Microsoft 365 steht in Deutschland dauerhaft in der Kritik - wegen angeblich mangelndem Datenschutz. Beide Seiten interpretieren die DSGVO unterschiedlich. Die Debatte bremst vor allem die Digitalisierung. Aber wer hat Recht?

Autorenbild Michael Schütz

Von Michael Schütz
Geschäftsführer
Tel. +49 421 365115 0
schuetz@wirliebenoffice.de

Das hin und her zum Datenschutz bei Microsoft 365 ist bei weitem nicht neu. Die Datenschutzaufsichtsbehörden meinen, Mängel zu erkennen – sind aber nicht in der Lage, diese Mängel mit Microsoft selbst abschließend zu klären und so für Rechtssicherheit bei allen Beteiligten zu sorgen. In der daraus resultierenden Eskalation werden öffentliche Stellen und Unternehmen instrumentalisiert, um den Druck auf Microsoft zu erhöhen. Das führt zunehmend zu Unverständnis bei den Unternehmen und der Digitalisierung in Deutschland und Europa drohen Stagnation oder sogar Rückschritte.


Springen Sie direkt zu den für Sie interessanten Stellen:


Was sind die wesentlichen Kritikpunkte?

Im wesentlichen fußt die Kritik der Datenschutzaufsichtsbehörden bei der Nutzung von Microsoft 365 auf der Tatsache, dass die Software nicht aus Europa stammt und in dem Zusammenhang technische und rechtliche Probleme entstehen könnten.

Bei der Nutzung von Microsoft 365 lässt sich eine Übermittlung bestimmter Nutzungsdaten, wie zum Beispiel der IP-Adresse, nicht vermeiden. Dabei könne nicht ausgeschlossen werden, dass Microsoft bestimmte Nutzungsdaten für eigene Zwecke verwendet oder an Werbepartner weitergibt.

Unter anderem werden folgende Punkte in Bezug zum Datenschutz bei Microsoft 365 moniert

Datenübermittlung in die USA
Ein grundsätzliches Problem bei der Nutzung von Microsoft 365 ist, dass personenbezogene Daten, die in die Vereinigten Staaten gesendet werden. Dort werden sie unter rechtlichen Bedingungen verarbeitet, die nicht dem europäischen Datenschutzniveau entsprechen.

Mangelnde Transparenz bei der Datenverarbeitung
Den Hintergrund dafür ist die mangelnde Transparenz darüber, wie personenbezogene Daten aus der Auftragsverarbeitung für eigene Zwecke von Microsoft verarbeitet werden und ob dies rechtmäßig geschieht.

Zu wenig Einwirkungsmöglichkeiten des Auftraggebers
Die Verantwortung für die ordnungsgemäße Datenverarbeitung liegt beim Auftraggeber, also dem Unternehmen, dass Microsoft 365 einsetzt. Er ist der Hauptverantwortliche für den Datenschutz. Der externe Dienstleister – hier Microsoft - wird bei der Auftragsverarbeitung nur unterstützend tätig, er ist praktisch der „verlängerte Arm“ seines Auftraggebers. Wenn der Auftraggeber keine transparente Einsicht in die Datenverarbeitung des Auftragsverarbeiters hat, kann das zu rechtlichen Problemen führen.

Zwecke der Datenverarbeitung unklar
Während der Nutzung von Microsoft 365 werden in großem Umfang Daten über die individuelle Nutzung von Word, Excel, PowerPoint und Outlook, Teams und anderer Anwendungen und Dienste gesammelt. Durch eine verschlüsselte Datenübertragung bleibt oft unklar, welche Daten konkret gesendet werden. Daraus folgt das Problem, dass die Daten im Rahmen einer Prüfung nicht eingesehen werden können.

Löschung von Daten nicht kontrollierbar
Microsoft erstellt, speichert und verarbeitet Daten, ohne dass der Nutzer hierauf Einfluss hat. Dies gilt auch für die Datenlöschung. Gemäß DSGVO darf der Auftragsverarbeiter (hier Microsoft) personenbezogene Daten ausschließlich nach schriftlicher Weisung des Verantwortlichen verarbeiten. Wenn jedoch Microsoft 365 verwendet wird, können Kunden beim Erstellen und Löschen nichts ändern oder anpassen. Das bedeutet, dass der Kunde Microsoft keine Weisungen zum Beispiel bezüglich des Zeitpunkts der Datenlöschung erteilen kann.

Unter welchen Voraussetzungen ist ein datenschutzkonformer Einsatz von Microsoft 365 (nach Interpretation der DSGVO durch die Datenschutzaufsichtsbehörden) möglich?

Datenschutzrechtliche Probleme sehen die zuständigen Behörden in erster Linie bei Cloud-basierten Produkten. Ein datenschutzkonformer Einsatz von Microsoft 365 sowohl in Unternehmen als auch in öffentlichen Stellen ist allerdings auch heute schon DSGVO-konform möglich - nach der Auslegung der DSGVO durch die Datenschutzaufsichtsbehörden.

In Auftrag gegebene Datenschutzfolgenabschätzungen zu Teams, OneDrive, SharePoint und Azure AD, kommen zum Ergebnis, dass nach der Umsetzung bestimmter Maßnahmen keine hohen Risiken für den Datenschutz bestehen.

Es bleibt allerdings offen, ob sämtliche der folgend genannten Voraussetzungen umgesetzt werden sollten, oder ob es bereits genügt, wenn nur bestimmte der Voraussetzungen erfüllt sind.

Der Datenschutz bei Microsoft 365 soll unter anderem durch folgende Maßnahmen sichergestellt werden können:

Datenverkehr Umleiten durch Nutzung abgesicherter Browser
Leiten Sie den Internetverkehr über eine eigene Infrastruktur um. Durch entsprechende technische Maßnahmen können dadurch die heimischen IP-Adressen verschleiert werden. Verwenden Sie dafür einen sicheren und vorkonfigurierten Browser mit integriertem Schutz und vorkonfigurierten Terminal-Clients, um die umfassende Anonymisierung von Metadaten zu gewährleisten.

Pseudonyme E-Mail-Adressen und Unterbindung von LinkedIn-Integration
Verwenden Sie anonyme geschäftliche E-Mail-Adressen und verbieten Sie die Verwendung privater Microsoft-Konten. Zudem sollte die Einbindung von LinkedIn-Konten von Mitarbeitern verhindert werden. Dann können Adresseinträge von LinkedIn nicht automatisch übernommen werden.

Übertragung von Telemetrie-Daten unterbinden
Unterbinden Sie die Übertragung von Telemetrie-Daten beim Einsatz von Microsoft 365 und dem Windows-Betriebssystem. Alternativ könnten Sie komplett auf die Microsoft 365 Cloud-Lösungen verzichten und auf die On-Premise-Lösungen von Microsoft umsteigen. Darüber hinaus sollten Sie die produktseitig vorhandenen Konfigurationsmöglichkeiten nutzen, um die Übertragung von Diagnosedaten an Microsoft zu unterbinden oder zumindest einzuschränken.

Überwachung von Microsoft-Produktupdates
Überwachen Sie die Installation von Produktupdates von Microsoft. Prüfen Sie dabei, ob ein Update Konfigurationsänderungen bedeuten würde.

Was wären mögliche Auswirkungen auf den Arbeitsalltag?

Die nach den Datenschutzaufsichtsbehörden zu ergreifenden Maßnahmen würden sich vornehmlich auf die Arbeitseffektivität und die übergreifende Nutzung der in Microsoft 365 enthaltenen Apps auswirken. Da das Zusammenspiel aller Apps wie Word, Excel, PowerPoint, Outlook etc. ein Kern bei der Nutzung von Microsoft 365 ist, stünde allerdings das komplette Tool in Frage.

Folgende Auswirkungen könnten die Maßnahmen haben:

Langsame Performance
Bei den geforderten technischen Eingriffen in den Workflow bleibt die Performance auf der Strecke. Je mehr Filter durch Firewalls und die Verhinderung von Datenübermittlung zur z.B. Verifizierung von Nutzern eingesetzt werden, desto langsamer arbeitet das System.

Nicht alle Features im vorgesehenen Sinne nutzbar
Im Sinne der Effektivität – besonders bei der Einbindung externer Daten in Projekte mit Word, Excel oder PowerPoint – könnten existierende datenintensive Features oder Addins innerhalb der Programme ggf. nicht oder nur eingeschränkt genutzt werden.

Zusammenwirkung der Apps erschwert
Die in Microsoft 365 enthaltenen Apps könnten nicht ohne eingehende Prüfung zusammen genutzt werden. Das heißt, die Zusammenwirkung der Apps zur Arbeitserleichterung und Optimierung der persönlichen Workflows wird erschwert oder gar unmöglich gemacht.

Workarounds nötig
Da gerade das Zusammenspiel der Apps aus Microsoft 365 den größten Pluspunkt für die Nutzung ausmacht, werden durch die Vorgaben wieder Workarounds nötig. Gerade die immer bessere Zusammenarbeit der Programme hatte derlei Workarounds allerdings erst unnötig gemacht.

Wie ist eigentlich die Rechtslage?

Kurz: Unklar. Zunächst einmal enthält die DSGVO keine Herstellerpflichten. Anders als beispielsweise bei Produkten, für die europäische CE-Richtlinien gelten. Für derlei Produkte gilt beispielsweise die Verpflichtung, dass der Hersteller grundsätzlich dafür sorgen muss, dass seine Produkte sicher sind und dass bei bestimmungsgemäßem Gebrauch keine Gefährdungen für Menschen, Tiere oder die Umwelt entsteht.

Bei digitalen Produkten – wie hier bei Microsoft 365 - verhindert die fehlende Herstellerverpflichtung die abschließende Klärung und Schaffung von Rechtssicherheit beim Datenschutz. Die Datenschutzaufsichtsbehörden behelfen sich dann gerne mit öffentlichen Warnungen vor eventuellen Datenschutzmängeln. Und betreten hiermit ihrerseits eine rechtliche Grauzone.

Da weder die DSGVO noch das deutsche Recht hier eine klare Rechtsgrundlage bieten, sorgen solche Produktwarnungen für eine breite Angriffsfläche. Zum einen bedeuten die Warnungen gravierende Grundrechtseingriffe zulasten der Hersteller – und zum anderen machen sich die Datenschutzaufsichtsbehörden durch solche Anschuldigungen zunehmend unglaubwürdig. Vor allem auch, da Microsoft bei Office 365 im Bereich des Datenschutzes fortlaufend nachbessert.

Wir lieben Office Magazinartikel "Datenschutz bei Microsoft 365" - Grafik 01

Die Unternehmen sind (wieder mal) die Leidtragenden

Da die Datenschutzaufsichtsbehörden also wenig Möglichkeiten haben, die vermeintlichen Probleme direkt mit den Anbietern zu lösen, greifen sie auf eine weitere Eskalationsstufe zurück: Die Behörden treten mit ihrer Interpretation der DSGVO an Unternehmen und öffentliche Stellen heran. In Einzelfallprüfungen in den Unternehmen und Institutionen werden diesen nun mangelnder Datenschutz durch die Nutzung von Microsoft 365 vorgeworfen. Durch diesen Umweg soll der Druck auf die Hersteller erhöht und die Behebung der Mängel erzwungen werden.

Derlei Einzelfallprüfungen bei mehr oder weniger zufällig ausgesuchten Unternehmen und Institutionen führen hier zu großen Mehrbelastungen und zwingen die Verantwortlichen indirekt zur gerichtlichen Durchsetzung ihrer Rechte. Bei fehlendem Budget für solche gerichtlichen Auseinandersetzungen führt dies bei Start-ups, kleinen Unternehmen, Schulen oder öffentlichen Stellen zu Unverständnis, Frust und Resignation.

Was kann Microsoft 365 für Sie und Ihr Unternhemen leisten? Rufen Sie uns an oder schreiben Sie uns eine E-Mail:

Im Zweifel für den Angeklagten: Rücksicht ist geboten!

Die DSGVO enthält auch Jahre nach ihrer Einführung noch immer viele ungeklärte und strittige Rechtsfragen. Die in der DSGVO enthaltenen Vorschriften bedürfen in vielen Fällen schlicht der Auslegung. Aber einer Auslegung, die den Datenschutz in Einklang mit Grundrechten wie der unternehmerischen Freiheit und dem Recht auf Bildung bringt. Das bedeutet, dass die DSGVO neben dem Schutz vor Missbrauch persönlicher Daten auch den freien Datenverkehr ermöglichen soll.

Genau hier verengt sich der Flaschenhals. Ohne Zweifel birgt eine moderne Cloud-Lösung wie Microsoft 365 Risiken beim Datenschutz, dafür hat eine solche Software wiederum einige Vorteile, die den freien Datenverkehr unterstützen. Zu den großen Vorteilen von Lösungen wie Microsoft 365 zählt sicherlich die bessere Performance aber vor allem auch die Cybersicherheit. Immer häufiger liest man von Datenlecks selbst betriebener IT-Systeme – seltener jedoch bei Anbietern wie Microsoft.

Wenn sich die europäischen Datenschutzaufsichtsbehörden mit ihrer Interpretation der DSGVO durchsetzen würden, könnte der Betrieb einer Cloud-Lösung wie Microsoft 365 unmöglich werden. Welchen Rückschritt das für die Digitalisierung von Wirtschaft und Verwaltung in Europa bedeuten würde, ist kaum auszumalen.

Wir lieben Office Magazinartikel "Datenschutz bei Microsoft 365" - Grafik 02

Augenmaß und Verhältnismäßigkeit bei den Prüfkriterien oft nicht gegeben

Dabei gehen die Sichtweisen der Datenschutzaufsichtsbehörden in den verschiedenen europäischen Ländern durchaus auseinander. Eine Einigung auf europäische Ebene durch eine einheitliche Auslegung der DSGVO scheint in weiter Ferne. Besonders die bereits beschriebenen Alleingänge der deutschen Datenschutzbehörden erschweren die Abstimmungen mit Microsoft auf europäischer Ebene.

Über die Jahre wurden sehr intensive Gespräche zwischen den Datenschutzaufsichtsbehörden und Microsoft geführt. Dabei hat sich Microsoft bereits erheblich bewegt und viele Wünsche in Bezug auf seine Cloud-Lösung Microsoft 365 bereits umgesetzt. Dass die Datenschutzaufsichtsbehörden trotzdem immer noch nicht überzeugt sind, wirft die berechtigte Frage nach der Verhältnismäßigkeit der Prüfkriterien auf.

Der Fokus auf Microsoft und Microsoft 365 scheint in Anbetracht vielfältiger Bedrohungen des Datenschutzes wenn nicht verfehlt, dann zumindest unverhältnismäßig - betrachtet man realistisch die praktische Relevanz von Microsoft 365 für Unternehmen und öffentliche Stellen europaweit.

Gefragt sind wieder einmal die Unternehmen des Mittelstandes, die der engen Interpretation der DSGO durch die Datenschutzaufsichtsbehörden entgegentreten müssen. Die Frage danach, wie die Digitalisierung in der heutigen, sich rasant weiter entwickelnden Zeit realisiert werden soll, ist aktueller denn je. Wie sind die neuen Technologien von heute und morgen mit der Cybersicherheit und dem Datenschutz in Einklang zu bringen?

Nichts wird so heiß gegessen, wie es gekocht wird. Im Falle des Datenschutzes bei Microsoft 365 bedeutet das: Ruhe bewahren! Beide Seiten werden sich im Verlauf der Diskussion weiter bewegen müssen. Microsoft wird mit Blick auf den großen europäischen Markt weiter an der Datensicherheit seiner Produkte wie Microsoft 365 arbeiten, während sich bei den Datenschutzaufsichtsbehörden (hoffentlich) die Erkenntnis durchsetzt, dass nur mit dem Datenschutz allein keine Umsätze generiert und Arbeitsplätze erhalten oder geschaffen werden können.

Der Stand der Dinge: Mehr zum Thema (Quellen und Linksammlung)

09.12.2022, Heise Online
Microsoft 365: Microsoft bewegt sich, die Datenschützer mauern unverhältnismäßig

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
FAQs zu Microsoft 365

08.08.2022, sharepoint360
Fünf Schritte, um Microsoft 365 datenschutzkonform zu betreiben

Robin Data
Datenschutz und Microsoft Office 365: DSGVO-konformer Einsatz für Unternehmen

04.08.2022, Datenschutz Notizen
Neues zu Microsoft 365


Bildnachweis / Von oben nach unten: jcomp / Freepik, pch.vector / Freepik, storyset / Freepik

Neugierig geworden?

Schreiben Sie uns doch oder rufen Sie uns an unter
+49 421 365 115 0

Frau mit Headset
Wir benutzen Cookies

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.