Illustration: Absmeier Geralt
Produkte von Microsoft setzt fast jedes Unternehmen ein: Ob als Betriebssystem, als E-Mail Programm Outlook oder Exchange-Server und viele von ihnen nutzen bereits die Cloudprodukte wie Microsoft 365 oder denken über deren Einführung nach – wäre da nicht die Sache mit dem Datenschutz. Nicht grundlos, denn immer wieder wiesen Datenschutzbeauftragte von Bund und Ländern auf schwerwiegende datenschutzrechtliche Problematiken bei der Nutzung von Microsoft-365-Produkten hin.
»Das Thema ist gerade aktueller denn je, denn Microsoft hat im September 2022 eine neue Fassung seines Auftragsverarbeitungsvertrags veröffentlicht, in dem das Unternehmen die neuen Standardvertragsklauseln der EU-Kommission übernommen hat. Dies war erforderlich, weil der Europäische Gerichtshof mit dem Schrems-II-Urteil das sogenannte Privacy Shield, welches als Grundlage für die Datenübermittlung in die USA fungierte, für ungültig erklärt hat«, weist Patrycja Schrenk, Geschäftsführerin der IT-Sicherheitsexperten PSW GROUP (www.psw-group.de) hin.
Mit der Datenschutzkonformität von Microsoft 365 befasste sich auch die Deutsche Datenschutzkonferenz (DSK), um zu klären, ob das von Microsoft angebotene Bürosoftware-Paket den hiesigen Datenschutz-Vorgaben genügt und damit großflächig in Behörden, Schulen und anderen öffentlichen Einrichtungen eingesetzt werden kann. Die achtseitige Zusammenfassung der Untersuchung stellt unter anderem fest, »[…] dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten‚ Datenschutznachtrags vom 15. September 2022 nicht geführt werden kann. […]«
»Microsoft kann demnach nicht beweisen, dass es die Vorgaben des Datenschutzes einhält. Weil aber andersherum auch keine konkreten Verstöße festzustellen sind, gibt es keine Konsequenzen. Wichtig bei der ganzen Bewertung durch den Arbeitskreis ist, dass die DSK sich nur mit dem Auftragsverarbeitungsvertrag beschäftigt hat und eine technische Prüfung nicht Teil der Untersuchung war«, erläutert Patrycja Schrenk.
Tatsächlich lassen sich vier Hauptprobleme ausmachen. So verarbeite Microsoft laut Deutscher Datenschutzkonferenz Daten auch zu eigenen Zwecken, beispielsweise für Telemetriedienste und Produktforschung. Zweitens gelten selbst bei einem vereinbarten Serverstandort in Europa noch der CLOUD Act und der Foreign Intelligence Surveillance Act (FISA). Somit muss immer ein potenzieller Drittlandtransfer angenommen werden. Darüber hinaus kann es durch einige Tools und Features zur Verhaltensüberwachung von Mitarbeitenden kommen. Und viertens bietet Microsoft ausschließlich gegen Aufpreis ein Security und Compliance Center an, um die eigene Instanz datenschutzkonformer und sicherer zu gestalten.
»Grundsätzlich ist festzuhalten, dass die DSK und ihre Arbeitskreise keine rechtlich bindenden Beschlüsse verfassen können und nur eine Stimme von 27 in Europa sind. Aus unserer Sicht, ist es deshalb durchaus möglich und vertretbar Microsoft 365 einzusetzen, wenn verschiedene Punkte dabei beachtet werden. Wie fast immer ist es eben eine Frage der Risikoabwägung und letztendlich auch der Einstellung der Instanz«, meint Schrenk und gibt einen Rat: »Wer einen Betriebsrat im Unternehmen hat, sollten diesen vor der Einführung von Microsoft 365 hinzuzuziehen. Dasselbe gilt selbstverständlich auch für die Einbeziehung des oder der Datenschutzbeauftragten.«
Möglicherweise relativiert sich das Thema aber ohnehin, wenn der Nachfolger des US Privacy Shields kommt. Es scheint im Zuge des Trans-Atlantic Data Privacy Frameworks (TADPF) wieder ein angemessenes Datenschutzniveau in Aussicht zu stehen.