Microsoft 365 datenschutzwidrig – oder doch nicht?

“If you can’t make it good, at least make it look good.” – ein Zitat von Bill Gates, bekanntlich Mitbegründer von Microsoft. Wenn man ehrlich ist, muss man zugeben, dass diese Aussage bei vielen Verantwortlichen in Bezug auf Datenschutz inoffiziell als Devise ausgegeben wird – in der Hoffnung, dass die Nachlässigkeiten im Detail nicht auffallen mögen.

Die Frage ist, ob sich Microsoft und die Anwender der Software 365 diese Einstellung leisten können. Microsoft steht nicht erst seit 2002, als die Softwareschmiede vielsagend den „Lifetime”-BigBrotherAward erhalten hat, in Sachen Datenschutz im Fokus. Spätestens aber seitdem der Konzern Microsoft 365 eingeführt hat, häufen sich die kontroversen Diskussionen um die Zulässigkeit der Nutzung. Aktuelle Einwicklungen mit Behördenbeteiligung geben Anlass, den Stand in der Sache nachfolgend zu skizzieren.

Die Ausgangslage

Sehen wir den Tatsachen ins Auge: die Software von Microsoft ist nicht nur bei Unternehmen weit verbreitet, der Umstieg zu Microsoft 365 ist vielerorts schon vollzogen oder zumindest irgendwann zwingend. Die wiederkehrenden Einschätzungen aus dem Datenschutz haben der Begeisterung für die Produkte keinen erkennbaren Abbruch getan. Die Rolle der Datenschutzberater ist da recht undankbar, da man zwangsläufig die Rolle des Bedenkenträgers einnehmen muss und zugleich die Komplexität der Materie einen unübersehbaren Aufwand mit sich bringt, für den man den Verpflichteten stetig Verständnis abringen muss. Am Ende stellt sich für die Verantwortlichen nicht die Frage, ob man Microsoft 365 nutzen soll, sondern lediglich, ob die Nutzung denn nun datenschutzkonform ist oder wie es andernfalls mit dem Risiko aussieht.

Was ist denn das Problem?

Microsoft ist leider ein US-amerikanischer Anbieter – damit ist das maßgebliche Problem eigentlich schon umzingelt. Jedenfalls im Augenblick muss man davon ausgehen, dass in den USA kein Datenschutzniveau nach europäischen Vorstellungen vorliegt (Stichwort: „Schrems II“). Dieses Problem lässt sich zum einen mit Vertragsmustern als EU-Standard lösen, aber nach den Vorgaben des EuGH müssen noch weitere Maßnahmen ergriffen werden, um sich an das EU-Schutzniveau heranzutasten. Die Frage, welche Maßnahmen hier von Microsoft zur Verfügung gestellt werden und ob diese ausreichend sind, ist schwierig zu beantworten.

Jedenfalls bedarf es dort, wo Microsoft Auftragsverarbeiter ist, einer Vereinbarung nach den strengen Vorgaben des Art. 28 DSGVO. Ein entsprechendes Data Processing Agreement (DPA) und weitere Zusatzbestimmungen sind zwar existent, eine zufriedenstellende Einhaltung der Vorgaben wird aber angezweifelt. Hinzu kommt, dass zumindest bestimmte personenbezogene Daten (z.B. IP-Adresse, Diagnosedaten) bei der Nutzung anfallen und man davon ausgehen muss, dass der Softwaregigant die Daten auch für eigene Zwecke verwendet oder an Dritte zu Werbezwecken weitergibt – hier ist eine Rechtsgrundlage fraglich. In Bezug auf die Verarbeitungen sowohl zu eigenen als auch zu fremden Zwecken bedarf es einer transparenten Darstellung, die man bei Microsoft nicht wirklich findet.

Erste Feststellung der Datenschutzkonferenz

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz, auch DSK, bestehend aus dem Bundesdatenschutzbeauftragten sowie den Landesdatenschutzbeauftragten) hatte sich bereits vor Jahren Microsoft 365 mittels eines Arbeitskreises zur Brust genommen. Damals traf die DSK mit knapper Mehrheit die Feststellung, dass der Bewertung des Arbeitskreises zugestimmt werden soll. Letzterer hatte festgestellt, dass auf Basis der zur Verfügung stehenden Unterlagen kein datenschutzgerechter Einsatz von Microsoft 365 möglich sei. Maßgebliche Kritikpunkte waren mangelnde Transparenz, der vertragliche Vorbehalt zur Weitergabe von Daten sowie eine fehlende Rechtsgrundlage für die Übermittlung von Telemetrie-Diagnosedaten an Microsoft.

Die DSK hatte damals eine Arbeitsgruppe eingerichtet und diese darum gebeten, Gespräche mit Microsoft zu führen, „um zeitnah datenschutzgerechte Nachbesserungen sowie Anpassungen an die durch die Schrems ll-Entscheidung des EuGH aufgezeigten Maßstäbe an Drittstaatentransfers für die Anwendungspraxis öffentlicher und nicht öffentlicher Stellen zu erreichen.“. Ein guter Plan.

Die aktuelle Meinung der DSK

Jetzt, nach ca. zwei Jahren, in denen 14 mehrstündige Videokonferenzen stattgefunden haben sollen, stellte der Arbeitskreis seine Ergebnisse vor https://datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365_zusammenfassung.pdf; die DSK stimmt den Ergebnissen im Ergebnis zu https://datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365.pdf. Der Fokus lag dabei hauptsächlich auf der aktuellen Vereinbarung, die Microsoft mit seinen Kunden abschließt, dem „Datenschutznachtrag vom 15. September 2022“. Der Arbeitskreis ließ durchblicken, dass zum einen eine Abgrenzung zwischen Auftragsverarbeitung und Datennutzung aus eigenem Interesse trotz einiger Verbesserungen immer noch nicht gelingen mag – es fehlt ihm weiterhin an der notwendigen Transparenz. Dies ist der maßgebliche Grund, warum Microsoft aus Sicht der Behörden für öffentliche Stellen tabu sein muss.

Zusätzlich hält der Arbeitskreis fest, dass sowohl die Weisungsbindung als auch die Rückgabe- und Löschverpflichtung nach Vertragsbeendigung nicht den Vorgaben des Art. 28 DSGVO entspricht. Als erhebliches Problem wird angesehen, dass Microsoft 365 und damit am Ende auch US-Behörden in mehreren Fällen auf unverschlüsselte, nicht pseudonymisierte Daten zugreifen kann. Die Maßnahmen von Microsoft, so z.B. die Auswahl des Speicherorts, sei unzureichend.

Am Ende sagt die DSK in Ziffer 2 der Festlegungen vom 24.11.2022: „Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann.“. Die Bemühung von Microsoft und DSK-Arbeitskreis scheinen demnach vergeblich gewesen zu sein.

Die Antwort von Microsoft

Der Softwareanbieter ist im Nachgang um Richtigstellung bemüht. Noch Ende November 2022 veröffentlichte Microsoft eine Stellungnahme mit dem vielsagenden Titel „Microsoft erfüllt und übertrifft europäische Datenschutzgesetze“. Diese soll zeigen, dass und warum die DSK in der Beurteilung falsch liegt. Wörtlich heißt es: „Die von der DSK geäußerten Bedenken berücksichtigen die … vorgenommenen Änderungen nicht angemessen und beruhen auf mehreren Missverständnissen hinsichtlich der Funktionsweise unserer Dienste und der von uns bereits ergriffenen Maßnahmen.“ Eine bis ins Letzte detaillierte Auseinandersetzung mit den Argumenten der DSK findet zwar nicht statt, andererseits muss man nach der Lektüre der Stellungnahme zugeben, dass einige Anforderungen der DSK als überhöht erscheinen.

Möglichkeiten und Risiken

Bei der DSK handelt es sich immerhin um einen Zusammenschluss der Behörden, die am Ende über Bußgelder für eine datenschutzwidrige Softwarenutzung entscheiden, weshalb die Festlegungen durchaus ernst zu nehmen sind. Gleichzeitig ist aber auffällig, wie vorsichtig die Behörden im Hinblick auf den Prüfungsumfang formulieren: Der Einschub „auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022““ in der Festlegung vom 24.11.2022 bedeutet eben nur, dass der Nachtrag allein kein ausreichendes Argument für eine Datenschutzkonformität ist. Die DSK schließt damit aber nicht die Nutzung von Microsoft per se aus: Es erscheint nicht unmöglich, durch datenschutzfreundliche Einstellungen („Privacy by Default“) und weitere Maßnahmen den veröffentlichten Bedenken wirksam zu begegnen.

Bedenkt man weiterhin, dass die geplante europäische Cloudlösung („EU Data Boundary“) sowie ein nicht unwahrscheinlicher neuer Angemessenheitsbeschluss der EU-Kommission die Problematik in Bezug auf die Datenübermittlung in die USA kurzfristig lösen könnten, sollte man die Flinte Microsoft 365 nicht vorschnell ins Korn werfen. Wichtig erscheint, Möglichkeiten und Risiken der Nutzung eingehend bewerten zu lassen, um sich nicht den Vorwurf gefallen lassen zu müssen, nicht alles getan zu haben, um eine Nutzung der Software in zulässiger Form sicherzustellen.

Fazit

Eingedenk des eingangs erwähnten Zitats von Bill Gates kann man jedenfalls sagen, dass die Bemühungen von Microsoft gut aussehen, aber im Detail sicherlich nicht gut gemacht sind. Es obliegt daher den einzelnen Verantwortlichen, die Microsoft 365 einsetzen wollen, den Schritt hin zur tatsächlichen Datenschutzkonformität zu unternehmen, indem alle bestehenden Möglichkeiten ausgeschöpft werden. Beratung und Hilfestellungen zum Einsatz von Microsoft 365 erhalten Sie jederzeit von unseren Spezialisten bei MKM Datenschutz.