Tobias Gerlinger, CEO bei ownCloud (Quelle: ownCloud)
Die Datenschutzkonferenz von Bund und Ländern hat den Einsatz von Microsoft 365 für rechtswidrig erklärt. Ohne dieses Tool sei ein digitales Leben aber nicht möglich, meinen Kritiker. Diese Behauptung ist abenteuerlich.
Statement von Tobias Gerlinger, CEO und Managing Director von ownCloud in Nürnberg
»Dass sich Microsoft 365 nicht mit europäischen Datenschutzgesetzen verträgt, ist längst kein Geheimnis mehr. Die gemeinsame Festlegung der Datenschutzkonferenz von Bund und Ländern (DSK) hat dennoch eine neue Qualität. Ende November erklärte die DSK den Einsatz des Public-Cloud-Dienstes für unvereinbar mit der DSGVO. Es fehle an der nötigen Transparenz, welche personenbezogenen Daten Microsoft für seine eigenen Zwecke verarbeitet, und auch an einem Beleg für die Rechtmäßigkeit dieser Verarbeitung. Dieser Konsens der obersten Datenschützer dürfte die Ahndung von Verstößen wahrscheinlicher machen und damit den Einsatz von Microsoft 365 riskanter.
Die Bewertung der DSK stärkt das europäische Datenschutzrecht und ist deshalb zu begrüßen. Doch es regt sich auch Kritik. Manch andere Datenschützer beklagen öffentlich die Festlegung und warnen, dass mangels Alternativen ein digitales Leben ohne Microsoft 365 momentan gar nicht möglich sei. Diese Behauptung ist abenteuerlich und entbehrt jeglicher Grundlage.
Selbstverständlich gibt es für sämtliche Anwendungsbereiche des Microsoft-Dienstes vollwertige Alternativen. Unternehmen haben beispielsweise die Möglichkeit, komplette Kollaborationslösungen inklusive Cloud-Speicher, Web Office, Video und Chat aus einer Hand zu beziehen und bei einem DSGVO-konformen Hoster ihrer Wahl betreiben zu lassen oder, noch einfacher und bequemer, als Software-as-a-Service zu nutzen. Also: Ein digitales Leben ohne Microsoft 365 ist jederzeit möglich – auch ohne Verstöße gegen Datenschutzrecht und ohne Preisgabe der digitalen Souveränität.
Microsoft 365 und der Datenschutz: Der Einsatz von Microsoft 365 ist wie fast alles eine Frage der Risikoabwägung
Illustration: Absmeier Geralt
Produkte von Microsoft setzt fast jedes Unternehmen ein: Ob als Betriebssystem, als E-Mail Programm Outlook oder Exchange-Server und viele von ihnen nutzen bereits die Cloudprodukte wie Microsoft 365 oder denken über deren Einführung nach – wäre da nicht die Sache mit dem Datenschutz. Nicht grundlos, denn immer wieder wiesen Datenschutzbeauftragte von Bund und Ländern auf schwerwiegende datenschutzrechtliche Problematiken bei der Nutzung von Microsoft-365-Produkten hin.
»Das Thema ist gerade aktueller denn je, denn Microsoft hat im September 2022 eine neue Fassung seines Auftragsverarbeitungsvertrags veröffentlicht, in dem das Unternehmen die neuen Standardvertragsklauseln der EU-Kommission übernommen hat. Dies war erforderlich, weil der Europäische Gerichtshof mit dem Schrems-II-Urteil das sogenannte Privacy Shield, welches als Grundlage für die Datenübermittlung in die USA fungierte, für ungültig erklärt hat«, weist Patrycja Schrenk, Geschäftsführerin der IT-Sicherheitsexperten PSW GROUP (www.psw-group.de) hin.
Mit der Datenschutzkonformität von Microsoft 365 befasste sich auch die Deutsche Datenschutzkonferenz (DSK), um zu klären, ob das von Microsoft angebotene Bürosoftware-Paket den hiesigen Datenschutz-Vorgaben genügt und damit großflächig in Behörden, Schulen und anderen öffentlichen Einrichtungen eingesetzt werden kann. Die achtseitige Zusammenfassung der Untersuchung stellt unter anderem fest, »[…] dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten‚ Datenschutznachtrags vom 15. September 2022 nicht geführt werden kann. […]«
»Microsoft kann demnach nicht beweisen, dass es die Vorgaben des Datenschutzes einhält. Weil aber andersherum auch keine konkreten Verstöße festzustellen sind, gibt es keine Konsequenzen. Wichtig bei der ganzen Bewertung durch den Arbeitskreis ist, dass die DSK sich nur mit dem Auftragsverarbeitungsvertrag beschäftigt hat und eine technische Prüfung nicht Teil der Untersuchung war«, erläutert Patrycja Schrenk.
Tatsächlich lassen sich vier Hauptprobleme ausmachen. So verarbeite Microsoft laut Deutscher Datenschutzkonferenz Daten auch zu eigenen Zwecken, beispielsweise für Telemetriedienste und Produktforschung. Zweitens gelten selbst bei einem vereinbarten Serverstandort in Europa noch der CLOUD Act und der Foreign Intelligence Surveillance Act (FISA). Somit muss immer ein potenzieller Drittlandtransfer angenommen werden. Darüber hinaus kann es durch einige Tools und Features zur Verhaltensüberwachung von Mitarbeitenden kommen. Und viertens bietet Microsoft ausschließlich gegen Aufpreis ein Security und Compliance Center an, um die eigene Instanz datenschutzkonformer und sicherer zu gestalten.
»Grundsätzlich ist festzuhalten, dass die DSK und ihre Arbeitskreise keine rechtlich bindenden Beschlüsse verfassen können und nur eine Stimme von 27 in Europa sind. Aus unserer Sicht, ist es deshalb durchaus möglich und vertretbar Microsoft 365 einzusetzen, wenn verschiedene Punkte dabei beachtet werden. Wie fast immer ist es eben eine Frage der Risikoabwägung und letztendlich auch der Einstellung der Instanz«, meint Schrenk und gibt einen Rat: »Wer einen Betriebsrat im Unternehmen hat, sollten diesen vor der Einführung von Microsoft 365 hinzuzuziehen. Dasselbe gilt selbstverständlich auch für die Einbeziehung des oder der Datenschutzbeauftragten.«
Möglicherweise relativiert sich das Thema aber ohnehin, wenn der Nachfolger des US Privacy Shields kommt. Es scheint im Zuge des Trans-Atlantic Data Privacy Frameworks (TADPF) wieder ein angemessenes Datenschutzniveau in Aussicht zu stehen.