EU-Datenschützer: Kontrolle zurückgewinnen von Microsoft & Co.

Der Vize-EU-Datenschutzbeauftragte Wojciech Wiewiórowski sieht "erheblichen Raum für Verbesserungen" bei Verträgen von EU-Behörden mit Tech-Riesen.

In Pocket speichern vorlesen Druckansicht 44 Kommentare lesen
EU-Datenschützer: Kontrolle zurückgewinnen von Microsoft & Co.

(Bild: Tero Vesalainen / shutterstock.com)

Lesezeit: 3 Min.
Von

Seit April untersucht die Europäische Datenschutzbehörde Verträge der EU-Behörden mit Microsoft daraufhin, ob beim Einsatz von Produkten des Softwaregiganten die Privatsphäre der Anwender ausreichend geschützt wird. Anhand erster daraus gewonnener Erkenntnisse geht der Vize-EU-Datenschutzbeauftragte Wojciech Wiewiórowski von "erheblichem Raum für Verbesserungen" aus, wie er am Montag mitteilte. Es gebe "schwere Bedenken", dass sich Microsoft mit seinen Klauseln und Verarbeitungsregeln nicht an die europäischen Vorschriften wie die Datenschutz-Grundverordnung (DSGVO) hielten.

Pate für ein besseres Modell könnten laut Wiewiórowski neue Vertragsbedingungen sowie technische Schutzvorkehrungen stehen, auf die sich Microsoft mit dem niederländischen Justizministerium verständigt habe. Letzteres hatte eine Studie mit dem Ergebnis in Auftrag gegeben, dass der IT-Riese etwa über die Telemetrie-Funktion teils ohne klare Zweckangabe zu viele persönliche Daten vor allem von Office-Nutzern sammle und damit gegen die DSGVO verstoße. Microsoft besserte daraufhin nach, auch wenn die für die Untersuchung zuständige "Privacy Company" im Juli immer noch nicht ganz mit den Ergebnissen zufrieden war. Dem sollten sich noch einmal Nachverhandlungen anschließen.

Die EU-Datenschutzbehörde, deren Leiter im Sommer verstarb, hat daraufhin Ende August in Den Haag zusammen mit dem niederländischen Justizressort eine Konferenz für Administratoren aus der Verwaltung und Abgesandten von Software- und Cloud-Ausrüstern durchgeführt. Die Teilnehmer riefen dort das "Den Haager Forum" ins Leben. Es habe das Ziel, "die Kontrolle zurückzugewinnen" über die Dienste und Produkte der großen IT-Häuser, erläutert Wiewiórowski. Gemeinsam sollten eigene Standard-Vertragsbedingungen für die Verwaltung entwickelt werden als Alternative zu den Geschäftsvorgaben der Tech-Riesen.

Der Kontrolleur ermunterte alle interessierten Parteien, sich dem "The Hague Forum" anzuschließen und Musterlösungen für Outsourcing-Dienste vor allem in der Cloud zu erarbeiten. Zugleich versicherte er, dass durch eine Kooperation der Aufsichtsbehörden gewährleistet werden solle, dass die vom Justizministerium in Den Haag entwickelten Bedingungen und Maßnahmen für alle Verbraucher und Ämter im Europäische Wirtschaftsraum (EWR) gälten.

Die EU-Institutionen erinnerte Wiewiórowski ferner daran, dass sie beim Nutzen von Cloud-Diensten von Microsoft & Co. "die Verarbeitung großer Mengen an persönlichen Daten" an Dritte outsourcten. Trotzdem blieben sie voll verantwortlich auch für die in ihrem Namen durchgeführten Prozesse. Sie müssten daher vorher die damit verknüpftem Risiken abschätzen und geeignete Sicherungen einsetzen, um ausgemachte Gefahren zumindest abzumildern.

Auch der Verband kommunaler IT-Dienstleister Vitako legte noch einmal nach, nachdem er vor einigen Monaten "industriepolitische Initiativen" gefordert hatte, um die inzwischen auch von Gutachtern festgestellte massive Abhängigkeit von einzelnen Anbietern zu verringern. Es sei nicht auszuschließen, dass die Regierung in Washington unter Präsident Donald Trump im Handelsstreit damit drohe, "die Software amerikanischer Unternehmen in Europa stillzulegen", gab Vitako-Vorstand Johann Bizer jüngst bei einem Parlamentarischen Abend zu bedenken.

[Update 24.10.2019 11:50]:

Ein Sprecher von Microsoft versicherte inzwischen gegenüber heise online, dass sich der Konzern verpflichtet habe, seine Kunden bei der Einhaltung der DSGVO und anderen einschlägigen Rechtsvorschriften zu unterstützen. Man sei derzeit im Gespräch mit den Kunden in den EU-Institutionen und werde bald die entsprechenden Verträge so ändern, dass sie Kritik, wie sie etwa der Europäische Datenschutzbeauftrage geübt habe, ausräumten. (siko)