C't veri koruma podcast'i Matter of Interpretation'ın 156. bölümünde, editör Holger Bleich ve Haberler yayıncılık avukatı Joerg Heidrich, veri koruma dünyasını eşi benzeri olmayan bir şekilde etkileyen bir konuyu ele alıyor: Microsoft 365. Konuk, Hannover'de BT hukuku ve veri koruma konusunda uzmanlaşmış avukat ve Hannover Uygulamalı Bilimler Üniversitesi'nde öğretim görevlisi olan lexICT GmbH'nin genel müdürü Kai Korte.
Duyurudan sonra devamını okuyun
Her şeyden önce, bu üçü şaşırtıcı güncel bir gelişmenin altını çiziyor: Yeni faaliyet raporlarının gösterdiği gibi, bazı denetleyici otoritelerdeki veri koruma şikayetlerinin sayısı neredeyse iki katına çıktı. Baden-Württemberg'de 2024'te 4.000 civarında olan sayı 2025'te 7.600'ün üzerine, Hamburg'da ise 2.600'den 4.200'e çıktı. Çeşitli otoriteler de bu olguyu yapay zekanın ürettiği şikâyetlere bağlamaktadır. İlgililer, chatbot ile oluşturulan metinleri tamamlayıp denetleyici makama göndereceklerdi. Yetkililer kapasite sınırlarına ulaştıkları konusunda uyarıyor.
Avukat Kai Korte'nin yorum meselesiyle ilgili podcast'i
Bir diğer konu ise Avrupa Adalet Divanı'nın (ATAD) bilgi edinme hakkına ilişkin mevcut kararı. “Glass Rottler” davasında mahkeme, ilk bilgi talebinin bile hakların kötüye kullanılması olarak sınıflandırılabileceğine karar verdi. Bir adam bir gözlükçünün haber bültenine kaydoldu ve yalnızca 13 gün sonra kapsamlı bir soruşturma gönderdi. Ancak Avrupa Adalet Divanı büyük engeller koyuyor: Sorumlu kişi, başvuru sahibinin veri koruma yasasının amaçlarını takip etmediğini objektif olarak kanıtlamalı ve aynı zamanda kötüye kullanma niyetinde olduğunu da göstermelidir. Korte çok hızlı genelleme yapılmasına karşı uyarıda bulunuyor; istisnai bir durum olmaya devam ediyor.
Microsoft 365 Mayın Tarlası
Daha sonra üçü ana konuya giriyor: Microsoft 365. Bleich öncelikle ürün evreninin ne kadar karmaşık olduğunu açıklıyor. İsmin arkasında Office uygulamalarından Teams ve SharePoint'e kadar çok sayıda bireysel ürün bulunmaktadır. Fiyatlar, küçük şirketler için kullanıcı başına aylık 11 Euro'nun biraz altından, büyük iş paketi için 55 Euro'nun üzerine kadar değişmektedir. Pek çok güvenlik özelliği yalnızca pahalı versiyonlarda bulunur ve Microsoft, özellikleri düzenli olarak paketler arasında taşır.
Veri koruma yasası açısından Microsoft 365 bir mayın tarlası olmaya devam ediyor. ABD grubu, verilerin ABD'ye aktarımını resmi olarak garanti eden Transatlantik Veri Gizliliği Çerçevesine katılmaktadır. Ancak Korte, Bulut Yasası ve ABD yetkililerinin geniş erişim yetkilerinin sorunlu olmaya devam ettiğine dikkat çekiyor. Microsoft, Avrupalı şirketlerden gelen verilerin, AB veri sınırı olarak adlandırılan AB içinde saklanacağını sözleşmeye bağlı olarak garanti eder. Ancak ABD'den bakım erişimi hâlâ mümkün ve bir Microsoft baş danışmanı, ABD'nin tahliye kararına direnmenin zor olacağını kamuoyu önünde itiraf etti.
Merkezi bir kritik nokta, telemetri ve teşhis verilerinin işlenmesiyle ilgilidir. Microsoft arka planda çok sayıda meta veri toplar: kayıt süreleri, çağrı süreleri, katılımcı listeleri, kullanıcı etkinliği. Tam olarak hangi veri alanlarının kaydedildiği ve bunlara ne olduğu büyük ölçüde belirsizliğini koruyor. 2025'in sonunda Hessen veri koruma görevlisi, Microsoft 365'in kamu kurumlarında kullanımının belirli koşullar altında mümkün olduğunu beyan ettiği bir rapor yayınladı. Ancak veri akışlarını teknik olarak doğrulamadan yalnızca Microsoft'tan gelen bilgilere güvendi.
Pragmatik açıdan: uygulama mümkündür
Duyurudan sonra devamını okuyun
Bleich ayrıca Microsoft'un Sentinel ve Purview eklenti ürünlerine de atıfta bulunuyor; bu ürünler sayesinde şirketler, potansiyel ihbarcıların veya veri hırsızlarının yapay zeka destekli tespiti de dahil olmak üzere çalışanlarının davranışlarını analiz edebiliyor (özellikle yorum vakasının 123. bölümünü dinleyin). Korte, Purview'in güçlü bir güvenlik aracı olduğunu kabul ediyor ancak meşru güvenlik izleme ile uygunsuz çalışan profili oluşturma arasındaki ince çizgi konusunda uyarıyor.
Korte, şirketlerin Microsoft 365'i kullanmadan önce veri koruma etki değerlendirmesi yapması gerekip gerekmediği sorusuna farklı bir yanıt sunuyor: Denetçiler bunu gerektirir ancak özel veri kategorileri olmayan küçük şirketler için kesinlikle gerekli değildir. Ancak işlenen verilere ilişkin genel bir bakışa sahip olmak her zaman iyidir. Pragmatik açıdan bakıldığında riskleri bildiğiniz ve yapılandırmayı kontrol altında tuttuğunuz sürece Microsoft 365'i kullanabilirsiniz.
Sonuçta alternatifler sorunu varlığını sürdürüyor. Bleich, Nextcloud tabanlı çözümlere işaret ediyor ve şu sonuca varıyor: Bu ürünler, daha büyük şirketlerdeki günlük işler için Microsoft 365'in yanına bile yaklaşmıyor. Ionos ve Nextcloud'dan “Euro-Office” adlı yeni bir girişim yaz aylarında başlayacak, ancak yetişip yetişemeyeceği henüz bilinmiyor.
Korte, kamu yönetimine yönelik OpenDesk projesinin de dijital egemenliğe doğru atılmış bir adım olduğunu ekliyor. Üçü aynı fikirde: Avrupa alternatiflerine acilen ihtiyaç var, ancak henüz rekabetçi değiller. Şu an için Microsoft'a olan bağımlılık devam ediyor ve onunla birlikte veri koruma sorunları da devam ediyor.
156.Bölüm:
Önceki tüm bölümleri burada bulabilirsiniz:
(kabarık)
Bir yanıt yazın