Microsoft 365 steht in Deutschland dauerhaft in der Kritik - wegen angeblich mangelndem Datenschutz. Beide Seiten interpretieren die DSGVO unterschiedlich. Die Debatte bremst vor allem die Digitalisierung. Aber wer hat Recht?
Das hin und her zum Datenschutz bei Microsoft 365 ist bei weitem nicht neu. Die Datenschutzaufsichtsbehörden meinen, Mängel zu erkennen – sind aber nicht in der Lage, diese Mängel mit Microsoft selbst abschließend zu klären und so für Rechtssicherheit bei allen Beteiligten zu sorgen. In der daraus resultierenden Eskalation werden öffentliche Stellen und Unternehmen instrumentalisiert, um den Druck auf Microsoft zu erhöhen. Das führt zunehmend zu Unverständnis bei den Unternehmen und der Digitalisierung in Deutschland und Europa drohen Stagnation oder sogar Rückschritte.
Springen Sie direkt zu den für Sie interessanten Stellen:
- Was sind die wesentlichen Kritikpunkte?
- Voraussetzungen für einen datenschutzkonformen Einsatz von Microsoft 365
- Was wären mögliche Auswirkungen auf den Arbeitsalltag?
- Wie ist eigentlich die Rechtslage?
- Die Unternehmen sind (wieder mal) die Leidtragenden
- Im Zweifel für den Angeklagten: Rücksicht ist geboten!
- Augenmaß und Verhältnismäßigkeit bei Prüfkriterien oft nicht gegeben
- Aktueller Stand und Entwicklung
- Mehr zum Thema: Quellen und Links
Was sind die wesentlichen Kritikpunkte?
Im wesentlichen fußt die Kritik der Datenschutzaufsichtsbehörden bei der Nutzung von Microsoft 365 auf der Tatsache, dass die Software nicht aus Europa stammt und in dem Zusammenhang technische und rechtliche Probleme entstehen könnten.
Bei der Nutzung von Microsoft 365 lässt sich eine Übermittlung bestimmter Nutzungsdaten, wie zum Beispiel der IP-Adresse, nicht vermeiden. Dabei könne nicht ausgeschlossen werden, dass Microsoft bestimmte Nutzungsdaten für eigene Zwecke verwendet oder an Werbepartner weitergibt.
Unter anderem werden folgende Punkte in Bezug zum Datenschutz bei Microsoft 365 moniert
Datenübermittlung in die USA
Ein grundsätzliches Problem bei der Nutzung von Microsoft 365 ist, dass personenbezogene Daten, die in die Vereinigten Staaten gesendet werden. Dort werden sie unter rechtlichen Bedingungen verarbeitet, die nicht dem europäischen Datenschutzniveau entsprechen.
Mangelnde Transparenz bei der Datenverarbeitung
Den Hintergrund dafür ist die mangelnde Transparenz darüber, wie personenbezogene Daten aus der Auftragsverarbeitung für eigene Zwecke von Microsoft verarbeitet werden und ob dies rechtmäßig geschieht.
Zu wenig Einwirkungsmöglichkeiten des Auftraggebers
Die Verantwortung für die ordnungsgemäße Datenverarbeitung liegt beim Auftraggeber, also dem Unternehmen, dass Microsoft 365 einsetzt. Er ist der Hauptverantwortliche für den Datenschutz. Der externe Dienstleister – hier Microsoft - wird bei der Auftragsverarbeitung nur unterstützend tätig, er ist praktisch der „verlängerte Arm“ seines Auftraggebers. Wenn der Auftraggeber keine transparente Einsicht in die Datenverarbeitung des Auftragsverarbeiters hat, kann das zu rechtlichen Problemen führen.
Zwecke der Datenverarbeitung unklar
Während der Nutzung von Microsoft 365 werden in großem Umfang Daten über die individuelle Nutzung von Word, Excel, PowerPoint und Outlook, Teams und anderer Anwendungen und Dienste gesammelt. Durch eine verschlüsselte Datenübertragung bleibt oft unklar, welche Daten konkret gesendet werden. Daraus folgt das Problem, dass die Daten im Rahmen einer Prüfung nicht eingesehen werden können.
Löschung von Daten nicht kontrollierbar
Microsoft erstellt, speichert und verarbeitet Daten, ohne dass der Nutzer hierauf Einfluss hat. Dies gilt auch für die Datenlöschung. Gemäß DSGVO darf der Auftragsverarbeiter (hier Microsoft) personenbezogene Daten ausschließlich nach schriftlicher Weisung des Verantwortlichen verarbeiten. Wenn jedoch Microsoft 365 verwendet wird, können Kunden beim Erstellen und Löschen nichts ändern oder anpassen. Das bedeutet, dass der Kunde Microsoft keine Weisungen zum Beispiel bezüglich des Zeitpunkts der Datenlöschung erteilen kann.
Unter welchen Voraussetzungen ist ein datenschutzkonformer Einsatz von Microsoft 365 (nach Interpretation der DSGVO durch die Datenschutzaufsichtsbehörden) möglich?
Datenschutzrechtliche Probleme sehen die zuständigen Behörden in erster Linie bei Cloud-basierten Produkten. Ein datenschutzkonformer Einsatz von Microsoft 365 sowohl in Unternehmen als auch in öffentlichen Stellen ist allerdings auch heute schon DSGVO-konform möglich - nach der Auslegung der DSGVO durch die Datenschutzaufsichtsbehörden.
In Auftrag gegebene Datenschutzfolgenabschätzungen zu Teams, OneDrive, SharePoint und Azure AD, kommen zum Ergebnis, dass nach der Umsetzung bestimmter Maßnahmen keine hohen Risiken für den Datenschutz bestehen.
Es bleibt allerdings offen, ob sämtliche der folgend genannten Voraussetzungen umgesetzt werden sollten, oder ob es bereits genügt, wenn nur bestimmte der Voraussetzungen erfüllt sind.
Der Datenschutz bei Microsoft 365 soll unter anderem durch folgende Maßnahmen sichergestellt werden können:
Datenverkehr Umleiten durch Nutzung abgesicherter Browser
Leiten Sie den Internetverkehr über eine eigene Infrastruktur um. Durch entsprechende technische Maßnahmen können dadurch die heimischen IP-Adressen verschleiert werden. Verwenden Sie dafür einen sicheren und vorkonfigurierten Browser mit integriertem Schutz und vorkonfigurierten Terminal-Clients, um die umfassende Anonymisierung von Metadaten zu gewährleisten.
Pseudonyme E-Mail-Adressen und Unterbindung von LinkedIn-Integration
Verwenden Sie anonyme geschäftliche E-Mail-Adressen und verbieten Sie die Verwendung privater Microsoft-Konten. Zudem sollte die Einbindung von LinkedIn-Konten von Mitarbeitern verhindert werden. Dann können Adresseinträge von LinkedIn nicht automatisch übernommen werden.
Übertragung von Telemetrie-Daten unterbinden
Unterbinden Sie die Übertragung von Telemetrie-Daten beim Einsatz von Microsoft 365 und dem Windows-Betriebssystem. Alternativ könnten Sie komplett auf die Microsoft 365 Cloud-Lösungen verzichten und auf die On-Premise-Lösungen von Microsoft umsteigen. Darüber hinaus sollten Sie die produktseitig vorhandenen Konfigurationsmöglichkeiten nutzen, um die Übertragung von Diagnosedaten an Microsoft zu unterbinden oder zumindest einzuschränken.
Überwachung von Microsoft-Produktupdates
Überwachen Sie die Installation von Produktupdates von Microsoft. Prüfen Sie dabei, ob ein Update Konfigurationsänderungen bedeuten würde.
Was wären mögliche Auswirkungen auf den Arbeitsalltag?
Die nach den Datenschutzaufsichtsbehörden zu ergreifenden Maßnahmen würden sich vornehmlich auf die Arbeitseffektivität und die übergreifende Nutzung der in Microsoft 365 enthaltenen Apps auswirken. Da das Zusammenspiel aller Apps wie Word, Excel, PowerPoint, Outlook etc. ein Kern bei der Nutzung von Microsoft 365 ist, stünde allerdings das komplette Tool in Frage.
Folgende Auswirkungen könnten die Maßnahmen haben:
Langsame Performance
Bei den geforderten technischen Eingriffen in den Workflow bleibt die Performance auf der Strecke. Je mehr Filter durch Firewalls und die Verhinderung von Datenübermittlung zur z.B. Verifizierung von Nutzern eingesetzt werden, desto langsamer arbeitet das System.
Nicht alle Features im vorgesehenen Sinne nutzbar
Im Sinne der Effektivität – besonders bei der Einbindung externer Daten in Projekte mit Word, Excel oder PowerPoint – könnten existierende datenintensive Features oder Addins innerhalb der Programme ggf. nicht oder nur eingeschränkt genutzt werden.
Zusammenwirkung der Apps erschwert
Die in Microsoft 365 enthaltenen Apps könnten nicht ohne eingehende Prüfung zusammen genutzt werden. Das heißt, die Zusammenwirkung der Apps zur Arbeitserleichterung und Optimierung der persönlichen Workflows wird erschwert oder gar unmöglich gemacht.
Workarounds nötig
Da gerade das Zusammenspiel der Apps aus Microsoft 365 den größten Pluspunkt für die Nutzung ausmacht, werden durch die Vorgaben wieder Workarounds nötig. Gerade die immer bessere Zusammenarbeit der Programme hatte derlei Workarounds allerdings erst unnötig gemacht.
Bereits beim digitalen Unterricht scheitert vieles am Datenschutz
Die Probleme beginnen bereits in der Schule. Microsoft 365 ist oft Teil der Berufsausbildung und es wird erwartet, dass Schülerinnen und Schüler damit umgehen können. Einige Datenschützer setzen hier Maßstäbe an, die nicht mit der Realität übereinstimmen. Die theoretische Möglichkeit, dass US-Geheimdienste Schülerdaten abgreifen könnten, kann keine ausreichende Begründung für den Ausschluss solcher Anwendungen sein.
Der Datenschutz ist zweifellos ein wichtiges Anliegen, aber Schülerinnen und Schüler haben auch ein Anrecht auf einen guten und zeitgemäßen Unterricht. Die Anwendung der Datenschutzgrundverordnung variiert stark zwischen den Datenschutzbeauftragten der Länder. Bei einigen Datenschützern findet keine vernünftige und praxisbezogene Abwägung statt. Das Ergebnis in einigen Fällen: Ausgerechnet in der Schule darf Microsoft 365 nicht genutzt werden. An dieser Stelle kann es eine Aufgabe der Politik, die Prioritäten zu klären.
Wie ist eigentlich die Rechtslage?
Kurz: Unklar. Zunächst einmal enthält die DSGVO keine Herstellerpflichten. Anders als beispielsweise bei Produkten, für die europäische CE-Richtlinien gelten. Für derlei Produkte gilt beispielsweise die Verpflichtung, dass der Hersteller grundsätzlich dafür sorgen muss, dass seine Produkte sicher sind und dass bei bestimmungsgemäßem Gebrauch keine Gefährdungen für Menschen, Tiere oder die Umwelt entsteht.
Bei digitalen Produkten – wie hier bei Microsoft 365 - verhindert die fehlende Herstellerverpflichtung die abschließende Klärung und Schaffung von Rechtssicherheit beim Datenschutz. Die Datenschutzaufsichtsbehörden behelfen sich dann gerne mit öffentlichen Warnungen vor eventuellen Datenschutzmängeln. Und betreten hiermit ihrerseits eine rechtliche Grauzone.
Da weder die DSGVO noch das deutsche Recht hier eine klare Rechtsgrundlage bieten, sorgen solche Produktwarnungen für eine breite Angriffsfläche. Zum einen bedeuten die Warnungen gravierende Grundrechtseingriffe zulasten der Hersteller – und zum anderen machen sich die Datenschutzaufsichtsbehörden durch solche Anschuldigungen zunehmend unglaubwürdig. Vor allem auch, da Microsoft bei Office 365 im Bereich des Datenschutzes fortlaufend nachbessert.
Die Unternehmen sind (wieder mal) die Leidtragenden
Da die Datenschutzaufsichtsbehörden also wenig Möglichkeiten haben, die vermeintlichen Probleme direkt mit den Anbietern zu lösen, greifen sie auf eine weitere Eskalationsstufe zurück: Die Behörden treten mit ihrer Interpretation der DSGVO an Unternehmen und öffentliche Stellen heran. In Einzelfallprüfungen in den Unternehmen und Institutionen werden diesen nun mangelnder Datenschutz durch die Nutzung von Microsoft 365 vorgeworfen. Durch diesen Umweg soll der Druck auf die Hersteller erhöht und die Behebung der Mängel erzwungen werden.
Derlei Einzelfallprüfungen bei mehr oder weniger zufällig ausgesuchten Unternehmen und Institutionen führen hier zu großen Mehrbelastungen und zwingen die Verantwortlichen indirekt zur gerichtlichen Durchsetzung ihrer Rechte. Bei fehlendem Budget für solche gerichtlichen Auseinandersetzungen führt dies bei Start-ups, kleinen Unternehmen, Schulen oder öffentlichen Stellen zu Unverständnis, Frust und Resignation.
Was kann Microsoft 365 für Sie und Ihr Unternhemen leisten? Rufen Sie uns an oder schreiben Sie uns eine E-Mail:
Im Zweifel für den Angeklagten: Rücksicht ist geboten!
Die DSGVO enthält auch Jahre nach ihrer Einführung noch immer viele ungeklärte und strittige Rechtsfragen. Die in der DSGVO enthaltenen Vorschriften bedürfen in vielen Fällen schlicht der Auslegung. Aber einer Auslegung, die den Datenschutz in Einklang mit Grundrechten wie der unternehmerischen Freiheit und dem Recht auf Bildung bringt. Das bedeutet, dass die DSGVO neben dem Schutz vor Missbrauch persönlicher Daten auch den freien Datenverkehr ermöglichen soll.
Genau hier verengt sich der Flaschenhals. Ohne Zweifel birgt eine moderne Cloud-Lösung wie Microsoft 365 Risiken beim Datenschutz, dafür hat eine solche Software wiederum einige Vorteile, die den freien Datenverkehr unterstützen. Zu den großen Vorteilen von Lösungen wie Microsoft 365 zählt sicherlich die bessere Performance aber vor allem auch die Cybersicherheit. Immer häufiger liest man von Datenlecks selbst betriebener IT-Systeme – seltener jedoch bei Anbietern wie Microsoft.
Wenn sich die europäischen Datenschutzaufsichtsbehörden mit ihrer Interpretation der DSGVO durchsetzen würden, könnte der Betrieb einer Cloud-Lösung wie Microsoft 365 unmöglich werden. Welchen Rückschritt das für die Digitalisierung von Wirtschaft und Verwaltung in Europa bedeuten würde, ist kaum auszumalen.
Augenmaß und Verhältnismäßigkeit bei den Prüfkriterien oft nicht gegeben
Dabei gehen die Sichtweisen der Datenschutzaufsichtsbehörden in den verschiedenen europäischen Ländern durchaus auseinander. Eine Einigung auf europäische Ebene durch eine einheitliche Auslegung der DSGVO scheint in weiter Ferne. Besonders die bereits beschriebenen Alleingänge der deutschen Datenschutzbehörden erschweren die Abstimmungen mit Microsoft auf europäischer Ebene.
Über die Jahre wurden sehr intensive Gespräche zwischen den Datenschutzaufsichtsbehörden und Microsoft geführt. Dabei hat sich Microsoft bereits erheblich bewegt und viele Wünsche in Bezug auf seine Cloud-Lösung Microsoft 365 bereits umgesetzt. Dass die Datenschutzaufsichtsbehörden trotzdem immer noch nicht überzeugt sind, wirft die berechtigte Frage nach der Verhältnismäßigkeit der Prüfkriterien auf.
Der Fokus auf Microsoft und Microsoft 365 scheint in Anbetracht vielfältiger Bedrohungen des Datenschutzes wenn nicht verfehlt, dann zumindest unverhältnismäßig - betrachtet man realistisch die praktische Relevanz von Microsoft 365 für Unternehmen und öffentliche Stellen europaweit.
Gefragt sind wieder einmal die Unternehmen des Mittelstandes, die der engen Interpretation der DSGO durch die Datenschutzaufsichtsbehörden entgegentreten müssen. Die Frage danach, wie die Digitalisierung in der heutigen, sich rasant weiter entwickelnden Zeit realisiert werden soll, ist aktueller denn je. Wie sind die neuen Technologien von heute und morgen mit der Cybersicherheit und dem Datenschutz in Einklang zu bringen?
Aktueller Stand und Entwicklung
Stellungnahme der Datenschutzkonferenz (DSK) vom 25. November 2022
Die Datenschutzkonferenz (DSK), das Gremium der deutschen Datenschutzaufsichtsbehörden, äußerte sich am 25. November 2022 zu Microsoft 365. In ihrer Stellungnahme kam sie zu dem Schluss, dass Microsoft den Nachweis der datenschutzkonformen Nutzung nicht erbracht habe. Microsoft reagierte umgehend und veröffentlichte eine eigene Stellungnahme. Ab dem 1. Januar 2023 wurden der Datenschutz verbessert und ein neues Products and Services Data Protection Addendum (DPA) sowie eine aktualisierte Liste der Subunternehmer eingeführt. Zudem wurde mit der EU Data Boundary eine europäische Microsoft Cloud auf vertraglicher Ebene eingeführt.
Datenschutzaufsichtsbehörden starten Neubewertung
Die Kritik von November 2022 an Microsoft 365 verliert immer mehr an Gewicht, denn mittlerweile hat sich einiges getan. Die deutschen Datenschutzaufsichtsbehörden haben auf ihrer Zwischenkonferenz im Januar 2023 beschlossen, die Rechtslage erneut unter die Lupe zu nehmen. Im Mittelpunkt stehen dabei das Microsoft EU Data Boundary als wegweisende europäische Cloud-Lösung und das frisch veröffentlichte Products and Services Data Protection Addendum (DPA) von Januar 2023. Die DSK-Arbeitsgruppe "Microsoft-Onlinedienste" wurde beauftragt, diese Neubewertung vorzunehmen. Die Zeichen stehen auf Veränderung und verbesserte Datenschutzstandards sind in Sicht.
Nichts wird so heiß gegessen, wie es gekocht wird. Im Falle des Datenschutzes bei Microsoft 365 bedeutet das: Ruhe bewahren! Beide Seiten werden sich im Verlauf der Diskussion weiter bewegen müssen. Microsoft wird mit Blick auf den großen europäischen Markt weiter an der Datensicherheit seiner Produkte wie Microsoft 365 arbeiten, während sich bei den Datenschutzaufsichtsbehörden (hoffentlich) die Erkenntnis durchsetzt, dass nur mit dem Datenschutz allein keine Umsätze generiert und Arbeitsplätze erhalten oder geschaffen werden können.
Der Stand der Dinge: Mehr zum Thema (Quellen und Linksammlung)
01.02.2024, Stefan Hessel, Rechtsanwalt
Datenschutzaufsichtsbehörden veröffentlichen „Praxis-Tipps“ - Handreichung zu Microsoft 365
05.06.2023, Stefan Hessel, Rechtsanwalt
Datenschutz bei Microsoft 365: Datenschutzaufsicht setzt Bewertung fort – EU Data Boundary im Fokus
14.03.2023, Der Tagesspiegel
Schuldigitalisierung ist eine Daueraufgabe
09.12.2022, Stefan Hessel, Rechtsanwalt
Kein hohes Datenschutzrisiko bei Microsoft 365: Wichtiges Urteil des LAG Rheinland-Pfalz zur Notwendigkeit von Datenschutz-Folgenabschätzungen
07.03.2023, Heise Online
Microsoft 365: Microsoft bewegt sich, die Datenschützer mauern unverhältnismäßig
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
FAQs zu Microsoft 365
08.08.2022, sharepoint360
Fünf Schritte, um Microsoft 365 datenschutzkonform zu betreiben
Robin Data
Datenschutz und Microsoft Office 365: DSGVO-konformer Einsatz für Unternehmen
04.08.2022, Datenschutz Notizen
Neues zu Microsoft 365
Bildnachweis / Von oben nach unten: jcomp / Freepik, pch.vector / Freepik, storyset / Freepik