Microsoft 365: Maximal halblegal
Datenschutzbeauftragte versagen Microsofts Clouddiensten Rechtskonformität
Teams und die Office-Cloud-Services von Microsoft sind nicht rechtssicher einzusetzen. Diese Meinung haben die deutschen Datenschutzbeauftragten – und zwar einstimmig. Behörden und Unternehmen stehen einmal mehr im juristischen Regen.
Ein datenschutzrechtliches Damoklesschwert hängt über Unternehmen und öffentlichen Stellen: Setzen sie auf Microsoft 365 und damit die Cloud-Office- und Videokonferenzdienste des Redmonder Konzerns, bewegen sie sich in einer juristischen Grauzone. Trotz einiger Nachbesserungen von Microsoft hat die Datenschutzkonferenz (DSK), also der Zusammenschluss aller deutschen Landesdatenschützer sowie des Bundesdatenschutzbeauftragten, Ende November ihre skeptische Haltung bekräftigt.
In einer einstimmig verabschiedeten „Festlegung“ teilte die DSK mit, dass es den Onlinediensten an „Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke“ fehle. Das wird nun zum Problem für die sogenannten „Verantwortlichen“, also alle Unternehmen, Institutionen und Privatanwender, die die Microsoft-Produkte einsetzen.
Denn wenn Microsoft nicht ausreichend über die Datenspeicherung und Verarbeitung in der Cloud aufklärt, können Verantwortliche gegenüber den Nutzern des Dienstes (etwa Schulleiter gegenüber Eltern und Schülern, Unternehmen gegenüber den Mitarbeitern) keinen rechtskonformen Betrieb zusichern (Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO). Der Datentransfer in die USA war für die DSK eher ein Randthema.
Die Einschätzung der DSK fußt auf einem 56-Seiten starken Abschlussbericht einer eigens eingerichteten Arbeitsgruppe „Microsoft-Onlinedienste“. Er enthält unter anderem die Gesprächsergebnisse von 14 „mehrstündigen Videokonferenzen“ zwischen AG und Microsoft-Vertretern. Der Tenor lautet sinngemäß: Microsoft hat zwar einiges erklärt, aber die vorgeschlagenen Abhilfemaßnahmen sind unzureichend.
„Dogmatischer Selbstzweck“
In ersten Stellungnahmen reagierte der US-Konzern ungewohnt angefasst auf die DSK-Festlegung – kein Wunder, geht es doch um eine Entscheidung mit Signalwirkung auf den gesamten lukrativen EU-Binnenmarkt. Aus Teilnehmerkreisen war zu vernehmen, dass Microsoft im Vorfeld sogar mit Klagen gedroht habe. Parallel zur Veröffentlichung der DSK-Mitteilung konterte Microsoft dann mit einer Stellungnahme, die es in sich hat.
Der US-Konzern bezieht darin zu den einzelnen Kritikpunkten Stellung und teilt nebenbei heftig gegen die deutsche Datenschutz-Bürokratie aus. Die Verantwortlichen, also die Microsoft-Kunden, agierten „nicht in einer isolierten oder akademischen Datenschutzwelt“. Die DSK mache den Datenschutz hierzulande zum „dogmatischen Selbstzweck“. Microsoft kontert die Transparenzforderung so: „Kunden müssen die technische Funktionsweise von Microsoft 365 nicht vollständig verstehen.“
Derzeit ist offen, welche Konsequenzen nun für wen drohen. Obwohl die DSK bereits seit Längerem ihre Zweifel daran äußert, dass Microsoft 365 DSGVO-konform ist, setzte es bislang keine Anordnungen und keine Bußgelder der Landesaufsichtsbehörden – weder gegen Unternehmen noch gegen öffentliche Einrichtungen. Klar ist: Bei der Festlegung der DSK handelt es sich nicht um eine Anweisung, sondern eher um eine Rechtsauslegung, an die sich Behördenleiter halten können oder auch nicht.
Erste Äußerungen von Landesdatenschutzbeauftragten (LfD) lassen darauf schließen, dass die bisher gängige Kulanzlinie weiter gefahren wird. So erklärte der thüringische LfD Lutz Hasse: „Meine Aufsichtsbehörde wird nun – wie die anderen Datenschutzaufsichtsbehörden auch – mit den Verantwortlichen im öffentlichen und nicht-öffentlichen Bereich den Kontakt suchen, um eine verhältnismäßige Umsetzung dieser Rechtslage zu erörtern.“
Und so bleibt die Rechtsunsicherheit für alle deutschen Anwender von Microsoft 365 erst einmal bestehen. In Frankreich ist man da schon etwas weiter: Das Bildungsministerium hat dort den Einsatz der kostenfreien Angebote von Microsoft 365 und Google Workspace an Schulen aus Datenschutzgründen generell untersagt. An Unternehmen trauen sich die Datenschützer in Europa sicherlich als letztes. Anders als Behörden oder etwa Schulträger können diese sich auf das „berechtigte Interesse“ berufen, das in der Vergangenheit schon viele zweifelhafte Verarbeitungsprozesse rechtfertigte. (hob@ct.de)