Microsoft hat drei neue Datenschutz-Hilfen für Unternehmen veröffentlicht, die Microsoft 365 und Copilot einsetzen. Das Paket umfasst das M365-Kit mit Mustervorlagen für die DSGVO-Dokumentation, ein aktualisiertes Cloud Compendium sowie anpassbare Vorlagen für Datenschutz-Folgenabschätzungen (DSFA). Das M365-Kit wurde in Abstimmung mit dem Bayerischen Landesamt für Datenschutzaufsicht und dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit entwickelt.

Die neuen Dokumentationshilfen zielen darauf ab, Unternehmen bei der Erfüllung ihrer Rechenschaftspflichten nach der Datenschutz-Grundverordnung zu unterstützen. Besonders beim Einsatz von KI-Diensten wie Microsoft 365 Copilot stehen Verantwortliche vor der Herausforderung, die Datenverarbeitung rechtssicher zu dokumentieren und bei Prüfungen durch Datenschutzaufsichtsbehörden nachweisen zu können.

M365-Kit bietet Mustertexte und Dokumentationsbausteine

Das M365-Kit bildet den Kern der neuen Datenschutz-Hilfen. Es enthält Beispiele und Mustertexte für zentrale Bausteine der Datenschutzdokumentation beim Einsatz von Microsoft 365 Copilot. Konkret stellt Microsoft Vorlagen für Einträge ins Verzeichnis von Verarbeitungstätigkeiten, Schwellwertanalysen zur Prüfung der DSFA-Pflicht, Rechtsgrundlagen für typische Einsatzszenarien sowie Datenschutzhinweise bereit. Die Materialien sind auf der Webseite aka.ms/mit-sicherheit verlinkt und Unternehmen können sie an ihre spezifischen Anforderungen anpassen.

Sebastian Dürdoth, Senior Corporate Counsel bei Microsoft Deutschland, betont: „Durch unsere neuen Materialien haben Unternehmen alle zentralen Bausteine zur Hand, um beispielsweise ihren datenschutzkonformen Umgang mit personenbezogenen Daten beim Einsatz von Microsoft 365 Copilot zu dokumentieren.“ Die Abstimmung mit den Datenschutzbehörden in Bayern und Hessen soll dabei für zusätzliche Rechtssicherheit sorgen.

Als zweite Komponente hat Microsoft das Cloud Compendium umfassend aktualisiert. Das 26-seitige Dokument beantwortet häufig gestellte Fragen zur Nutzung von Cloud-Diensten wie Microsoft 365 Copilot oder Azure und ordnet die Antworten in den gesetzlichen und regulatorischen Rahmen ein. Es verweist auf einzuhaltende Bestimmungen und Standards, sodass Unternehmen auf typische Fragen bei Compliance-Prüfungen vorbereitet sind. Das Compendium steht als PDF zum Download bereit und richtet sich an IT-Verantwortliche und Datenschutzbeauftragte.

DSFA-Vorlagen für verschiedene Einsatzszenarien

Die dritte Säule bilden anpassbare Vorlagen für Datenschutz-Folgenabschätzungen nach Artikel 35 der DSGVO. Microsoft stellt vier separate Musterdokumente bereit: jeweils eine DSFA-Vorlage für Office 365 und Microsoft 365 Copilot, differenziert nach Unternehmenskunden und Kunden des öffentlichen Sektors. Die Vorlagen enthalten strukturierte Informationen zur systematischen Risikobewertung und decken unterschiedliche Anforderungen und Einsatzszenarien ab. Unternehmen können diese als Grundlage verwenden und an ihre spezifische Datenverarbeitung anpassen.

Alle Materialien sind im Microsoft Service Trust Portal zum Download verfügbar. Weitere Informationen finden sich in der Ankündigung von Microsoft.

(fo)

Das neue Bündnis „Offene Netzwerke und demokratische Öffentlichkeit. Dezentral, souverän und fürs Gemeinwohl!” hat heute auf einer Pressekonferenz seine Forderungen für offene Netzwerke vorgestellt. Das zivilgesellschaftliche Bündnis, dem unter anderem die Digitale Gesellschaft, Wikimedia Deutschland und die Mastodon gGmbH angehören, richtet sich mit seinen Forderungen an den „Gipfel zur Europäischen Digitalen Souveränität“, der am 18. November in Berlin stattfindet.

Auf dem Gipfel wollen sich die deutsche Bundesregierung und die französische Staatsregierung gemeinsam mit den anderen EU-Mitgliedstaaten dafür einsetzen, „die digitale Souveränität Europas zu festigen“.

Es sei ein grundsätzliches Problem, dass derzeit nur einige wenige Tech-Konzerne darüber entscheiden, wie wir uns informieren, worüber wir diskutieren und damit auch, wie sich ein großer Teil der Öffentlichkeit konstituiere. „Das ist eine Gefahr für die Demokratie“, sagte Michael Kolain vom Zentrum für Digitalrechte und Demokratie. Es brauche echte Alternativen, nämlich digitale Plattformen, die dem Gemeinwohl statt Profitinteressen dienen.

Nicht nur Großprojekte und Künstliche Intelligenz

Auf der Pressekonferenz äußerten die Bündnisvertreter:innen die Sorge, dass der geplante Gipfel sich auf Großprojekte und sogenannte Künstliche Intelligenz fokussiere, während wirksame Maßnahmen schon mit deutlich weniger Ressourcen möglich wären.

Was es nicht brauche, seien europäische Nachbildungen der Plattformen durch große Industrieanbieter, die mit Milliarden an öffentlichen Steuergeldern finanziert werden. „Wer den europäischen Wirtschaftsstandort absichern möchte, sollte nachhaltige öffentliche Investitionen in digitale Infrastrukturen umsetzen, die von allen europäischen Bürger:innen genutzt werden können“, so Sandra Barthel, die für die Digitale Gesellschaft das Bündnis mit ins Leben gerufen hat.

30 Millionen jährlich fürs Fediverse

Eine Forderung des Bündnisses ist eine jährliche Förderung in Höhe von 30 Millionen Euro für das Fediverse. Unter dem Fediverse versteht man das Netzwerk aller sozialen Netzwerke, die mit dem technischen Protokoll ActivityPub miteinander kommunizieren können. Im Fediverse ist es möglich, unterschiedliche Plattformen zu betreiben, die ähnliche Funktionen haben wie Instagram, Twitter, YouTube, Facebook oder TikTok. Schon heute gibt es Millionen Accounts im Fediverse und eine aktive Community. Mit etwas Wissen und Technik können sich alle mit eigenen Instanzen am Fediverse beteiligen und selbstbestimmt mitmachen.

Für das Fediverse brauche es allerdings staatliche Subventionen. „Offene, dezentrale Netze für diese Gesellschaft können wir nur zusammen mit der Gesellschaft weiterentwickeln“, sagte Björn Staschen von Save Social – Networks For Democracy. Es gebe gute technische Grundlagen, um die vorhandenen Netze zu beleben und zu verbessern, so Staschen weiter. Zusätzlich brauche es einen politischen Rahmen und umfassende Investitionen.

Zu Beginn wolle sich das Bündnis auf die Förderung des Fediverse konzentrieren, weil dies – etwa im Gegensatz zu Bluesky – ein funktionierendes dezentrales Netzwerk sei, das von vielen unterschiedlichen Playern und Communities getragen wird.

Öffentliche Institutionen sollen offene Netzwerke nutzen

Eine weitere Forderung des Bündnisses trägt den Namen „+1-Prinzip“. Es zielt auf die Bundesregierung sowie öffentliche Institutionen ab, die öffentliche Mittel nutzen, um auf kommerziellen Plattformen zu kommunizieren. Sie sollen dazu verpflichtet werden, „mindestens eine freie, digital souveräne Alternative gleichwertig“ mitzudenken und aktiv zu bespielen, beschreibt Ralf Stockmann von Save Social das Anliegen.

Nutzer:innen, die auf dem Laufenden bleiben möchten, wären damit nicht gezwungen, Accounts bei kommerziellen Plattformen zu betreiben. Gleichzeitig würde das „+1-Prinzip“ dezentrale Netzwerke zusätzlich beleben und stärken.

Gemeinnützigkeit für offene Software

Um offene Netzwerke zu fördern, müsse freie und offene Software ohne Gewinnerzielungsabsicht gemeinnützig werden. Software werde häufig ehrenamtlich entwickelt und bilde heute zugleich die Grundlage digitaler Infrastruktur, die Staat, Wirtschaft und Gesellschaft tagtäglich nutzen. „Um dieses digitale Ehrenamt zu würdigen, Rechtssicherheit zu schaffen und die dauerhafte Pflege rechtlich wie finanziell abzusichern, braucht es endlich einen neuen Zweck der Gemeinnützigkeit“, sagt Sabine Grützmacher, ehemalige Abgeordnete der Grünen im Deutschen Bundestag.

Darüber hinaus fordert das Bündnis den Aufbau einer „pan-europäischen, multilingualen Medienplattformen“ im Rahmen der „Apply AI Strategy“ der EU-Kommission. Und hier schließt sich der Kreis: Denn diese Medienplattform müsse dem Bündnis zufolge, auf Grundlage offener Protokolle wie Mastodons ActivityPub errichtet werden. Außerdem sollten dabei zivilgesellschaftliche Akteure sowie bestehende Initiativen wie Display Europe einbezogen werden.

Dokumentation

Das Bündnis “Offene Netzwerke und demokratische Öffentlichkeit. Dezentral, souverän und fürs Gemeinwohl!” wird derzeit getragen von:

• Digitale Gesellschaft e.V.
• Save Social – Networks For Democracy
• Zentrum für Digitalrechte und Demokratie
• D64 – Zentrum für digitalen Fortschritt
• Mastodon gGmbH
• Innovationsverbund Öffentliche Gesundheit
• Cultural Broadcasting Archive – cba.media
• DisplayEurope.eu
• Newsmast Foundation
• IFTAS – federated trust and safety
• Verband Freier Rundfunk Österreich
• Free Software Foundation Europe
• Krytyka Polityczna
• Fairkom
• Wikimedia Deutschland
• Wikimedia Österreich
• Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e. V. (FIfF)

Cyberkriminelle konnten in das Buchungssystem vom Miniatur Wunderland Hamburg eindringen. Dabei konnten sie offenbar Informationen aus dem Zahlungsverkehr mitlesen. Die Untersuchungen dauern noch an.

Auf Anfrage von heise online antwortete ein Sprecher der beliebten Modellbau-Ausstellung, dass sie Ziel eines Cyberangriffs geworden sei, bei dem Kreditkartendaten erbeutet worden seien. „Unbekannte haben Schadcode in ein Modul unseres Online-Ticketbuchungssystems eingeschleust. Dabei wurden keine bei uns gespeicherten Kreditkartendaten entwendet – wir speichern grundsätzlich keine Zahlungsdaten lokal“, teilte das Miniatur Wunderland mit. „Nach aktuellem Stand wurde der Datenverkehr zwischen unserem Server und dem Zahlungsdienstleister manipuliert, sodass der Schadcode während des Bezahlvorgangs Daten mitlesen konnte.“

Das Unternehmen sagte weiter: „Aus Vorsicht haben wir alle Besucherinnen und Besucher informiert, die im betroffenen Zeitraum Tickets gebucht haben, und den Vorfall umgehend der Datenschutzbehörde gemeldet. Polizei und externe IT-Forensiker untersuchen derzeit, wie der Angriff erfolgen konnte und welches Ausmaß die Manipulation genau hatte.“

Betroffene Systeme bereinigt

Die Kriminellen konnte das Miniatur Wunderland nach Erkennung des Einbruchs erfolgreich hinauswerfen: „Alle Systeme wurden nach Bestätigung des Anfangsverdachts umgehend bereinigt und innerhalb von 72 Stunden durch komplett neue Systeme ersetzt.“ Die Gefahr eines weiteren Datenabflusses ist damit gebannt. Allerdings haben sich die Angreifer offenbar länger eingenistet. In der Mail an Betroffene schreibt Miniatur Wunderland: „Nach derzeitigem Stand betrifft der Vorfall Bestellungen, die im Zeitraum vom 06.06.2025 bis 29.10.2025 per Kreditkarte bezahlt wurden.“

Zu den abgeflossenen Daten schreibt das Unternehmen den Kunden, „dass die vollständigen Kreditkartendaten (Karteninhaber, Kartennummer, CVV, Gültigkeit), die für Bestellungen im Ticketshop eingegeben wurden, von dem Vorfall betroffen sind. Aktuell liegen uns jedoch keine Hinweise vor, dass weitere personenbezogene Daten (z. B. Anschrift, EMail) abgeflossen sind. Die Gültigkeit Ihrer Tickets ist davon nicht betroffen.“

Die Modellbauer empfehlen, die Kreditkarte umgehend sperren zu lassen und die Kontoumsätze engmaschig zu überprüfen. Unberechtigten Forderungen sollen Betroffene unverzüglich widersprechen.

(dmk)