Warum Microsoft 365 trotz EU-Absolution nicht sicher ist

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Die Entscheidung des EU-Datenschutzbeauftragten, dass es bei der Verwendung von Microsoft 365 durch die Europäische Kommission keinerlei Datenschutzbedenken gibt, ist rechtlich nachvollziehbar. Der Grund: Er beruft sich auf den nach wie vor bestehenden Angemessenheitsbeschluss zwischen den Vereinigten Staaten und der Europäischen Union, wonach in den USA ein den europäischen Rechten vergleichbares Datenschutzniveau vorherrscht. Faktisch jedoch bedeutet es nichts anderes, als dass man sich offiziell damit begnügt, dem transatlantischen Datenschutz nur auf dem Papier zur Geltung zu verhelfen.

Dennis-Kenji Kipker

Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht an der Hochschule Bremen und arbeitet dort an der Schnittstelle von Recht und Technik in der Informationssicherheit und im Datenschutz.

Zunächst gilt diese Entscheidung nur für die EU-Kommission selbst, die dem Vernehmen nach erhebliche zusätzliche technisch-organisatorische Maßnahmen zur Absicherung ihrer Daten getroffen hat. Ferner lässt sie eine elementare Tatsache außer Acht: Der Angemessenheitsbeschluss steht nämlich auf mehr als nur tönernen Füßen. Unmittelbar nach der Amtsübernahme von US-Präsident Donald Trump wurden im Privacy and Civil Liberties Oversight Board (PCLOB) drei Mitglieder aufgefordert, das Gremium zu verlassen – womit das Quorum zur Entscheidungsfähigkeit dieses Gremiums fehlte, das einen essenziellen Bestandteil des geltenden EU-US Data Privacy Frameworks ausmacht.

Und nicht nur das: Schon in der Vergangenheit, sowohl unter den Vorgängerabkommen Safe Harbor wie auch Privacy Shield, wurde regelmäßig deutlich, dass sich US-Konzerne infolge laxer Kontrollstrukturen nicht an das Abkommen hielten oder die Vorgaben durch US-Behörden nicht richtig durchgesetzt wurden. Nicht ohne Grund hat der Europäische Gerichtshof beide Abkommen innerhalb kurzer Zeit gekippt.

Sich jetzt auf die EU-Datengrenze von Microsoft zu berufen, um Datensicherheit und Datenschutz im transatlantischen Verhältnis zu gewährleisten, ist im Ergebnis nichts anderes, als seine Augen vor den nach wie vor bestehenden massiven Problemen zu verschließen. Und die Frage ist ja auch, warum es überhaupt einer sogenannten Datengrenze bedarf, wenn das Datenschutzniveau in den Vereinigten Staaten den europäischen Gewährleistungen entspricht. Diese Datengrenze ist nach detaillierter Analyse nicht besser als ein Schweizer Käse, indem sie Microsofts Juristen von vornherein so schwammig formulierten, dass im Ergebnis nahezu jede Art von Datenübermittlung zu zahllosen Zwecken möglich ist. Im Ergebnis entscheiden letztlich weder der Kunde noch Microsoft selbst darüber, was mit diesen Daten eigentlich geschieht.

Eigentliche Probleme bleiben

Insoweit mag die Entscheidung des EU-Datenschutzbeauftragten zumindest gegenwärtig noch rechtlich zutreffend sein. In der Sache ist sie aber enttäuschend, da sie sich gerade nicht mit den eigentlichen Problemen auseinandersetzt. Und wenn jetzt allenthalben kommentiert wird, dass damit der offizielle europäische Nachweis erbracht wird, Microsoft Cloud-Produkte in jedem Falle für jedermann rechtssicher nutzen zu können, ist das irreführend: Denn zum einen ist die Cloud-Verwendung von EU-Kommission und Co. nicht mit dem Microsoft Standardprodukt für den Mittelstand vergleichbar. Zum anderen hat der EU-Datenschutzbeauftragte gar keine Zuständigkeit, um die Rechtmäßigkeit der Datenverarbeitung durch nationale Unternehmen in Deutschland (und anderswo) zu beurteilen – denn dafür sind die Landesdatenschutzbeauftragten zuständig, die das im Zweifelsfall auch ganz anders sehen können. Eine Signalwirkung geht von dieser Entscheidung nicht im Geringsten aus.

Und selbst wenn man trotz allem der Argumentation des europäischen Datenschutzbeauftragten im Ergebnis folgt, stellt sich die Frage, wie lange eine solche Entscheidung denn Gültigkeit besitzt. Bislang waren die datenschutzrechtlichen Angemessenheitsbeschlüsse zwischen der EU und den USA noch nie eine Ewigkeitsgarantie für den transatlantischen Datenaustausch. Ganz im Gegenteil: Mit Blick auf die politischen Entwicklungen weltweit sollten EU-Behörden und Unternehmen diese Entscheidung nicht als Vorlage nehmen, sondern vielmehr als Warnhinweis verstehen, wie unsicher es eigentlich um den transatlantischen Datenschutz bestellt ist.

(fo)