37414
Goto Top

Ist Microsoft Office 365 grds. nicht DSGVO-konform?

Hallo,

in einem anderen Thread hatte man mir als Alternative zum Analysetool "Tableau" das Programm "PowerBI" empfohlen, welches ich dann auch gekauft habe.
Da wir als Non-Profit-Organisation das "MS Office 365" kostenfrei nutzen können, war auch das "PowerBI" kostenfrei.

Bevor ich es dann runterladen und installieren wollte, habe ich es einem Abteilungsleiter vorgestellt.
Der (auch mit f.d. Datenschutz verantwortlich) meinte dann, dass er im Internet gelesen habe, dass mehrere Datenschutzbeauftragte das "MS Office 365" für problematisch halten in Bezug auf den Datenschutz, bzw. die DSGVO... es sei offenbar nicht datenschutzkonform.

Tja... was nun, sagte ich mir?

Spontan habe ich gesagt, dass wir eigentlich auch Windows von unseren Servern und Clients deinstallieren müßten und auch alle Office-Pakete, wenn wir wirklich davon ausgehen, dass Microsoft grds. nicht datenschutzkonform sei.
Und... wer sagt mir, dass unsere bisherige Lösung "Tableau" wirklich sicher war, was Datenschutz und DSGVO anbelangt? face-wink

Daher nun die Frage an Euch, wie Ihr das seht?
Ich bin sehr gespannt, welche Kommentare da kommen und vielleicht hilft es mir ja auch bei der Argumentation... für... oder auch gegen "PowerBI", bzw. das "MS Office 365".

Danke und Grüße,
imebro

Content-Key: 642001

Url: https://administrator.de/contentid/642001

Ausgedruckt am: 28.03.2024 um 21:03 Uhr

Mitglied: Doskias
Doskias 18.01.2021 um 16:28:44 Uhr
Goto Top
Moin Imebro,

was sagt euer Systemhaus, welches euch betreut dazu?

Auch hier gilt: Es kann dir keine eine grundsätzlich richtige und/oder falsche Antwort bei juristischen Fragen geben. Die Frage an der Stelle ist ja: Was ist nicht Datenschutzkonform und wie lässt es sich abstellen? was habt ihr damit vor?

Zum Beispiel schreibt Heise hier:
https://www.heise.de/news/Datenschutzbehoerden-erklaeren-den-Einsatz-von ...

Und schon haben wir einen Unterschied ob ich öffentliche Verwaltung/öffentlicher Dienst seid oder nicht. Wenn ihr dazu gehört, dann habt ihr laut Heise keinen legitimem Geschäftszweck, der Grundlage ist. Auch, dass sich die Datenschutzbeauftragten der Bundesländer (anderer Artikel) nicht auf ein einstimmiges Votum einigen konnten spricht an der Stelle Bände.

Ich habe im August 202 auch mal eine Studie gelesen, nachdem O365 nicht konform sein sollte. Allerdings bezog sich die Studie auf den Stand vom Januar 2019. MS hat seitdem nachgebessert und es gibt auch eine Installationsanleitung nach der du nur die Kommunikation zwischen deinem Unternehmen und MS auf europäische Server begrenzt. Das wurde in der August-Studie nicht berücksichtigt. MS hat sich verpflichtet die Daten (wenn wie beschrieben eingerichtet) nicht außerhalb der EU zu verwenden. Ob Sie sich daran halten? Kann dir vermutlich niemand sagen.

Die Aussage ist an der Stelle zu komplex. Wir nutzen O365 zum Beispiel ohne OneDrive. Folglich erfolgt auch kein Datentransfer via Teams. Wir haben auch nur die AD-User synchronisiert die wirklich mit einer O365 Lizenz arbeiten müssen und nicht jeden. Wir haben eine Whitelist-Firewall und explizit nur die europäischen URLs und Ports freigegeben (und auch hier nur nach dem Try-and-Error-Verfahren).

Pauschalisieren kann man es meiner Meinung nach nicht, Die Frage müsste also lauten: Welcher Punkt ist nach eurem Datenschutzbeauftragten nicht DSGVO-Konform und kann ich das abstellen?

Mein Tipp: Wende dich an ein Systemhaus eures Vertrauens. Viele der Einstellungen und Optionen, die wir zur Reduzierung des Datenverkehrs vorgenommen haben, hätte ich alleine nicht (so schnell) gefunden.

Gruß
Doskias
Mitglied: 117471
117471 18.01.2021 um 16:39:58 Uhr
Goto Top
Zitat von @37414:

Spontan habe ich gesagt, dass wir eigentlich auch Windows von unseren Servern und Clients deinstallieren müßten

Korrekt.

Stell' Dir mal vor, jemand schickt Dir ein Dokument mit einer persönlichen Information. Du speicherst das auf dem Server, irgend etwas stürzt dabei ab und schickt ein Dump zwecks Fehleranalyse an Microsoft. Wie möchtest Du da sicherstellen, dass meine Informationen nicht irgendwo in dem Dump drin stehen?

Falls Dir das zu exotisch ist: Du kannst ja mal darüber nachdenken, wie Du meine persönlichen Daten auf meinem Wunsch hin wieder löscht. Also z.B. auch aus den Datensicherungen deines Office365-Hosters face-smile

Daher nun die Frage an Euch, wie Ihr das seht?

Ich wünsche mir eine Welt, in der es viel mehr Datenschützer gibt, die Unternehmen und Behörden identifizieren, welche Microsoft-Produkte einsetzen. Und es sollte auch wesentlich dramatischere Strafen geben: Es kann nicht sein, dass jemand, der sich für derartige Software und Dienstleistungen entscheidet, mit einer banalen Geldstrafe davonkommt.

Deutlich genug? face-smile

Gruß,
Jörg
Mitglied: mbehrens
mbehrens 18.01.2021 um 16:52:41 Uhr
Goto Top
Zitat von @37414:

Ich bin sehr gespannt, welche Kommentare da kommen und vielleicht hilft es mir ja auch bei der Argumentation... für... oder auch gegen "PowerBI", bzw. das "MS Office 365".

Dafür gibt es in der heutigen Zeit die individuelle DSFA. Da diese ja für die anderen MS Cloud Produkte schon durchgeführt worden ist, kann man diese als Orientierung nutzen.
Mitglied: Visucius
Visucius 18.01.2021 aktualisiert um 17:12:07 Uhr
Goto Top
Microsoft sagt selber, es sei (in der Businessversion) datenschutzkonform.

Und die Datenschutzschwafler werden sich seit Jahren nicht einig. Wir haben ein EU-Recht und jedes Kaff interpretiert das anders und der potenzielle Kunde wird im Regen stehen gelassen. Ehrlich gesagt ne Zumutung.

Möchtest Du aber ne Bestätigung für den rechtskonformen Einsatz einer Vodeoüberwachung wird es sehr still von Seiten dieser Beamten.

Am Ende sind wir (fast) alle keine Juristen und mir ist persönlich nicht klar, warum man mir als ITler so eine Entscheidung zumutet, die ja offenbar weder juristisch, noch höchstrichterlich entschieden ist
Mitglied: aqui
aqui 18.01.2021 aktualisiert um 17:42:21 Uhr
Goto Top
Microsoft sagt selber, es sei (in der Businessversion) datenschutzkonform.
Was würden die Frösche antworten wenn du sie fragst ob du den Teich auspumpen darfst ?!
Mitglied: Visucius
Visucius 18.01.2021 aktualisiert um 17:44:59 Uhr
Goto Top
Zitat von @aqui:

Microsoft sagt selber, es sei (in der Businessversion) datenschutzkonform.
Was sagen die Frösche wenn du sie fragst ob du den Teich auspumpen darfst ?!
Schon klar. Nur muss ich mich auf die Aussagen eines Konzerns - abseits der typischen Verschwörungsthematiken - ja auch verlassen können, bzw. darf diese als Entscheidungsgrundlage heranziehen.

Verbaust doch nicht auch Cisco? ... face-wink

Hier kauft (fast) jeder Elektro(nik)-Geräte ein und geht davon aus, dass die CE-Kennzeichnung EU-Vorgaben zum "in Verkehr bringen" und Betrieb entspricht. Das ist aber auch nur eine vom (ggf. chinesischen) Hersteller seinem Produkt zugesprochene Eigenschaft.

Nur bei der DSGVO ist "jeder" plötzlich Profi und hat ne feste Überzeugung ... gerade bei MS365. Bei iOS-Geräte und Whatsapp/Facebook verschwimmt diese "feste Überzeugung" dann aber wieder ganz schnell face-wink
Mitglied: aqui
aqui 18.01.2021 aktualisiert um 17:50:59 Uhr
Goto Top
ja auch verlassen können, bzw. darf diese als Entscheidungsgrundlage heranziehen.
Von einem US Konzern der durch nationale Gesetze verpflichtet ist Daten von Nutzern an US Behörden herauszugeben egal wo auf der Welt sie gespeichert werden ? Mal ganz abgesehen von dem finanziellen Wert den diese Daten für ihn selber als Verwerter haben. Echten DSGVO konformen Datenschutz kann es per se mit US amerikanischen Anbietern nach der letzten Entscheidung des EuGH nicht geben. Deshalb ist das aus EU Sicht für alle Daten ein unsicherer Drittstaat wie Russland, China und Indien. Stichwort auch "Five Eyes" Gemeinde.
In welchem realitätsfernen Wolkenschloss lebst du also ??
Mitglied: mbehrens
mbehrens 18.01.2021 um 18:18:33 Uhr
Goto Top
Zitat von @Visucius:

Schon klar. Nur muss ich mich auf die Aussagen eines Konzerns - abseits der typischen Verschwörungsthematiken - ja auch verlassen können, bzw. darf diese als Entscheidungsgrundlage heranziehen.

Heranziehen für die Entscheidung schon. Nur dürfte durch CLOUD Act und gefallenem Privacy Shield der DSGVO konforme Einsatz der MS Cloud Produkte nach Durchführung einer DSFA ziemlich schwierig werden. face-smile
Mitglied: Visucius
Visucius 18.01.2021 aktualisiert um 18:51:32 Uhr
Goto Top
Alles richtig. Nur ist doch völlig irrelevant, wie ich das empfinde!

In meinem "Wolkenkuckuksheim" hat Deutschland ne eigene "Bundeslinux-Distri", auf deren Entwicklung der Bund "die Hand" hat, weil er erkannte, dass die Verwaltung seiner Bürger Vertrauenssache ist und die Abläufe von Dorf über City bis Bundesland ziemlich ähnlich sind. Und für die Schulverwaltung liefe Nextcloud auf BL-eignenen Servern. Dafür flössen Steuergelder in die Linux-Community. Alles zu einem Bruchteil der derzeitigen Kosten.

Aber wir leben ja in der Realität:
Da haben (mind.) die bayerischen Schulen einen kostenlosen MS365 Account für die Schüler und die kommunizieren untereinander, mit Lehrern und Eltern über Whatsapp. Von den Facebook-Seiten der Schulen und der Politiker will ich da gar nicht anfangen. Die Steuerzahlerverwaltung läuft auf Windows und die Datenschützer schreiben Ihre Pamphlete auf ländereigenen Windows-Rechnern ... Gleichzeitig hat Reiter DAS Linux-Projekt einer Millionenstadt rückabgewickelt und lässt sich stolz mit nem Surface-Laptop im Homeoffice fotografieren.

Und die gleichen Leute schwafeln dann über "Datenschutz" und können sich nicht über MS365 einigen face-wink

Habe ich was verpasst oder ist schon jemand wegen des Einsatzes von MS365 verknackt worden? Ganz davon abgesehen, dass der Einsatz ziemlich differenziert zu sehen ist. Man kann das auch nur als (etwas teurere) "Lizenzverwaltung" nutzen.

Da sollte man am Ende wirklcih fragen, wer eigentlich in welchem Wolkenschloss lebt?
Mitglied: Vision2015
Vision2015 18.01.2021 um 18:49:48 Uhr
Goto Top
moin....
Zitat von @37414:

Hallo,

in einem anderen Thread hatte man mir als Alternative zum Analysetool "Tableau" das Programm "PowerBI" empfohlen, welches ich dann auch gekauft habe.
ok...
Da wir als Non-Profit-Organisation das "MS Office 365" kostenfrei nutzen können, war auch das "PowerBI" kostenfrei.
eben noch gekauft, jetzt schon kostenfrei.... face-smile

Bevor ich es dann runterladen und installieren wollte, habe ich es einem Abteilungsleiter vorgestellt.
ok...
Der (auch mit f.d. Datenschutz verantwortlich) meinte dann, dass er im Internet gelesen habe, dass mehrere Datenschutzbeauftragte das "MS Office 365" für problematisch halten in Bezug auf den Datenschutz, bzw. die DSGVO... es sei offenbar nicht datenschutzkonform.
welche daten sollen den genau erhoben werden, das wäre nicht unwichtig zu deiner frage!

Tja... was nun, sagte ich mir?
habt ihr die Checkliste zur DSGVO-Bereitschaft von MS beachtet?


Spontan habe ich gesagt, dass wir eigentlich auch Windows von unseren Servern und Clients deinstallieren müßten und auch alle Office-Pakete, wenn wir wirklich davon ausgehen, dass Microsoft grds. nicht datenschutzkonform sei.
und was sagte er dazu....
Und... wer sagt mir, dass unsere bisherige Lösung "Tableau" wirklich sicher war, was Datenschutz und DSGVO anbelangt? face-wink
sehe ich auch so.....

Daher nun die Frage an Euch, wie Ihr das seht?
Ich bin sehr gespannt, welche Kommentare da kommen und vielleicht hilft es mir ja auch bei der Argumentation... für... oder auch gegen "PowerBI", bzw. das "MS Office 365".
ich würde gerne mal wissen für wenn du arbeitest.... nur so aus neugier.... und welches systemhaus nutzt ihr!?!
es kann derzeit aus meiner nicht zu 100% gesagt werden, ob eine nutzung von microsoft 365 zulässig ist oder nicht-
ohne sich die konkrete nutzung anzuschauen, ist eine bewertung nicht möglich- 10 Datenschutzbeauftragte und zehn unterschiedliche aussagen... mich nervt das thema nur noch!
für micht gillt, und da möchte ich heise zitieren "Was die Datenschutzbehörden Anfang Oktober veröffentlicht haben, bewegt sich irgendwo zwischen unverschämt und weltfremd, findet Heise-Justiziar Joerg Heidrich."
Datenschutzbehörden erklären den Einsatz von Microsoft 365 für rechtswidrig

aus meiner sicht ist es völlig latte, ob ihr MS, Apple, Linux.. nutzt, Wichtig ist, was ihr daraus macht, und was ihr damit macht!
Microsoft 365 kann sehr sicher und Datenschutzkonform eingerichtet werden, und ist sicher als die diversen root Server bei Hetzner und co... die stümperhaft eingerichtet sind....

Danke und Grüße,
imebro
Frank
Mitglied: 37414
37414 19.01.2021 aktualisiert um 09:05:19 Uhr
Goto Top
Hallo an Euch Alle.

Danke für Eure vielen und wirklich guten Kommentare...

Zunächst mal als Info:
Ich musste das Programm tatsächlich kaufen - und das komplette Prozedere inkl. Angabe der Kreditkartennummer etc. durchführen. Allerdings dann mit Null Euro face-wink

Dann würde ich gerne noch wissen, was DFSA bedeutet? Das wurde hier auch angeführt.

Zum Thema:
Wir sind eine kleine Stiftung mit derzeit lediglich 12 Mitarbeiter/-innen.
Und wir erfassen Daten von Personen, die bei uns Anträge stellen.
Diese Personendaten sind jedoch sehr sensibel, da es sich um Krankheitsdaten einer ansteckenden Krankheit handelt.

Was wollen wir mit dem Analysetool auswerten?
Für uns wurde vor einigen Jahren eine eigene Software geschrieben, mit der wir alle Personendaten erfassen.
Diese Daten befinden sich in einer SQL-Datenbank. Diese befindet sich auf einem Server, der per Watchguard Firewall abgesichert ist.
Das Analysetool soll also auf diese SQL-Datenbank zugreifen und die Daten auswerten.
Wir wollen Statistiken erstellen können - inkl. Kreuzvergleiche - und es sollen auch Diagramme erstellt werden.

Bisher hat all dies die Software "Tableau" gemacht, was grds. auch gut funktioniert hat.
Allerdings ist "Tableau" für unsere Ansprüche völlig übertrieben und wir empfinden es auch nicht gerade als benutzerfreundlich. Vor allem die Erstellung neuer Auswertungen ist nicht wirklich einfach. Darüber hinaus sind aber die neuen Lizenzen für "Tableau" extrem teuer (geworden) und daher für unsere kleine Stiftung nicht finanzierbar. Selbst mit dem 25%-igen Rabatt für Non-Profit-Organisationen ist der Preis für uns noch viel zu hoch.

Wenn wir jetzt zum für uns kostenlosen "PowerBI" wechseln würden, was ja ein Bestandteil von "Microsoft 365" ist, gäbe es halt die oben genannten Bedenken des Abteilungsleiters (der sich auch intern um den DS kümmert). Dieser hat halt im Internet diese Berichte gefunden, wo z.B. der Bundes-Datenschutzbeauftragte "MS 365" für problematisch hält und ebenso hat er Berichte im Internet gefunden über die Problematik mit MS Teams in verschiedenen Schulen (wurde hier ja auch schon angeschnitten).

Ich halte dagegen, dass wir auch nicht sicher sein können, das unsere bisherige Lösung "Tableau" wirklich sicherer ist, als "MS 365". Und wir haben auf sämtlichen Servern und Clients MS Windows installiert sowie auf allen Clients MS Office.
Weiterhin machen wir Videokonferenzen mit "Cisco Webex", "Zoom" oder auch "MS Teams", wir nutzen einen "Hetzner Onlinespeicher" und machen einen Teil unserers Schriftverkehrs über "MS Outlook"...

Ich hoffe, dass Euch diese Angaben ausreichen, um eine grobe Einschätzung machen zu können und uns wenigstens so weit zu helfen, dass wir wissen, ob "MS 365" für speziell unseren Einsatzzweck auch eher problematisch sein könnte oder eher nicht.

Danke & schöne Grüße,
imebro
Mitglied: Dr.Bit
Dr.Bit 19.01.2021 aktualisiert um 09:17:59 Uhr
Goto Top
Zitat von @aqui:

ja auch verlassen können, bzw. darf diese als Entscheidungsgrundlage heranziehen.
Von einem US Konzern der durch nationale Gesetze verpflichtet ist Daten von Nutzern an US Behörden herauszugeben egal wo auf der Welt sie gespeichert werden ? Mal ganz abgesehen von dem finanziellen Wert den diese Daten für ihn selber als Verwerter haben. Echten DSGVO konformen Datenschutz kann es per se mit US amerikanischen Anbietern nach der letzten Entscheidung des EuGH nicht geben. Deshalb ist das aus EU Sicht für alle Daten ein unsicherer Drittstaat wie Russland, China und Indien. Stichwort auch "Five Eyes" Gemeinde.
In welchem realitätsfernen Wolkenschloss lebst du also ??
Wasser auf meine Mühlen. 😉
Ich verstehe nicht, wieso so viel Admins das nicht auch so sehen. Es sollte doch wohl hinlänglich bekannt sein, das M$ die Daten rausrücken muß, wenn z.B. die NSA das will.


Zitat von @37414:

wir nutzen einen "Hetzner Onlinespeicher" und machen einen Teil unserers Schriftverkehrs über "MS Outlook"...

Na dann steht ja wenigsten euer Online Speicher in Deutschland. Der Rest fällt bei den Datenschützern, zumindest seit Win10 und Office 2016, regelmäßig durch.

🖖
Mitglied: 37414
37414 19.01.2021 um 09:29:40 Uhr
Goto Top
...kurze ergänzende Frage:

Wir haben ja bezüglich der IT-Betreuung hier eine Sondersituation, die ich ja in mehreren Threads schon angesprochen habe.
Daher weiß ich z.B. auch nicht, ob Tableau eigentlich (auch) eine Cloud-Lösung ist.
Man kann bei uns die damals angelegten Statistiken über den Webbrowser aufrufen.
Auf jeden Fall ist "Tableau" ja auch ein USA-Unternehmen...

LG
imebro
Mitglied: fredmy
fredmy 19.01.2021 um 09:41:51 Uhr
Goto Top
Zitat von @37414:

Hallo an Euch Alle.

Danke für Eure vielen und wirklich guten Kommentare...

Zunächst mal als Info:
Ich musste das Programm tatsächlich kaufen - und das komplette Prozedere inkl. Angabe der Kreditkartennummer etc. durchführen. Allerdings dann mit Null Euro face-wink

Dann würde ich gerne noch wissen, was DFSA bedeutet? Das wurde hier auch angeführt.

Zum Thema:
Wir sind eine kleine Stiftung mit derzeit lediglich 12 Mitarbeiter/-innen.
Und wir erfassen Daten von Personen, die bei uns Anträge stellen.
Diese Personendaten sind jedoch sehr sensibel, da es sich um Krankheitsdaten einer ansteckenden Krankheit handelt.


Aha, da gibt es zusätzlich zur DSGVO noch extra Vorschriften ( 8 Jhare her, wo ich auch in dem Bereich mit zugange war)

Was wollen wir mit dem Analysetool auswerten?

Wenn wir jetzt zum für uns kostenlosen "PowerBI" wechseln würden, was ja ein Bestandteil von "Microsoft 365" ist, gäbe es halt die oben genannten Bedenken des Abteilungsleiters (der sich auch intern um den DS kümmert). Dieser hat halt im Internet diese Berichte gefunden, wo z.B. der Bundes-Datenschutzbeauftragte "MS 365" für problematisch hält und ebenso hat er Berichte im Internet gefunden über die Problematik mit MS Teams in verschiedenen Schulen (wurde hier ja auch schon angeschnitten).

Schlicht und einfach: du kannst (als Unternehmen) sicherstellen, daß keine Daten abfließen können !?


Ich halte dagegen, dass wir auch nicht sicher sein können, das unsere bisherige Lösung "Tableau" wirklich sicherer ist, als "MS 365". Und wir haben auf sämtlichen Servern und Clients MS Windows installiert sowie auf allen Clients MS Office.

Wieder diese etwas merkwürdige "Sicherheitsdefinition" .. Sicherheit ist ein Konzept wobei IT-Sicherheit einen Komponente davon ist!
Prüfen ob ihr evtl. doch deinen DSB braucht.

Weiterhin machen wir Videokonferenzen mit "Cisco Webex", "Zoom" oder auch "MS Teams", wir nutzen einen "Hetzner Onlinespeicher" und machen einen Teil unserers Schriftverkehrs über "MS Outlook"...

Solange da über Kaffekochen referiert wird ist das alles kein Thema!

Ich hoffe, dass Euch diese Angaben ausreichen, um eine grobe Einschätzung machen zu können und uns wenigstens so weit zu helfen, dass wir wissen, ob "MS 365" für speziell unseren Einsatzzweck auch eher problematisch sein könnte oder eher nicht.

Solange du keine für den Datenschutz im Allgemeinen unden den Medizinteil im Besonderen Daten dort außer Haus gibst ist das alles kein Thema.
Die Fragerei hinterläßt bei mir das Gefühl als ob du dir nicht die Mühe machen willst, die DSVGO und andere relevante Vorschriften überhaupt zu lesen .
Ich habe auch nur Systembetreuung gemacht und bin von den Bereichsverantwortlichen immer wieder mal gefragt worden ob/wie man da was umsetzen kann, war also eher die "Sammelstelle" für die Anforderungen und habe die Texte eher "zum Abhaken" gelesen ( geht/geht nicht/anders machen).

Danke & schöne Grüße,
imebro
Andererseits - knapp gesagt: als Whistleblower wirst zu zu (deutschem) Recht gekündigt.
Dein Boss hat das "Recht" sich "nicht gesetzeskonform" zu verhalten also mach dir eher Gedanken darüber daß du nicht am Ende als der Dumme dastehst (Aktennotitzen u.ä.)

Fred
Mitglied: Visucius
Visucius 19.01.2021 aktualisiert um 09:51:23 Uhr
Goto Top
Zitat von @Dr.Bit:
Ich verstehe nicht, wieso so viel Admins das nicht auch so sehen. Es sollte doch wohl hinlänglich bekannt sein, das M$ die Daten rausrücken muß, wenn z.B. die NSA das will.

Achso, die DSGVO soll uns vor der NSA schützen. Schön, dass das endlich mal jemand sagt! Na denne, auf in den Kampf tapferer Don face-smile

Immerhin leben wir in einem Land, dessen Geheimdienst im Auftrag der USA die eigene Bevölkerung ausspioniert ... am Bundestag vorbei. Nicht mal das hatte mW. personelle oder andersartige Konsequenzen. Gleichzeitig soll die potenzielle Verschlüsselung aufgeweicht und die Vorratsdatenspeicherung zum wiederholten mal - entgegen EuGH und BVG - durchgedrückt werden.

Da ist es doch schön zu wissen, dass sich eine Heerschar tapferer Admins mit Ihren Cisco-Routern, Sophos-Firewalls (5-eyes), iPhones, MacBooks und Windows-Servern diesem US-Molloch entgegenstemmen. Lasst uns zusammenrücken ... unter dem gemeinsamen Banner der DSGVO face-smile
Mitglied: Dr.Bit
Dr.Bit 19.01.2021 um 09:53:32 Uhr
Goto Top
Zitat von @Visucius:

Zitat von @Dr.Bit:
Ich verstehe nicht, wieso so viel Admins das nicht auch so sehen. Es sollte doch wohl hinlänglich bekannt sein, das M$ die Daten rausrücken muß, wenn z.B. die NSA das will.

Achso, die DSGVO soll uns vor der NSA schützen. Schön, dass das endlich mal jemand sagt! Na denne, auf in den Kampf tapferer Don face-smile

Immerhin leben wir in einem Land, dessen Geheimdienst im Auftrag der USA die eigene Bevölkerung ausspioniert ... am Bundestag vorbei. Nicht mal das hatte mW. personelle oder andersartige Konsequenzen. Gleichzeitig soll die potenzielle Verschlüsselung aufgeweicht und die Vorratsdatenspeicherung zum wiederholten mal - entgegen EuGH und BVG - durchgedrückt werden.

Da ist es doch schön zu wissen, dass sich eine Heerschar tapferer Admins mit Ihren Cisco-Routern, Sophos-Firewalls (5-eyes), iPhones, MacBooks und Windows-Servern diesem US-Molloch entgegenstemmen. Lasst uns zusammenrücken ... unter dem gemeinsamen Banner der DSGVO face-smile
😊 Wieso eigentlich nicht? Hast Du etwa etwas Besseres vor?

🖖
Mitglied: 37414
37414 19.01.2021 um 10:01:37 Uhr
Goto Top
Danke für die weiteren Ausführungen.

Ich weiss... es nervt Einige hier wahrscheinlich schon, wenn ich es nochmal schreibe face-smile

Wir haben hier eine ziemlich blöde Sondersituation:
Bis vor knapp einem Jahr hatten wir einen IT-ler. Dieser hat aber Dinge gemacht, die er nicht darf und musste gehen.
Aufgrund Corona, keinerlei Einnahmen und somit Finanzproblemen, konnte kein neuer IT-ler eingestellt werden und wird wohl auch in Zukunft nicht mehr eingestellt werden.

Da ich hier der Einzige von den 12 Leutchen bin, der sich halt ein bisschen mit EDV auskennt, bekamt ich den "Schwarzen Peter" und habe nun die IT an der Backe. Vor vielen Jahren habe ich hier mal einen Windows NT-Server betreut. Aber das war ganz am Anfang. Ich bin natürlich nicht ausgebildet und daher kommen von mir halt oftmals auch Fragen, die andere als "Peanuts" bezeichnen und hier auf mich einschlagen... face-sad

Mein Hauptjob ist hier ein völlig anderer (also kein IT) und daher habe ich auch mit DSGVO nichts zu tun. Ich hätte auch überhaupt keine Zeit, mich noch damit zu befassen. Wie gesagt, mache ich hier nur das Nötigste, was IT angeht. Darüber hinaus haben wir einen IT-Dienstleister, der für uns jedoch eher die Standard-Wartungsaufgaben erledigt und die Server remote überwacht.

Nun gut. Das nur nochmal zur Erklärung...

Grüße,
imebro
Mitglied: Visucius
Visucius 19.01.2021 aktualisiert um 10:03:23 Uhr
Goto Top
Zitat von @Dr.Bit:
😊 Wieso eigentlich nicht? Hast Du etwa etwas Besseres vor?

Ja. Alles besser, als gegen Windmühlen zu kämpfen
Mitglied: 37414
37414 19.01.2021 um 10:05:43 Uhr
Goto Top
...die Frage, die sich für mich ja eigentlich stellt:

Ist es denn auch problematisch, wenn ich - z.B. bei Nutzung von "PowerBI" - Statistiken erstelle aus einer SQL-Datenbank, die auf einem unserer Server liegt, welcher per Watchguard Firewall entsprechend abgesichert ist?

LG
imebro
Mitglied: Visucius
Visucius 19.01.2021 aktualisiert um 10:45:07 Uhr
Goto Top
Du hast einleitend von "grundsätzlich" gesprochen. Das halte ich ... s.o. ... für übertrieben.

Im weiteren Verlauf hast Du Deine Situation um die Speicherung von "sensiblen Krankendaten" erweitert. Hier gelten ja "besonders hohe Standards", was die Datenspeicherung angeht.

Das wäre - ehrlich gesagt - nicht unbedingt das, wofür ich MS365 bevorzugen würde. Auch wenn die PowerBi-Daten lt. MS in Europa gespeichert werden:
https://www.microsoft.com/de-de/trustcenter/privacy/powerbi-location

Am Ende weißt aber nur Du, welche (persönlichen) Daten dort überhaupt zur Auswertung gespeichert werden. Könnten ja auch nur anonyme Zahlenspiele sein.
Mitglied: Dr.Bit
Dr.Bit 19.01.2021 um 10:38:31 Uhr
Goto Top
Da ist dann die Frage wo in Europa. Laut Link in Irland oder Holland. Irland: da kannst Du sie auch gleich in den USA speichern. Die Amerikanischen Konzerne haben ihre Europavertretungen nicht umsonst alle in Irland. Holland weiß ich nicht.

🖖
Mitglied: Visucius
Visucius 19.01.2021 aktualisiert um 10:43:47 Uhr
Goto Top
Zitat von @Dr.Bit:

Da ist dann die Frage wo in Europa. Laut Link in Irland oder Holland. Irland: da kannst Du sie auch gleich in den USA speichern. Die Amerikanischen Konzerne haben ihre Europavertretungen nicht umsonst alle in Irland. Holland weiß ich nicht.

Irland = EU
https://europa.eu/european-union/about-eu/countries/member-countries_de

Juristisch ist doch völlig unwichtig, wie Du die Tatkraft irischer Datenschützer einschätzt!
Mitglied: 37414
37414 19.01.2021 um 10:50:47 Uhr
Goto Top
Danke für Eure weiteren Hinweise.

Ich habe soeben mal unseren IT-Dienstleister angerufen.
Die sind zwar eigentlich nur für Wartungsaufgaben zuständig (gem. Wartungsvertrag), aber der Mitarbeiter hat mir freundlich geantwortet.

Er meint, dass bei uns die Daten, die wir über unser Antragsprogramm erfassen, ja direkt auf unserem Server, in einer SQL-Datenbank gespeichert seien. Dieser Server stehe ja hier bei uns im Haus. Daher werde ja kein Austausch von Daten über "OneDrive" durchgeführt, sondern lediglich intern.
Daher sehe er kein Problem in der Nutzung von "PowerBI" - auch wenn dies Bestandteil von "MS Office 365" sei.

Würdet Ihr das auch so sehen?

LG
imebro
Mitglied: Dr.Bit
Dr.Bit 19.01.2021 um 10:52:07 Uhr
Goto Top
Das ist in Sofern nicht unwichtig, weil Irland sich nicht wirklich um die Datenschutzbestimmungen der EU kümmert. Die legen das so aus, wie es ihnen gerade zu Pass kommt. Daher sind ja auch z.B. M$ und Fratzebuch da ansässig. Bestimmt nicht, weil die Landschaft so toll ist.

🖖
Mitglied: Visucius
Visucius 19.01.2021 aktualisiert um 11:07:06 Uhr
Goto Top
Verstehe doch endlich!

ES ist VÖLLLIG egal, wie Du oder andere Foren-Profis den Datenschutz in Irland einschätzen.

Die DSGVO ist eine EU-Regelung. Die Daten müssen einem einheitlichen EU-Standard der Verarbeitung entsprechen (u.a. in der EU gespeichert werden). Das ist per Definition in einem einheitlichen Wirtschaftsraum so. Deshalb kann Fiat mit einer Zulassung in Italien auch Fahrzeuge ohne Sonderprüfung in Deutschland in den Handel bringen. Man erkennt die jeweiligen Prüfungen gegenseitig an. Bei der DSGVO erst Recht, weil das EU-Gesetz überall einheitlich ist.

Das es bei der "Umsetzung" unterschiedliche Arbeitsweisen gibt, ist (juristisch) völlig unerheblich. Und dass der Datenschützer (womöglich) ein bestochenes Arsch ist ... ebenso. Evtl. ist aber auch die Behörde dort nur "überlastet" und deren Beamte müssen - ebenso wie bei uns - nicht persönlich haften für ihr (Nichts-)tun.
Mitglied: Dr.Bit
Dr.Bit 19.01.2021 um 11:30:44 Uhr
Goto Top
Ich verstehe Dich schon und grundsätzlich gebe ich Dir ja auch Recht. Nichts desto Trotz ist es nunmal so, das Irland sich nicht vollständig an die DSGVO hält und nicht nur deren überlastete Beamte. Was ich damit sagen will ist nichts Anderes als daß man sich auf die Beteuerungen von US Amerikanischen Unternehmen bzgl. Datenschutz nichts geben kann, solange die Server innerhalb der EU in Irland stehen.

🖖
Mitglied: 37414
37414 19.01.2021 um 11:42:07 Uhr
Goto Top
sorry...

Aber könnte nochmal Jemand sich an meine Fragen halten? face-wink
Vor allem die von 10:50 Uhr.

Danke...

Grüße,
imebro
Mitglied: Visucius
Visucius 19.01.2021 um 11:45:24 Uhr
Goto Top
... dem will ich nicht widersprechen.

Die MS365 Business(!)-Server stehen mW. mittlerweile in D.

Es gibt im 365-Paket aber immer mal wieder Ausreißer, z.B. diese "Tafelsoftware", deren Daten in den USA gespeichert werden. Das muss man halt ggfs. individuell prüfen.
Mitglied: Visucius
Visucius 19.01.2021 um 11:48:15 Uhr
Goto Top
Zitat von @37414:
Daher sehe er kein Problem in der Nutzung von "PowerBI" - auch wenn dies Bestandteil von "MS Office 365" sei.

Würdet Ihr das auch so sehen?

Hört sich doch ganz gut an? Die Frage ist doch am Ende, welche Daten über PowerBi gespeichert werden?! Sind da überhaupt "persönliche" Daten drin? Oder gehts da nur um Zahlenspiele (habe ich weiter oben schon angemerkt). Dein IT-Dienstleister hat da aber doch deutlich mehr Einblick als jemand hier im Forum.
Mitglied: 117471
117471 19.01.2021 um 12:31:18 Uhr
Goto Top
Hallo,
das Problem ist, dass Du schlichtweg nicht weißt, was die Software macht. Du „siehst“ ja nur das, was Microsoft beschreibt. 7/8tel des Eisberges befinden sich unter dem Wasser.

Auf der anderen Seite bist Du verpflichtet, deine Prozesse zu beschreiben. Was Du aber ohne Einblick in den Quellcode gar nicht kannst.

Gesundheitsdaten sind „besonders schützenswert“. Ich sehe in eurem Vorhaben eine schwere Straftat.

Gruß,
Jörg
Mitglied: Dr.Bit
Dr.Bit 19.01.2021 um 12:51:29 Uhr
Goto Top
Zitat von @117471:

Ich sehe in eurem Vorhaben eine schwere Straftat.

So weit würde ich nicht gehen, auch der übersichtlichen Alternativen wegen. Zumindest aber bedenklich. Ziehe einen Datenschützer hinzu, der dann dafür verantwortlich zeichnet.

🖖
Mitglied: Th0mKa
Th0mKa 19.01.2021 um 13:40:12 Uhr
Goto Top
Zitat von @117471:
Ich sehe in eurem Vorhaben eine schwere Straftat.

Gut das du dein Geld nicht als Anwalt verdienst.😀

/Thomas
Mitglied: Franz-Josef-II
Franz-Josef-II 19.01.2021 um 13:44:53 Uhr
Goto Top
Jetzt muß ich auch ..... face-wink ..... mitreden face-wink

Ich würde es mir ganz einfach machen:
Abteilungsleiter, der auch für den Datenschutz verantwortlich ist = Chef der bestimmt. Wie beim Kartenspiel, Ober sticht Unter.

Ich bin kein Jurist, von den Gesetzen kenne ich nur die StVO, StPO, ein bißchen ABGB und mein Dienstrecht face-wink Ja, Scheidungsrecht .... face-wink
Somit seine Ausbildung, sei Hockn, seine Verantwortung, seine Entscheidung.
Klar, ich arbeite ihm zu, er bekommt pro und kontra, trotzdem entscheidet er und nicht ich.

Solange die Programme lokal aufen und die Daten auch lokal gespeichert werden, sehe ich da kein Problem. Ich habe mir jetzt nicht alles durchgelesen, nur wäre nicht auch eine Netztrennung ein Thema?

- Internet mit PCs etc ...... OHNE sensible Daten
- "Geheimnetz" mit den sensiblen Daten, aber OHNE einer Internetanbindung?
- Datenaustausch über USB-Sticks?

Nur so eine Idee.
Mitglied: 37414
37414 19.01.2021 um 14:40:54 Uhr
Goto Top
Naja... zu der "schweren Straftat" kann ich natürlich nur sagen, dass nicht einmal der Beschluss des DSK ein Verbot von „MS Office 365“ darstellt. Er stellt formal eine sogar innerhalb der Konferenz umstrittene Rechtsmeinung dar. Siehe hierzu auch den oben verlinkten Artikel des Heise-Justiziars.

Eine Abschottung OHNE sensible Daten dürfte schwer machbar sein.
Und ein solcher Aufwand (ggf. sogar über USB-Sticks) dürfte auch nicht die richtige Lösung sein.
Wir brauchen ein Tool, welches Analysen aus unserer vorhandenen SQL-Datenbank erstellen kann.
Diese Datenbank befindet sich auf einem abgesicherten Server, der bei uns im Hause steht.

Grüße,
imebro
Mitglied: fredmy
fredmy 19.01.2021 um 14:57:24 Uhr
Goto Top
Hallo,
Also

Frage 1: Daten die nur im Haus lagern..lagern eben nur im Haus (?) ? = Wartungszugriffe und andere Zugriffe von außerhalb des Netzes ausgeschlossen.
Office 365 fällt aus .. als US-Firma muß M$ Daten an US-Regierungsstellen rausrücken, völlig unabhängig von irgendwelchen Vwrwendungszwecken/Weitergaben am Firmen.
Nicht umsonst wurde vom EuGH das "Safe Harbour Abkommen" gekippt.
Verantwortlich ist in letzter Instanz dein Boss , weitergehende Verantwortlichkeiten besser schriftlich geben lassen, Anweisungen dokumentieren - weil.. wenn schief geht werden "Schuldige" gesucht.

Ansonsten Netz abschotten - wrklich und nicht nur als Werbeaussage (wei ..unser System ist sicher, kaufen sie..)
Vertragliche Regelungen mit Fremdanbieteren(Wartungsfirmen) ->siehe" Datenverarbeitung im Auftrag".


Netzerweiterungen (Homeoffice usw. ) natürlich nur per VPN, genauso Datenaustausch, ggfs. Win-Rechner "bevormunden" - sprich: Firewall ist zu und du machst nur zulässige Verbindungen auf (UTM, Proxy o.ä.) kommt etwas auf deine Situation an.
DSVGO, Bundesdatenschutzgesetz,Landesdatenschutzgesetz wenigstens einmal (schnell) gesen haben, dito med.Datenschutzreglungen. So daß du wenigstens eine Idee hast wo das was finden könntest.

Fred
Mitglied: 117471
117471 19.01.2021 aktualisiert um 15:24:52 Uhr
Goto Top
Hallo,

Zitat von @Th0mKa:

Gut das du dein Geld nicht als Anwalt verdienst.

Eher als Datenschützer face-smile

Vergleiche: Auswirkungen auf den Schutz personenbezogener Daten und geistigen Eigentums

Wie gesagt - das einzige Problem ist, dass wir nicht genug Datenschützer haben, die derartige Straftaten verfolgen.

Es gibt übrigens durchaus Fälle, wo das bereits Auswirkungen hatte. Zum Beispiel dann, wenn jemand beruflich in die USA fliegen musste und am Flughafen - dezent ausgedrückt - "zurückgehalten" wurde.

Oder wenn jemand "einfach mal" irgendwo auf der Welt spontan verhaftet und in Guantanamo für ein paar Jährchen "beherzt durchgefoltert" wird, weil er etwas über die falsche Religion lernen wollte: Murat Kurnaz

Ich selber habe übrigens bei einem Film über seine Mutter mitgewirkt, der demnächst im Kino kommt.

Aber vielleicht hast Du ja Glück, und die für dich intransparenten Prozesse bei Microsoft stufen dich als "konformen" Menschen ein. Momentan sind's ja die Demokraten, die sind etwas kompatibler face-smile

Abschließend wäre noch zu erwähnen, dass ich das Recht auf informationelle Selbstbestimmung als ein Menschenrecht betrachte. Nenn' mich konservativ, aber ich möchte halt nicht, dass jemand aus Statistiken und Informationsschnipseln Rückschlüsse auf meine Person und meinen Charakter ableitet.

Gruß,
Jörg
Mitglied: Dr.Bit
Dr.Bit 19.01.2021 aktualisiert um 15:32:26 Uhr
Goto Top
👍👍👍 Da bin aber sowas von bei Dir. 👍👍👍

🖖

Edit: Ach so, wen spielst Du denn? Einen seiner Folterknechte?
Mitglied: 37414
37414 19.01.2021 um 15:49:43 Uhr
Goto Top
...ich glaube, das hier driftet immer wieder in völlig threadfremde Bereiche ab.

Jetzt sind wir schon bei irgendwelchen Leuten, die gefoltert wurden sowie beim Hipen angehender Filmschauspieler gelandet.
Das hat mit dem eigentlichen Thema nun wirklich nichts mehr zu tun face-wink

Vielleicht ist das Ergebnis aber auch einfach so, dass man die Frage nicht wirklich beantworten kann.
Ggf. warte ich einfach ab, wie die GF nun entscheidet, denn der AL hat seine Bedenken dort geäußert.
Ich würde dann höchstens noch vorschlagen, dass wir unseren IT-Dienstleister mal einbeziehen und dann entscheiden.

Grüße,
imebro
Mitglied: Dr.Bit
Dr.Bit 19.01.2021 um 15:57:52 Uhr
Goto Top
Zitat von @37414:

Ggf. warte ich einfach ab, wie die GF nun entscheidet, denn der AL hat seine Bedenken dort geäußert.

Ist sowieso immer das Beste, und unterschreiben lassen, daß man aus der Verantwortung raus ist.

🖖
Mitglied: 117471
117471 19.01.2021 um 15:59:18 Uhr
Goto Top
Hallo,

Zitat von @37414:

Jetzt sind wir schon bei irgendwelchen Leuten, die gefoltert wurden

Nein. Wir sind - immer noch - dabei, dass diese Daten abgegriffen und "frei interpretiert" werden. Mit allen Konsequenzen für die Betroffenen.

Hipen angehender Filmschauspieler

Troll.

Vielleicht ist das Ergebnis aber auch einfach so, dass man die Frage nicht wirklich beantworten kann.

Doch, kann man. Der Grundsatz, dass Datenspeicherungen und Datenübertragungen möglichst knapp gehalten werden müssen, ist eindeutig beschrieben.

Gruß,
Jörg
Mitglied: 117471
117471 19.01.2021 um 19:14:09 Uhr
Goto Top
Hallo,

Ergänzung: Ich lese gerade die Frankfurter Rundschau. Gleich am Anfang steht im Cookie-Hinweis:

Die USA werden vom Europäischen Gerichtshof als ein Land mit einem nach EU-Standards unzureichendem Datenschutzniveau eingeschätzt. Es besteht insbesondere das Risiko, dass Ihre Daten durch US-Behörden, zu Kontroll- und zu Überwachungszwecken, möglicherweise auch ohne Rechtsbehelfsmöglichkeiten, verarbeitet werden können.

Gruß,
Jörg
Mitglied: Visucius
Visucius 19.01.2021 aktualisiert um 20:01:24 Uhr
Goto Top
Zitat von @117471:

Hallo,

Ergänzung: Ich lese gerade die Frankfurter Rundschau. Gleich am Anfang steht im Cookie-Hinweis:

Die USA werden vom Europäischen Gerichtshof als ein Land mit einem nach EU-Standards unzureichendem Datenschutzniveau eingeschätzt. Es besteht insbesondere das Risiko, dass Ihre Daten durch US-Behörden, zu Kontroll- und zu Überwachungszwecken, möglicherweise auch ohne Rechtsbehelfsmöglichkeiten, verarbeitet werden können.

Was natürlich die Frage aufwirft, warum die FR "meine" Einstimmung dazu einfordert, Daten an so ein "Unrechtsregime" weiterleiten zu wollen?! Wenn die das selber so einschätzen, sollen sie das doch bitte unterlassen?!

Sonst muss ich mir als Leser – nicht nur – etwas "verarscht" vorkommen. Oder ist das Vorsatz?!
Mitglied: Th0mKa
Th0mKa 19.01.2021 um 20:55:07 Uhr
Goto Top
Zitat von @Visucius:
Sonst muss ich mir als Leser – nicht nur – etwas "verarscht" vorkommen. Oder ist das Vorsatz?!

Nein, wenn du das nicht willst solltest du an den Kiosk gehen und dir die gute alte Zeitung kaufen. Du kannst doch nicht davon ausgehen das dir alle Entscheidungen im Leben von irgendwem abgenommen werden?

/Thomas
Mitglied: 37414
37414 20.01.2021 um 09:13:15 Uhr
Goto Top
Die Frage, die sich mir noch immer stellt ist die, ob all das nun bedeutet, dass der Einsatz für den von mir geschilderten Anwendungsfall auch problematisch ist.

Wie gesagt, befindet sich ja die SQL-Datenbank, die ausgewertet werden soll, auf unserem Server, der in unseren Räumen steht und nicht auf irgendeiner Cloud, deren Server irgendwo in den USA oder sonstwo stehen.

Darüber hinaus nutzen wir z,B. die Cloud "OneDrive" überhaupt nicht.

Vielleicht gibt es ja auch die Möglichkeit, diese Cloud dennoch - z.B. über die Watchguard Firewall - komplett abzuschalten oder zu verhindern, dass sie nach außen funkt.

Wie seht Ihr das?

Grüße,
imebro
Mitglied: Franz-Josef-II
Franz-Josef-II 20.01.2021 um 09:21:51 Uhr
Goto Top
Zitat von @37414:

Die Frage, die sich mir noch immer stellt ist die, ob all das nun bedeutet, dass der Einsatz für den von mir geschilderten Anwendungsfall auch problematisch ist.

Die Frage ist wo die Daten verarbeitet werden, nicht wo sie gespeichert sind face-wink

Wenn die lokalen Daten in die Cloud gesendet werden, dort verarbeitet werden, zurückgeschickt werden und wieder lokal gespeichert werden, dann ist das etwas anderes, als wenn eine lokale Instanz des Programms die Daten lokal verarbeitet und kein Bit de Daten die eigenen Räumlichkeiten verläßt.
Mitglied: Doskias
Lösung Doskias 20.01.2021 aktualisiert um 09:29:03 Uhr
Goto Top
Moin,

Zitat von @37414:
Darüber hinaus nutzen wir z,B. die Cloud "OneDrive" überhaupt nicht.
Nutzen wir auch nicht.

Vielleicht gibt es ja auch die Möglichkeit, diese Cloud dennoch - z.B. über die Watchguard Firewall - komplett abzuschalten oder zu verhindern, dass sie nach außen funkt.

Geht mit Watchguard. Obwohl ich bei jedem Client beim Starten
C:\Windows\SysWOW64\OneDriveSetup.exe -uninstall
ausführe, wird es zusätzlich noch von der Watchguard geblocked und in den O365 in der Lizenz deaktiviert. Watchguard erkennt das Protokoll, somit ist auch eine Anmeldung mit einem nicht-Unternehmensaccount (also Privatacount) von Unternehmensrechner auf dem OneDrive nicht möglich. Und zusätzlich wurde die ganze OneDrive-Funktion im MS-Admincenter deaktiviert.
Mitglied: 37414
37414 20.01.2021 um 10:39:36 Uhr
Goto Top
Danke @Doskias.

Dein Kommentar hat mir super weitergeholfen.
Das ist doch mal was, womit ich wirklich etwas anfangen kann...

Grüße,
imebro
Mitglied: 7Gizmo7
7Gizmo7 27.01.2021 um 21:39:20 Uhr
Goto Top
Zitat von @37414:


Er meint, dass bei uns die Daten, die wir über unser Antragsprogramm erfassen, ja direkt auf unserem Server, in einer SQL-Datenbank gespeichert seien. Dieser Server stehe ja hier bei uns im Haus. Daher werde ja kein Austausch von Daten über "OneDrive" durchgeführt, sondern lediglich intern.
Daher sehe er kein Problem in der Nutzung von "PowerBI" - auch wenn dies Bestandteil von "MS Office 365" sei.


Ich versuche mal deine Fragen zu beantworten.

Man unterscheidet bei PowerBI zwischen dem Desktop Programm und dem PowerBI Service in der Cloud. (Man kann sich übrigens auch ein PowerBi Server onPremise hinstellen.

PowerBi ist ja dazu da ,um Live-Daten zu agregieren und in mehreren Views auf die Daten zu sehen. Mit PowerBI Desktop erstellst du das Datenmodell, Grafiken und die Connection zu den Daten, dann lädst du das Datenmodel in den PowerBI Service (Cloud oder onpremise) dann werden die Daten berechnet. Möchtest du im Powerbi Cloud Service , Daten von onPremise verarbeiten, benötigst du lokal ein Connector der auf die Daten zugreift.

https://docs.microsoft.com/de-de/power-bi/guidance/gateway-onprem-sizing


Mit freundlichen Grüßen