Microsoft 365: Microsoft bewegt sich, die Datenschützer mauern unverhältnismäßig
Microsoft 365 steht wieder am Pranger, wegen mangelndem Datenschutz. Das Votum schadet vor allem der Digitalisierung, meinen Christina Kiefer und Stefan Hessel.
- Stefan Hessel
- Christina Kiefer
In einer Ende November veröffentlichten Feststellung kommen die deutschen Datenschutzaufsichtsbehörden zum Ergebnis, dass trotz "geringfügiger Verbesserungen" weiterhin datenschutzrechtliche Bedenken am Einsatz von Microsoft 365 bestehen. Microsoft hat mit einer eigenen Stellungnahme auf die Vorwürfe reagiert und die Bedenken der Datenschutzkonferenz (DSK) zurückgewiesen. Die DSK ist das gemeinsame Gremium der deutschen Datenschutzaufsichtsbehörden.
Beide Seiten interpretieren die Vorgaben der DSGVO unterschiedlich und haben gute Argumente. Die Krux: Wer hat Recht?
Die DSGVO kennt keine Herstellerverpflichtung
Das aktuelle Ping-Pong-Spiel zum Datenschutz bei Microsoft 365 ist nicht neu: Die Datenschutzaufsichtsbehörden wittern einen Verstoß, sei es nun bei Microsoft oder Facebook, sind jedoch – da die DSGVO keine Herstellerpflichten enthält – nicht in der Lage, diesen abschließend mit dem Anbieter zu klären und so Rechtssicherheit für alle Beteiligten zu schaffen. Auf der ersten Eskalationsstufe warnen die Datenschutzaufsichtsbehörden dann häufig öffentlich vor vermeintlichen Datenschutzmängeln und begeben sich damit rechtlich selbst aufs Glatteis. Bei derartigen Produktwarnungen handelt es sich nämlich um gravierende Grundrechtseingriffe zulasten der Hersteller, die einer hinreichend klaren Rechtsgrundlage bedürfen. Eine solche enthält jedoch weder die DSGVO noch das deutsche Recht. Ein weiteres Problem: Wer – trotz fortlaufender Verbesserungen durch den Hersteller – immer wieder einen unzureichenden Datenschutz moniert und gleichzeitig keine Taten folgen lässt, wirkt zunehmend unglaubwürdig.
In der Praxis greifen die Datenschutzaufsichtsbehörden daher auf eine zweite Eskalationsstufe zurück, treten in ihrem Zuständigkeitsbereich an Unternehmen oder öffentliche Stellen heran und versuchen über Umwege ihre Interpretation der DSGVO gegenüber dem Hersteller durchzusetzen. Dies führt zu einer enormen Mehrbelastung bei den mal mehr und mal weniger zufällig ausgewählten Verantwortlichen, an denen die Datenschutzaufsichtsbehörden ein Exempel statuieren möchten. Es folgen Einzelfallprüfungen – und insbesondere bei Verantwortlichen, die kein Budget für die gerichtliche Durchsetzung ihrer Rechte haben, Frust und Resignation. Dies betrifft neben Start-ups, Kleinunternehmen und Selbstständigen, insbesondere auch Schulen und andere kleine öffentliche Stellen. Statt Applaus für flächendeckende Verbesserungen beim Datenschutz ernten die Datenschutzaufsichtsbehörden in Folge vor allem Unverständnis.
Eine unklare Rechtslage verpflichtet zur Rücksichtnahme
Obwohl sie bereits seit dem 25. Mai 2018 anwendbar ist, enthält die DSGVO unzählige ungeklärte und umstrittene Rechtsfragen. Bei der Auslegung der Vorschriften sollten jedoch die Ziele der DSGVO berücksichtigt werden. Denn: Neben dem Schutz von natürlichen Personen bei der Verarbeitung ihrer personenbezogenen Daten soll die DSGVO eben explizit auch zum freien Verkehr von Daten beitragen. Nach der DSGVO ist Datenschutz also gerade kein uneingeschränktes Recht, sondern muss in Einklang mit anderen Grundrechten, wie der unternehmerischen Freiheit, aber auch dem Recht auf Bildung und der Wissenschaftsfreiheit gebracht werden.
Zu berücksichtigen ist außerdem, dass moderne Cloud-Lösungen wie Microsoft 365 aus datenschutzrechtlicher Sicht zwar kritischer sein mögen als eine selbstgehostete Software, dafür jedoch in anderen Bereichen erhebliche Vorteile bringen. Neben einer besseren Performance und mehr Barrierefreiheit ist hier insbesondere auch an die Cybersicherheit zu denken. Was passiert, wenn man Unternehmen und nicht-öffentliche Stellen dazu nötigt, selbst ihre IT-Systeme betreiben, hat der Massenhack von Exchange-Servern im vergangenen Jahr gezeigt.
Eine Interpretation der DSGVO, die den datenschutzkonformen Betrieb einer modernen Cloud unmöglich macht, stellt allerdings auch die viel beschworenen europäischen Alternativen vor unlösbare Herausforderungen. Für die Digitalisierung von Wirtschaft und öffentlicher Verwaltung in Europa drohen erhebliche Rückschritte.
DSK-Alleingang: Verpasste Chance für den EU-Datenschutz
Nachdem sich die deutschen Datenschutzaufsichtsbehörden 2020 noch uneinig bei der datenschutzrechtlichen Bewertung von Microsoft 365 waren, ist es ihnen diesmal wenigstens gelungen, sich auf ein Dokument mit vielen Disclaimern zu einigen. Ein Grund zur Freude ist das allerdings nicht: Denn statt die erreichte Einigkeit für weitere Abstimmungen mit dem Europäischen Datenschutzausschuss und der für Microsoft zuständigen irischen Datenschutzaufsichtsbehörde zu nutzen, hat die DSK offenbar den vermeintlich einfachen Weg gewählt und will gegen Verantwortliche in Deutschland vorgehen. Die Chance, dass der Einsatz von Microsoft 365 auf europäischer Ebene geklärt wird und eine einheitliche Auslegung der DSGVO sichergestellt wird, scheint vertan. Dass die Meinungen zum datenschutzkonformen Einsatz von Microsoft 365 in Europa auseinander gehen, zeigen beispielsweise Datenschutzfolgenabschätzungen des niederländischen Justizministeriums oder des Europäischen Zentrums für die Prävention und die Kontrolle von Krankheiten. Eine datenschutzrechtliche Kleinstaaterei schadet jedoch dem Datenschutz und nutzt niemandem.
Die Datenschutzaufsichtsbehörden haben jahrelang geprüft und intensive Gespräche mit Microsoft geführt. Letzterer Konzern hat sich erheblich bewegt und zahlreiche Wünsche der Behörden umgesetzt. Dass es der DSK dennoch nicht gelungen ist, sich von einem datenschutzkonformen Einsatz zu überzeugen, sollten die Behörden zum Anlass nehmen, auch über die Verhältnismäßigkeit ihrer eigenen Prüfkriterien nachzudenken. Das jetzige Ergebnis steht jedenfalls in keinem Verhältnis mit der praktischen Relevanz von Microsoft 365 für Unternehmen und öffentliche Stellen. Die Bewertung der DSK bezieht sich auf minimale Teilaspekte, ohne das große Ganze zu beachten. Angesichts vielfältiger gravierender Bedrohungen für den Datenschutz wirkt der Fokus auf Microsoft 365 verfehlt.
Statt den Dialog mit Microsoft fortzusetzen, wollen die Aufsichtsbehörden nun gegen Unternehmen und öffentliche Stellen vorgehen, um den Druck auf Microsoft zu erhöhen. Es sind daher mutige Verantwortliche gefragt, die der Rechtsauffassung der Behörden entgegentreten und für eine technologiefreundliche Auslegung der DSGVO eintreten. Gute Argumente dafür haben sie. Gleichzeitig bedarf es einer gesellschaftlichen Debatte darüber, wie Digitalisierung in der heutigen Zeit realisiert werden soll und wie neue Technologien, Cybersicherheit oder auch Barrierefreiheit in Einklang mit dem Datenschutz zu bringen sind.
(fo)