Datensicherheit im Internet

Datenschutzprobleme bei Microsoft Office 365

Das war ein datenschutzrechtlicher Urknall: Ende November 2022 teilte der Bundesdatenschutzbeauftragte Ulrich Kelber als Ergebnis der Datenschutzkonferenz von Bund und Ländern (DSK) mit, dass dieses Gremium die Nutzung von Microsoft Office 365 in Unternehmen, Behörden und Schulen als nicht rechtskonform im Sinne des Datenschutzes einstuft. Dabei gilt das wohl verbreitetste Produkt des Microsoft-Konzerns bisher als über (fast alle) Zweifel erhaben.

Hauptmangel ist ungenügende Transparenz

Nach den Aussagen von Ulrich Kelber genügen die Erwiderungen von Microsoft auf die Fragen der obersten Datenschützer aus Deutschland hinten und vorne nicht. So gebe es Transparenzdefizite bei der Verarbeitung personenbezogener Daten. Dies betreffe insbesondere Biometrie-, Diagnose und Telemetriedaten. Microsoft könne keinen Nachweis erbringen, dass die Auftragsverarbeitung für eigene Zwecke rechtmäßig ist. Obwohl Microsoft sich in den letzten Jahren bemüht zeigte, auch mit den strengen europäischen Datenschutzbehörden einen Konsens zu finden, scheint das Unterfangen nun in einer Sackgasse festzustecken.

Dabei hatte Deutschlands oberste Datenschutzbehörde Vorschläge unterbreitet, den unkontrollierten Datenabfluss in die USA zu stoppen. Ein von Kelber vorgeschlagener Ausweg wäre die Praxis einer Mikrovirtualisierung oder die Einschaltung eines Proxyservers, der den Datenfluss zum Softwarekonzern blockieren könnte. Der oberste deutsche Datenschützer zweifelt aber, dass sich MS Office „einfach mal so auf einem Rechner ohne weitere Schutzmaßnahmen nutzen lässt“. Microsoft hatte übrigens die Prozesse bei der Auftragsverarbeitung mit den aktuellen EU-Standradvertragsklauseln in Einklang gebracht.

Nun sind die Firmennutzer gefordert

Es liegt nicht in der Absicht der DSK, eine Pauschalaburteilung des Microsoft-Konzerns zu lancieren. Der erstellte Bericht dürfte nicht nur Schulen, öffentliche Einrichtungen und Behörden interessieren, sondern auch Firmen, die reihenweise Office 365 nutzen. Der baden-württembergische Landesdatenschützer Stefan Brink, dessen Team maßgeblichen Anteil an dem jüngsten DSK-Beschluss hatte, sieht jetzt die Unternehmer in der Pflicht. In einem Interview mit dem Portal Golem machte er deutlich, „dass sie selbst die Verantwortlichen sind und dass sie als Verantwortlicher selbst die Datenschutzkonformität ihrer Prozesse nicht nur sicherstellen, sondern auch nach Artikel 5 Abs. 2 DSGVO nachweisen müssen. Dieser Nachweis kann nicht allein durch Bezugnahme auf Unterlagen von Microsoft geführt werden, sondern die Verantwortlichen müssen sich selbst von der Rechtskonformität aller Verarbeitungen überzeugen und gegebenenfalls auch weitergehende Ermittlungen dazu anstellen.“

Unternehmen müssten sich, so Brink, darüber informieren, ob und wie Microsoft im individuellen Fall als Dienstleister Datenverarbeitung für eigene Zwecke betreibt. Allerdings räumt der Datenschützer ein, dass dies ein absolut schwieriges Unterfangen ist, das selbst größere IT-Abteilungen vermutlich überfordern wird, geschweige denn den externen oder einmal geschulten Datenschutzbeauftragten.

Zertifikate wären unter Umständen ein Lösungsweg

Zertifikate, die dem Artikel 42 DSGVO entsprechen, könnten relativ schnell Abhilfe schaffen. Allerdings sind diese derzeit noch nicht zu bekommen. Indem Microsoft im Sinne einer datenschutzkonformen Auftragsverarbeitung zertifizierte Services anbietet, müssten die Unternehmer ihrerseits keine aufwendigen Nachweise erbringen. Allerdings spielt hier Zukunftsmusik. Denn die immer wieder angekündigte Möglichkeit der Zertifizierung im Datenschutz findet nach wie vor nicht statt – auch aufgrund von Versäumnissen und mangelnden Aktivitäten der hiesigen Datenschutzbehörden. So bleibt abzuwarten, wie dieses zunehmend wellenschlagende Politikum um Microsoft Office in die nächste Runde gehen wird. Für Unternehmen aller Größen ist nun also ein Problem aufgetreten, für das weder der Dienstleister Microsoft noch die deutschen Datenschutzbehörden eine praktikable Lösungsmöglichkeit anbieten. Jetzt heißt es, selbst handeln, um eventuelle Strafen zu vermeiden – was zu enormen Kosten und noch größerem Frust führen dürfte.

Zurück

Hier bloggt Ihre Redaktion.