zurück zum Artikel

Einzelne Fortschritte Microsofts erkennen die Datenschützer Deutschlands an. Das reicht nicht.

Das Office-Paket Microsoft 365 kann von Unternehmen, Behörden und Schulen nicht rechtskonform eingesetzt werden, jedenfalls nicht ohne zusätzliche technische Maßnahmen. Zu diesem Schluss kommt eine aktuelle Datenschutzbewertung, die die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder auf ihrer 104. Datenschutzkonferenz verabschiedet haben. Anwender müssten auf jeden Fall zusätzliche Schutzvorkehrungen treffen, warnt Bundesdatenschutzbeauftragter Ulrich Kelber.

Microsoft hat im September eine neue Fassung seines Auftragsverarbeitungsvertrags [1] veröffentlicht. Mit dieser Version des "Microsoft Products and Services Data Protection Addendum" (DPA) hat der US-Konzern unter anderem die neuen Standardvertragsklauseln der EU-Kommission [2] übernommen. Das war notwendig, weil der Europäische Gerichtshof (EuGH) mit dem Schrems-II-Urteil [3] den transatlantischen "Privacy Shield" und damit eine der wichtigsten Grundlagen für den Transfer von Kundendaten in die USA für ungültig [4] erklärt hat.

Präzisiert hat Microsoft zudem Angaben dazu, welche Daten zu eigenen Zwecken genutzt werden. Der Datenkonzern gibt an, beispielsweise statistische, nicht-personenbezogene Daten aus pseudonymisierten Daten zu aggregieren und Statistiken zu erstellen. Er versichert dabei, auf die Inhalte von Kundendaten nicht zuzugreifen und diese so auch nicht zu analysieren. Bisher genannte Zwecke wie der Kampf gegen Betrug oder IT-Kriminalität finden sich an diesem Punkt nicht mehr.

Einzelne Verbesserungen reichen nicht

Den Datenschutzbehörden reichen die Korrekturen nicht aus. Microsoft habe damit zwar "in einzelnen Punkte Fortschritte" erzielt, erkennt Kelber an. Die überarbeiteten Dokumente lieferten aber nicht die nötige Transparenz, welche Daten von dem Unternehmen "für eigene Zwecke verwendet werden können". Die Kontrolleure können "an einigen Stellen" nach wie vor nicht einschätzen, welche Informationen und Diagnosewerte noch erhoben und an Microsoft übertragen werden. Damit lasse sich auch nicht prüfen, "ob alle Schritte rechtmäßig sind".

Für die Anwender macht das die Sache "nicht einfacher", weiß auch Kelber. Beim Streit über die Telemetrie-Daten bei Windows 10 [6] hätten die Datenschützer empfohlen, als Abhilfe Mikrovirtualisierung oder zwischengeschaltete Filter-Proxy einzusetzen. Ähnliche Absicherungen sind prinzipiell auch bei Microsoft 365 denkbar. Kelber rät jedenfalls davon ab, das Softwarepaket "einfach mal so auf einem Rechner" zu nutzen.

Am Nein der Datenschützer zu Microsoft Office 365 [7] aus dem Jahr 2020 ändert die neue Bewertung also nichts. Das aktuelle Dokument muss noch um Geschäftsgeheimnisse bereinigt werden, dann wird es veröffentlicht. Für deutsche Behörden soll 2024 eine eigene Microsoft-Cloud [8] online gehen.

(ds [9])

URL dieses Artikels:
https://www.heise.de/-7352065

Links in diesem Artikel:
[1] https://www.heise.de/news/Office-365-Microsoft-bessert-beim-Datenschutz-nach-7268844.html
[2] https://www.heise.de/news/Standardvertragsklauseln-Neue-EU-Basis-fuer-globale-Datentransfers-steht-6063003.html
[3] https://www.heise.de/news/EuGH-kippt-EU-US-Datenschutzvereinbarung-Privacy-Shield-4845204.html
[4] https://www.heise.de/news/EuGH-kippt-EU-US-Datenschutzvereinbarung-Privacy-Shield-4845204.html
[5] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[6] https://www.heise.de/news/Datenschuetzer-Windows-10-Nutzer-bei-Telemetrie-nicht-aus-dem-Schneider-4976556.html
[7] https://www.heise.de/news/Microsoft-Office-365-Die-Gruende-fuer-das-Nein-der-Datenschuetzer-4919847.html
[8] https://www.heise.de/news/Digitale-Souveraenitaet-Microsoft-Cloud-soll-2024-starten-7338725.html
[9] mailto:ds@heise.de

Copyright © 2022 Heise Medien