Microsoft verteidigt Datenschutz bei Microsoft 365

Die Enthüllungen des Whistleblowers Edward Snowden sowie die vom österreichischen Juristen Max Schrems und seinen Mitstreitern der Initiative NOYB vor dem Europäischen Gerichtshof  erfochtenen Urteile (auch als » Schrems I« und  » Schrems II« bekannt) haben einerseits das Vertrauen in US-amerikanische Cloud-Anbieter nachhaltig erschüttert, diese andererseits dazu bewogen, ihre Angebote in Bezug auf Sicherheit, Datenschutz und Vertraulichkeit deutlich nachzubessern. Besonders intensiv hat sich diesbezüglich Microsoft bemüht.

Der Konzern hat sich zunächst lange und vehement dem Wunsch US-amerikanischer Behörden widersetzt, in Verfahren gegen Microsoft-Kunden in den USA erlassenen Durchsuchungsbefehlen auch in Rechenzentren im Ausland (insbesondere Irland) nachzukommen. Außerdem hat er mit Projekten wie der – letztlich aufgrund zu großer Komplexität gescheiterten – Microsoft Cloud Deutschland in Zusammenarbeit mit der Deutschen Telekom ernsthaft und mit viel Aufwand versucht, europäische und deutsche Anforderungen zu erfüllen.

Telemetriedaten und Standardvertragsklauseln

Schließlich wurden die einzelnen Angebote immer wieder im Detail nachgebessert, um europäischen Anforderungen zu entsprechen und die Transparenz zu erhöhen. Dazu gehörten etwa umfangreichere Möglichkeiten, die Erfassung von Telemetriedaten bei Microsoft 365 (Office 365) abzulehnen beziehungsweise zu deaktivieren.

Dennoch liegt ein Schatten über den Cloud-Angeboten. Im Frühsommer 2021 erklärten bei einer Bitkom-Umfrage 53 Prozent der Public-Cloud-Nutzer, dass sie bei der Integration von Public-Cloud-Lösungen in die bestehende IT-Infrastruktur Schwierigkeiten bei der Umsetzung ihrer Compliance-Anforderungen hatten. Tendenz steigend: Im Jahr 2020 waren es erst 41 Prozent, 2019 sogar nur 29 Prozent. Weiteres Potenzial für Probleme mit dem Datenschutz bieten die von der Europäischen Kommission zum September 2021 geänderten Standardvertragsklauseln (SCC). Sie regeln die Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum in Drittländer, zu denen auch die USA und seit dem Brexit auch Großbritannien gehören.

Mehrfache Kritik durch Datenschutzbeauftragte der Bundesländer

Mehrfach haben zudem Datenschutzbeauftragte der deutschen Bundesländer Microsoft heftig kritisiert. Dabei ging es vor allem um den Einsatz in Behörden und Schulen. Unternehmen beobachten diese Diskussionen aber aufmerksam. Der Hessische Landesbeauftragte für den Datenschutz (HBDI) hatte 2017 als einzige deutsche Aufsichtsbehörde eine Stellungnahme zum Einsatz von Office 365 in Schulen abgegeben.

Die Speicherung in der Deutschland-Cloud von Microsoft genügte demnach den Anforderungen. Allerdings mussten die von Microsoft zur Verfügung gestellten Werkzeuge zur Regelung des Rollen- und Berechtigungskonzepts, der Protokollierung und weiterer Aspekte sachgerecht eingesetzt werden. 2019 hat die Behörde ihre Auffassung nach einer neuerlichen Prüfung dann jedoch revidiert.

2020 sorgte Maja Smoltczyk, die Berliner Datenschutzbeauftragte, mit einer Warnung vor datenschutzrechtlichen Mängeln bei Videokonferenzdiensten, darunter auch Microsoft Teams, für umfangreiche Diskussionen und eine deutliche Reaktion von Microsoft. Allerdings bekam die Berliner Datenschutzbeauftragte Unterstützung von ihren Amtskollegen in Baden-Württemberg, Bayern, Hessen und dem Saarland: Sie stellten im Oktober 2020 klar, dass auch sie bei Microsoft Office 365 erhebliche datenschutzrechtliche Verbesserungspotenziale sehen.

Damit stehen die deutschen Datenschutzbeauftragten nicht alleine: Schon im Sommer 2020 hatte der europäische Datenschutzbeauftragte einen Bericht zum Einsatz von Microsoft-Produkten veröffentlicht. Die kritisierten Punkte lassen sich durch korrekte Einstellungen in den Produkten und vertragliche Anpassungen adressieren. Inwieweit Firmen, Behörden oder Schulen aber eine vertragliche Anpassung erreichen können, ist fraglich. Zu notieren bleibt, dass die Nutzung des unveränderten Standard-Angebots aus Compliance-Sicht zumindest als bedenklich eingestuft wurde.

Kritik an Microsoft 365 in Schulen 

2021 und 2022 ärgerte dann vor allem Dr. Stefan Brink, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) Microsoft mehrfach mit seiner Einschätzung zur Nutzung von Microsoft 365 an Schulen. Das in der Berichterstattung vielfach kolportierte »Verbot« hat Brink allerdings so nicht ausgesprochen. Er erwartet von Schulen »lediglich«, dass zu Beginn des Schuljahres 2022/23 »Alternativen zum Cloud-Dienst MS 365 für den Schulbetrieb anbieten« oder alternativ eindeutig nachweisen, dass die Microsoft-Angebote datenschutzkonform betrieben werden.

Dazu dürften die meisten Schulen allerdings aufgrund ihrer begrenzten personellen Ressourcen und der häufig mangelhaften Qualifikation des vorhandenen Personals fachlich nicht in der Lage sein. Diese »Beweislastumkehr« könnte also faktisch dafür sorgen, dass es einfacher ist, Alternativen einzusetzen, als den datenschutzkonformen Betrieb eindeutig nachzuweisen.

Gerade der Einsatz seiner Produkte an Schulen ist Microsoft aber traditionell sehr wichtig. Schließlich werden kommende Generationen von Berufstätigen dadurch bereits früh daran gewöhnt und ist es für Firmen dann am einfachsten, diese bereits bekannten Produkte einzusetzen.

Aktuelle Stellungnahme von Microsoft zum Datenschutz

Auch daher hat Microsoft jetzt eine  umfangreiche Stellungnahme zur Datenschutzkonformität von Microsoft 365 und Microsoft Teams veröffentlicht. In dem dreiseitigen PDF-Dokument betont das Unternehmen mehrfach, dass alle seine Produkte und Dienste in der Privatwirtschaft und im öffentlichen Sektor – zum Beispiel an Schulen –  datenschutzkonform eingesetzt werden können. Es fasst damit bereits auf der Microsoft-Webseite im Namen von Brad Smith, Chief Legal Officer bei Microsoft, publizierte Argumente noch einmal zusammen.

Zusätzlich verweist das Unternehmen auf die sogenannte »EU Data Boundary for the Microsoft Cloud«. Dabei handelt es sich um ein firmeneigenes Projekt, mit dem sichergestellt werden soll, dass  künftig in der EU ansässige Kunden ihre Daten innerhalb der EU verarbeiten und speichern können.

Ohne Datenschutz-Folgenabschätzung geht es nicht

Darüber hinaus verweist auch Microsoft auf die Notwendigkeit einer Risikoanalyse im Lichte der Schrems-II-Rechtsprechung des EuGH. Juristen und Experten sprechen hier von einer Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO. Die sei immer dann notwendig, wenn durch Nutzung der Software im ganzen Unternehmen Daten von Kunden, Geschäftspartnern und Mitarbeitern verarbeitet werden.

Die Anwälte der Kanzlei Schürmann Rosenthal Dreyer etwa kommen in ihrer Betrachtung des Themas zu dem Schluss: »Die rechtskonforme Implementierung und damit die Nutzung von Microsoft 365 ist möglich. Dazu müssen Unternehmen selbst aktiv werden und auch einen gewissen Aufwand aufbringen – dies gilt vor allem für die Durchführung der DSFA.« Anschließend könnten Firmen jedoch »Microsoft 365 risikofrei nutzen« und nebenbei sogar interne Prozesse optimieren.