Office 365: Microsoft wirft Datenschützern "ausufernden Aufsichtsansatz" vor
Das Festhalten der Datenschutzkonferenz an ihrem Urteil, dass derzeit kein datenschutzgerechter Einsatz von Microsoft 365 möglich ist, weist der Konzern zurück.
(Bild: mixmagic/Shutterstock.com)
In ungewohnt scharfen Tönen hat Microsoft auf die Einschätzung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) reagiert, wonach noch immer kein datenschutzgerechter Einsatz des Office-Pakets 365 möglich ist. Man nehme die Bedenken ernst, heißt es in einer Stellungnahme der deutschen Microsoft-Niederlassung: "Jedoch halten wir viele der datenschutzrechtlichen Einschätzungen sowie die Schlussfolgerungen der DSK für grundlegend falsch."
Datenschutz als "dogmatischer Selbstzweck"
"Kunden in Deutschland und in der gesamten EU" könnten die "365"-Produkte wie Word, Excel oder Teams "weiterhin bedenkenlos und rechtssicher nutzen", schreibt Microsoft in einer Mitteilung. Die von der DSK vorgebrachte Kritik berücksichtige "die von uns bereits vorgenommenen Änderungen nicht angemessen" und beruhe "auf mehreren Missverständnissen hinsichtlich der Funktionsweise unserer Dienste und der von uns bereits ergriffenen Maßnahmen".
Einige der Kontrolleure in Deutschland scheinen die Datenschutz-Grundverordnung (DSGVO) "übermäßig risikoscheu und die Pflichten von Verantwortlichen ausufernd auszulegen", wird Microsoft in dem Konter noch deutlicher. Ein solcher überbordender Aufsichtsansatz, "der keinen Betroffenenschutz mehr verfolgt", mache Datenschutz "zum dogmatischen Selbstzweck".
Ein solcher Ansatz "überfordert und lähmt Verantwortliche" wie Schulleiter bei der Erstellung einer Datenschutz-Folgenabschätzung, moniert Microsoft. "Auch bremst er die erfolgreiche Digitalisierung Deutschlands und die Strategie für einen digitalen Aufbruch der Bundesregierung". Es drohten "ein nicht zu verantwortender Rückstand des deutschen Bildungssystems und der Digitalisierung der deutschen Verwaltung".
Fehlende Transparenz beim Datenschutz
Microsoft veröffentlichte im September einen aktualisierten "Datenschutznachtrag" zu den eigenen Produkten und Services zur Neufassung des Auftragsverarbeitungsvertrags. Die überarbeiteten Dokumente lieferten aber nicht die nötige Transparenz, welche Daten von dem Unternehmen "für eigene Zwecke verwendet werden können", beklagt die DSK.
Von "eigenen Zwecken" Microsofts zu sprechen sei "irreführend", hält der Konzern dagegen. "Die Verarbeitung für Geschäftstätigkeiten ist durch die Bereitstellung der Produkte und Dienste an den Kunden veranlasst und erfolgt auch im Interesse der Kunden."
Die Datenschützer führten daher eine "rein akademische, den Interessen der Betroffenen und Kunden in keiner Weise dienende Diskussion". Die datenschutzrechtliche Relevanz der eigenen Geschäftstätigkeiten sei minimal: Microsoft greife nicht auf Inhaltsdaten von Kunden zu. Es handle sich um "hoch standardisierte, industrietypische und datenschutzrechtlich neutrale Verarbeitungen".
"Unsere Anstrengungen zum Schutz der Daten unserer Kunden sind marktführend", unterstreicht Microsoft. Die geplante "EU-Datengrenze" gehe "über das gesetzlich vorgeschriebene Maß hinaus". Sie werde den Datenfluss aus der EU in andere Länder erheblich reduzieren. Man wolle hier aber "im Sinne der Transparenz weitere Dokumentationen über die Datenströme unserer Kunden und die Zwecke der Verarbeitung bereitstellen". Für deutsche Behörden werde 2024 eine eigene Microsoft-Cloud online gehen. Ferner bringe der avisierte neue Datenschutzrahmen zwischen der EU und den USA "wichtige Rechtssicherheit und mehr Klarheit" bei transatlantischen Transfers.
Nachbesserungen nötig
Die DSK hat inzwischen eine "Zusammenfassung der Bewertung der aktuellen Vereinbarung zur Auftragsverarbeitung" publiziert. Die zuständige Arbeitsgruppe konnte demnach im Rahmen der Gespräche mit Microsoft "keine signifikanten Nachbesserungen in der Vertragsgestaltung hinsichtlich der Festlegung von Arten und Zwecken der Verarbeitung sowie der Arten der verarbeiteten personenbezogenen Daten erreichen". Es blieben Nachbesserungen erforderlich, "die den Gegenstand der Auftragsverarbeitung nicht nur umfassend, sondern auch spezifisch und so detailliert als möglich beschreiben sollten".
Zentrale und wiederkehrende Fragestellung der mehrstündigen Videokonferenz war es laut dem Papier, "in welchen Fällen Microsoft als Auftragsverarbeiter tätig ist und in welchen als Verantwortlicher. Dies konnte nicht abschließend geklärt werden." Der Konzern habe nach eigener Aussage keine Anpassungen an den tatsächlichen Verarbeitungen vorgenommen. Es bleibe so weiter unklar, welche personenbezogenen Daten im Rahmen der von Microsoft sogenannten "legitimen" Geschäftstätigkeiten verarbeitet würden.
Eine Nutzung von Microsoft 365 ohne Übermittlungen personenbezogener Daten in die USA sei nicht möglich. Ab Dezember plane Microsoft zwar, allen europäischen Kunden anzubieten, Daten grundsätzlich im EU-Raum zu speichern und zu verarbeiten. Dies gelte aber "nicht ausnahmslos", also etwa nicht "für bestimme IT-Sicherheitsmaßnahmen". Der Schritt sei auch vor "dem Hintergrund etwaiger extraterritorial wirkender Rechtsvorschriften zu beobachten".
Verarbeitung unverschlüsselter Daten
Viele der in Office 365 enthaltenen Dienste erforderten einen Zugriff von Microsoft auf die unverschlüsselten, nicht pseudonymisierten Daten, hebt die DSK hervor. "Die naheliegende Möglichkeit der Verschlüsselung der verarbeiteten Daten ist regelmäßig nicht möglich, beispielsweise wenn die Daten im Browser angezeigt werden müssen." Hier sei es den Aufsichtsbehörden noch nicht gelungen, "ergänzende Schutzmaßnahmen zu identifizieren, die zu einer Rechtmäßigkeit des Datenexports führen könnten". Beim potenziellen EU-US-Abkommen gebe es zudem noch viele Unwägbarkeiten.
Der Thüringer Datenschutzbeauftragte Lutz Hasse lobte die "richtungsweisende Bewertung" der DSK. Wenn eine Schulleitung als Verantwortliche die Eltern und die Lehrer nicht darüber informieren könne, ob bei der Verwendung von Microsoft 365 Daten von Kindern oder Ausbildern verarbeitet würden und gegebenenfalls auch die Zwecke unklar blieben, sei die nötige aufgeklärte Einwilligung nicht möglich. Hasse kündigte an: "Meine Aufsichtsbehörde wird nun – wie die anderen Datenschutzaufsichtsbehörden auch – mit den Verantwortlichen im öffentlichen und nicht-öffentlichen Bereich den Kontakt suchen, um eine verhältnismäßige Umsetzung dieser Rechtslage zu erörtern."
(olb)