Wie mehrere Portale und Webseiten, wie t3n, berichten wurde das Unternehmen Giphy von Facebook für angeblich 400 Millionen Dollar gekauft. Dies hat unmittelbare Auswirkungen auf Office 365 und konkret auf Microsoft Teams.
Giphy und Microsoft Teams
Giphy ist eine Funktionserweiterung für Microsoft Office 365 / Microsoft 365, die für viele Nutzer essenziell sind und auch oft ein Grund gerade Microsoft Teams einzusetzen.
Hier ein Beispiel und Screenshot aus Microsoft Teams und genauer dem 1 zu 1 Chat:
Unterauftragsverarbeiter
Giphy Inc ist nicht in der Liste der Unterauftragsverarbeitern zu finden. Damit ist die Dokumentation unvollständig von Microsoft oder es liegt keine Unterauftragsverarbeitung vor. Wie ihr oben seht, werden bei der Nutzung die Datenschutzerklärung und auch die Nutzungsbedingungen angezeigt. Wenn keine Bezahlung des Dienstes durch Microsoft erfolgt, erfolgt hierschon die Übertragung und Bezahlung durch die Daten der Nutzer, dies hoffe ich nicht.
-> Ich warte hier auf eine Stellungnahme von Microsoft.
Unterlagen von Microsoft: Unterauftragsverarbeiter und Supportdienstleister
Giphy Inc. -> https://support.giphy.com/hc/en-us/articles/360020287091-GIPHY-DMCA-Copyright-Policy
Terms of Use Giphy: https://support.giphy.com/hc/en-us/articles/360020027752-GIPHY-User-Terms-of-Service
Datenschutz Giphy: https://support.giphy.com/hc/en-us/articles/360032872931-GIPHY-Privacy-Policy
Auswirkungen
Die Gefahr in diesem Kauf durch Facebook und die Nutzung von Giphy kann in dem Umstand liegen, dass Facebook durch den Zukauf an die Daten der Nutzer möchte, um diese ähnlich wie beim Zukauf von Whatsapp für die Platzierung von Werbung und das Profiling von Nutzern auszunutzen.
Diese Übertragung ist aus der Sicht des Datenschutzes als kritisch zu definiern. Es muss zwingend ein Riskmanagement für Giphy überarbeitet werden und im Zweifel der Dienst entfernt.
Erste Maßnahme
Mögliche Maßnahmen:
Maßnahme | Machbarkeit | Herausforderung |
Gihpy abschalten | einfach | Mitarbeitern diese Funktion wieder zu nehmen, ist nicht einfach und schwer. |
Zusatzvertrag | individueller Zusatzvertrag/M-Vertrag mit Microsoft schließen
schwer |
Hierbei muss mit dem Account Manager und konkret Cela verhandelt werden.
(Unterstützung? -> raphael.koellner@rakoellner.com) |
Zusatzvertrag mit Giphy | schwer | Ihr habt zunächst keinen Vertrag mit Giphy, sondern lediglich Microsoft. Auf eine Anfrage hat Giphy Inc. seit 7 Tagen nicht geantwortet. |
Abschalten – Messaging Policies
Möglichkeit: alle oder nur bestimmte Gruppen
-> Schalter auf “Off”
Hinweis: Ihr könnt die Nutzung nur für euren Tenant abschalten und nicht für fremde Tenants. In den Umgebungen anderer können eure Nutzer auch Giphys nutzen und damit könnten Daten versendet werden.
https://docs.microsoft.com/en-us/microsoftteams/messaging-policies-in-teams
———————————- [Update 23.05.2020]—————————
Giphy – gernelle Herausforderungen
- Urheberrecht
- Datenschutz
- Vertragsrecht
Urheberrecht
Bei der Nutzung von Giphys wird in den USA nach dem Prinzip “fair use” gearbeitet:
“The copyright laws of many countries have specific exceptions and limitations to copyright protection. For example, in the United States, “fair use” allows you to use a copyrighted work without permission in certain circumstances (e.g., a book review that includes some of the book being reviewed). For useful descriptions of fair use, see the fair use Wikipedia entry and the Electronic Frontier Foundation. ”
https://www.microsoft.com/en-us/legal/Copyright/Default.aspx
Fair to use: https://www.copyright.gov/fair-use/fair-index.html und konkret in den USA benannt unter: § 107 des US-amerikanischen Copyright Act (17 U.S.C.)
Dieses Prinzip “fair to use” ist in Europa und explizit in Deutschland nicht bekannt. Wer urheberrechtlich geschütztes Material nutzt, muss die entsprechende Berechtigung/Lizenz/Einwillung mit dem Urheber oder seinem Vertreter oder ausschließlichen Lizenzinhaber haben. In der Regel ist der Nutzer nicht geschützt über das in den USA vorliegende Fair to use Prinzip. Damit kann es zu urheberrechtlichen Auseinandersetzungen kommen.
Risko: hoch
Ergebnis: deaktivieren
Datenschutz
Es besteht keine vertragliche Verbindung zwischen Giphy und dem Office 365 einsetzenden Unternehmen. Das Unternehmen Giphy und tenor ist nicht in der Unterauftragnehmer Liste aufgelistet. Damit gelten diesbezüglich auch keine OSts, keine EU Modelclauses, kein DPA Anhang und auch keine allgemeinen Datenschutzerklärungen von Microsoft. Es gelten die von Giphy und tenor, die den Dienst kostenlos anbieten. Der Verdacht liegt nahe, dass diese Daten sammeln und diese zu Verbesserung der Werbung an Dritte verkaufen. Dies darf nicht passieren. Die Datenschutzerklärungen sind meiner Ansicht nach von Giphy und tenor ebenfalls nicht ausreichend, es fehlen auch entsprechende Zertifizierungen und Nachweise wie Privacy Shield.
Risiko: hoch
Ergebnis: deaktivieren
Anfrage läuft bei Giphy und tenor seit 20.05.2020.
internationales Vertragsrecht
Bei der Nutzung muss auf das internationale Privatrecht / Vertragsrecht zurück gegriffen werden. Hierbei könnte ein Vertrag zu den Nutzungsbedingungen der Anbieter mit der Nutzung des Dienstes durch den einzelnen Mitarbeiter gekommen sein oder durch das Unternehmen generell.
[Folgt/ Im Aufbau]
Generelle Meinungen (Twitter)
Empfehlung eines IT Mitarbeiters der Universität Würzburg: Dienst deaktivieren
Giphys und Yammer
Giphys werden sogar noch mehr bei Yammer eingesetzt. Hierbei handelt es sich aber nicht um den Dienst Giphy, sondern um den Dienst Tenor.
Tenor, Inc.
1600 Amphitheatre Parkway
Mountain View, CA 94043
Email: copyright@tenor.com
Urheberrecht: https://www.microsoft.com/en-us/legal/Copyright/Default.aspx
Datenschutz: https://tenor.com/legal-privacy
Nutzungsbedingungen: https://tenor.com/legal-terms
Dokumentation: https://tenor.com/gifapi/documentation
In Yammer deaktivieren
Network Admin -> Configuration
Kommentar
Der Giphy Dienst von Tenor ist leider auch nicht in der Liste der Unterauftragnehmer zu finden. Ebenso ist der Dienst nicht in den Microsoft Service Online Terms zu finden. Er Giphy Dienst ist aber fest in Yammer eingebaut.
Eine verbindliche, vertragliche Regelung gibt es dafür nicht, nach meiner Recherche nicht. Es sollten also die gleichen Maßnahmen ergriffen werden, wie auch für Giphy und dies ist die Deaktivierung des Dienstes.