Programme können damit gut leben.

Es stimmt nicht, dass es den Anwenderinnen und Anwendern obliegt die datenschutzkonforme Anwendung sicherzustellen und zu dokumentieren. Das ist Aufgabe des Verantwortlichen, hier die Kanzleiinhaber.
Unterstützung bekommen diese durch den betrieblichen Datenschutzbeauftragten, der bereits seit Mai 2018 dem Landesdatenschutzbeauftragten gemeldet sein muss. Ausnahme: sehr kleine Kanzleien mit weniger (wenn ich mich recht erinnere) als 10 Personen.

Die Mär von MS Irland ist save wird vor allem von MS selber propagiert. Durch den Cloud Act ist es im Grunde egal wo ein MS-Server steht. Obwohl ich gestehe, mir ist ein Server in West- und Nordeuropa schon lieber. Ob nun US-Behörden direkt Daten ziehen können oder MS diese ihnen liefert (also die Behörden über einen Umweg die Daten ziehen), ist egal. Da MS auch verboten werden kann, den Datenabzug nachträglich den Betroffenen mitzuteilen, ist der erneute Angemessenheitsbescheid der EU-Kommission auch nicht vor Gericht haltbar. Hilft aber bis zur Nichtigkeitserklärung als juristische Begründung.

Allerdings nur solange, bis ein in einem Verfahren darauf an kommt, hätte der Verantwortliche nicht prüfen müssen, ob MS wirklich datenschutzkonform Daten verarbeitet. Und dann wird geprüft: Welche Massnahmen wurden ergriffen, Welche Informationen hat MS bereitgestellt, waren diese wirklich ausreichend (was sie m.E. nicht sind und nie sein werden, weil MS Verknüpft, Verbindet, per Default in die Cloud hochlädt, dass sie selber nicht den für den Datenschutz notwendigen Dokumentationsaufwand bewältigen können - und so wie MS sich darstellt dies auch nicht will - halt ein Unternehmen, das Gewinne machen will). Angesicht all dieser vielen Lecks in die Cloud, die wirklich nicht einfach zu beherrschen sind (und auch das halte ich für Absicht), kann sich m.E. kein Verantwortlicher vor der Verantwortung, tiefer nachzuprüfen und dies zu dokumentieren drücken kann.
Sprich: Zur Nutzung sind halt zusätzliche Massnahmen notwendig.
(Ist etwas länger, aber ich hoffe damit vielleicht den "Nichtprofis" unter den Verantwortlichen etwas Hintergrundwissen zu geben.)

Ungerechtfertigte MS-Sperren führen zu Schadenersatzklagen. Doof nur, das für MS die Kosten erstmal keine Rolle spielt, was erst bei wirklich großen Kanzleien ein handlebares Risiko darstellt. Hier ist es an dem Gesetzgeber, endlich dieses teilweise extreme Ungleichgewicht auszugleichen. Alternativ: Vernetzung! Kanzleien organisieren sich in Sammelklagen.
Das Gelbe vom Ei ist das nicht gerade (viel Ärger und das Problem, dass das Bündnis aufgespalten werden kann auf Grund der riesigen Ressourcen von MS). Aber: Es kann schon funktionieren.

Datev hat sich halt fest an MS Office gebunden und kommt heute da kaum mehr raus. Datev muss alle Anwendungen in die Cloud kriegen in den nächsten Jahren. Laut Datev 3 Jahre, was meiner Ansicht nach nicht nur "ambitioniert" (so die Datev) ist, sondern m.E. nicht möglich ist, ohne mit erheblichen Funktionsverlust. Ich lasse mich aber gerne positiv überraschen!

Die "MS-Telekom-Cloud":
In der Tat, so könnte es gehen. Seinerzeit ist das Projekt eingestampft worden, weil die Unternehmen die höheren Kosten gescheut hätten, also mangels zu geringem Geschäfts. Ob das stimmt, weiß ich nicht, denn um die Zeit herum gab es halt die US-Gesetzgebung rund um den Cloud-Act. Mag sein, dass MS da Druck bekam.
Heute wird diese Lösung sicher nicht mehr möglich sein. Nicht weil MS nicht will, sondern weil sich MS den Interessen der US-Administration (auch der einzelnen Staaten) beugen muss.

Zitat: "... jede vertraglich vereinbarte Verpflichtung auch nachweisbar umgesetzt werden muss. Die Nachweispflicht liegt beim Verantwortlichen, ..."
Korrekt! Am Ende bleibt es am Kanzleiinhaber hängen und die einzig relevante Frage lautet: "Welche Massnahmen hat er dafür ergriffen bzw. implementiert."

Zitat: "Wenn es tatsächlich so ist, dass man gar kein Microsoft 365 benötigt, zumindest nicht die Online-Dienste, um Datev "normal" benutzen zu können, dann ist ja alles gut."
MS365 geht auch on premise, dann kann man vieles Abschalten und so den Datenschutz vornehmen. Problem ist nur, MS stellt, wo es nur kann, Online als 1. Option ein und so meine Erfahrung leider, hat einige Mechanismen eingebaut, damit der Anwender zu seinem Online-Glück gezwungen wird.
Was ich letzten Monat erlebt habe, war, auch mit Gruppenrichtlinien lässt sich das nicht einfach zähmen. (Oft dachte ich, die eingestellten GPOs würden von MS einfach ignoriert!)

Zitat (@olafbietz): "DATEV schreibt doch sowieso alles neu. Kann man da nicht auf offene Standards setzen? "
Exakt! Datev, zweigt einen Teil der Resourcen ab für den MS-Alternativen. Gerade heute gab es im Heise-Ticker die Meldung, IONOS und Nextcloud wollen eine 365-Alternative entwicklen durch Nutzung von Open Source Software. Schleswig-Holstein migriert zu Open Source. Sie machen's nicht HauRuck, das macht mir Hoffnung. Dänemark interessiter sich inzwischen für den SH-Weg! Was in den USA schon in den letzten 20 Jahren passiert ist, zeigt einen Trend, der jedem (von Staaten bis zur kleinen Kanzlei) alle Warnglocken klingeln lassen sollte.

Ich entschuldige mich für den langen Text!
Ich bin auch niemanden Gram, der nur querliest, oder ob der Länge einfach zum nächsten Beitrag springt.
Kenne ich von mir genauso. Doch wenn es für jemanden interessant ist: Gerne geschrieben!

QJ

Moin und sorry, ein Nachtrag.

Ich habe mir die Stellungnahme der Datev gerade angeschaut.

Ich denke, Datev interpretiert die Aussage:
„[…] Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der Nachweis von
Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von
Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann.
[…]“
nicht ganz korrekt.

Einmal: Wenn die damalige Erklärung von MS nicht ausreicht, dann bedarf der Einsatz zusätzliche Massnahmen vom Verantwortlichen, die den Datenschutz sicher stellt.

Es gibt neuere DPAs. Bleibt aber die Prüfpflicht des Verantwortlichen. Nur weil MS etwas neu formuliert und/oder erweitert, ist der Verantwortliche nicht von der Prüfung enthoben.
Ich meine: hätte Datev dazu schreiben sollen!

Nicht das gesamte Vertragswerk wurde geprüft: Ist kein Freifahrtschein für den Verantwortlichen. Der muss es tun, und wenn er es nicht kann, muss er eigentlich von der Nutzung Abstand nahmen, da er nicht die datenschutzkonforme Anwendung garantieren kann. Zumidest aber zusätzlich Massnahmen ergreifen

Außerdem, liebe Datev, der Absatz suggeriert, dass bei vollumfänglicher Prüfung, die Nutzung ohne zusätzliche Schutzmassnahmen wohl (sprich sehr wahrscheinlich) erlaubt seien.
Das ist m.E. reines Wunschdenken.

Zu Punkt 3 nur soviel: Eure eigenen Leute haben bei Datenschutzwebinaren etwas ganz anderes gesagt, bis hin zur Pflicht des Verantwortlichen, alle Auftragsverarbeiter von MS, deren Auftragsverarbeiter usw zu prüfen. Dass dies real nicht machbar ist, wissen wir alle. Gerade deshalb sind zusätzliche Massnahmen zum Datenschutz jenseits von MS als Auftragsverarbeiter unbedingt notwendig.

BTW, MS musste sich 2018 und wohl auch danach, teilweise auch als Co-Verantwortlicher Verträge schließen. Die damaligen Argumente gelten heute m.E. immer noch.

Zitat: "... Microsoft stelle die nötige Transparenz über Verarbeitungstätigkeiten durch
umfangreiche Dokumentation her, ..."
In der Tat hat die Dokumentation seit 2021 stark zugenommen. Und das auch gut. Aber auch ausreichend? (Da habe ICH immer noch Zweifel.)

"... die teils für die Öffentlichkeit und teils nur für Kunden zugänglich sei."
D.h., ich kann die Prüfung auf Datenschutzkonformität vor einer Geschäftsbeziehung gar nicht durchführen.
Frage des IT-lers und leider Nicht-Juristen: Sind denn alle Informationen zu dem Produkt, die ich erst nach Vertragsabschluss erhalte, überhaupt juristisch relevant? Alarmglocken!!!
Ich kaufe ein Kätzchen und eines im Sack, von dem ich nicht weiß, ob es nicht ein Tiger ist.

zu den "Business Operations Whitepapers":
(i) Quelle "Entscheidung der Vergabekammer ...": Auf der verlinkten Webseite sehe ich wenige und kein "DSGVO" oder "BDSG"
Ich kann mich an einen C't Artikel erinnern (es ist so in meinem Gedächtnis gespeichert), in dem als Beispiel die Ausbootung von Siemens durch eine US-Firma in einem Angebotsverfahren geschah, wo sich das Unterbieten des Siemens Angebotes klar auf Wissen von US-Geheimdiensten zurückführen lies.
Wo kommen die Informationen her ...

(Selbst nicht von MS, die Büchse der Pandora ist damit geöffnet. Alle Informationen die US-Dienste erlangen können gegen uns verwendet werden. Spionage nannte dies einmal.)

"der Auftragsverarbeiter sei in diesem Fall vielmehr seinerseits einem Datenzugriff passiv
ausgesetzt, wohingegen die Übermittlung bzw. Verarbeitung gerade sein aktives Tun voraussetze."
Hilft dem Verantwortlichen nicht, da heißt die Frage nur: Warum hast du diesen möglichen Zusammenhang ignoriert"

(ii) "...Angemessenheitsbeschluss aufgrund Grundlage des sog. „EU-U.S.
Data Privacy Framework“ 5 ergangen. Damit ist einerseits eine Übermittlung in die USA an dort entsprechend zertifizierte Unternehmen 6 in dieser Hinsicht wieder unproblematisch möglich."
Ist es eben nicht! Der Verantwortliche hat nicht nur die formalen, sondern die auch die realen Auswirkungen und nicht datenschutzkonformen Möglichkeiten zu beachten. Der DPF ist leider nur eine Fassade, die mit der nächsten Klage dagegen wieder zusammenbrechen wird. Da muss man kein Prophet sein.

(iii) "Microsoft hat seine sogenannte „EU Data Boundary“ implementiert, die zu einer signifikanten
Reduzierung der Datentransfers außerhalb der EU/ des EWR führen soll."
Was völlig irrelevant ist. Der Cloud-Act gilt global.

MS auf den PR-Leim gegangen meine ich.

(iv) Mir fällt auf, dass eine Nutzung für KI-Training damit nicht ausgeschlossen wird.

(v) Wer dies nicht versteht, ist keine Schande. Was da steht bedeutet: Prüfe vorher, bevor du etwas benutzt, ob es überhaupt mit Vertraulichkeit und Datenschutz konform geht.

Dabei belasse ich es. Auch weil ich noch einige Themen lesen möchte.

Bleibt nur die Erkenntnis:
Datev, du widersprichst deinen eigenen Leuten.
Und ohne zusätzlich Massnahmen zu Vertraulichkeit und Datenschutz ist M365 rechtlich nicht nutzbar. Egal, was interessierte Stellen dazu sagen.

HTH

QJ

Nach dem Lesen der interessanten Beiträge möchte ich folgendes an Datev richten:

1.) Hören Sie am besten sofort damit auf, die Kanzleiinhaber in dem Glauben zu lassen, der Einsatz von Microsoft 365 (mit Ausnahmer der lokal installierten Programme (!) ) sei in irgendeiner Form fast schon juristisch möglich, man müsse nur ein paar Rahmenbedingungen einhalten.

Alle verlinkten PDF-Dokumente von Datev sagen genau das Gegenteil, wenn man sie genau liest!

1.b). Empfehlen Sie den Kanzleiinhabern stattdessen, sich erst einmal bis 2029 einen anderen deutschen oder schweizer Mailprovider zu suchen, der den entsprechenden Vertrag zur Auftragsdatenverarbeitung seriös unterschreiben kann - und ansonsten alles so lassen wie bisher - insbesondere aber auch kein Microsoft OneDrive zu benutzen (eben keine Online-Dienste von Microsoft).

1.c) Warum kann nicht einfach Datev einen Mailserver weiterbetreiben? Es gab ja nun auch genügend "nachgeahmte" Exchange-Server von anderen Herstellern. (Manche munkeln, dass Datev sowieso Linux-Exchange-Ersatzserver im Einsatz hätte). Die sind zwar nicht perfekt, viele Kanzleiinhaber wären aber bestimmt hocherfreut, wenn sie sich einfach um gar nichts kümmern müssten und Datev das Problem der EMails weiterhin übernimmt.

2.) Strategisch: Lösen Sie diese hochproblematische Verknüpfung mit Microsoft ab 2029.

Sowohl die Übergaben an Webserver"programme" ist mit offenen Standards einfach realisierbar. Gerade im Webserverbereich hält sich ja sogar Microsoft mittlerweile an die Standards. Auch das Erzeugen von Dokumenten aus Datev heraus dürfte doch für solch einen Konzern wie Datev programmiertechnisch keine große Herausforderung sein. Und wenn es für Word einfach nur ein RTF ist, dass dann in der Standardtextverarbeitung des Benutzers geöffnet wird. ...  Auch für Kalender gibt es Standards (z.B. ical), usw. Ich will das jetzt nicht alles im Einzelnen aufzählen..

Wünschenswert in langfristiger Sicht fände ich, dass die Datev Suite alle grundlegenden Funktionen einfach selbst beherrscht. Wer dann in der Kanzlei komplexere Funktionien nutzen möchte, kann die Dokumente immer noch in eigenen Programmem weiterbearbeiten..

Das wäre für den Anfang ein praktikabler und sinnvoller Ansatz.

Nicht bei Nutzung der SmartIT

---

@WastlDE  schrieb:

Nicht bei Nutzung der SmartIT

---

Darf ich kurz fragen bei welchem Produkt in der smartIT?

Das "Zwangs-Office" 62146 ist es m.W.n. nicht.