Anzeige
Anzeige
Analyse
Artikel merken

Datenschutz: Microsoft 365 bleibt für Unternehmen ein hohes Risiko

Die Deutsche Datenschutzkonferenz hat kürzlich einmal mehr die Rechtmäßigkeit von Microsoft 365 (ehemals Office 365) im Sinne der DSGVO angezweifelt. Für Unternehmen bleibt der Einsatz damit ein Risiko, wie IT-Anwalt Christian Solmecke gegenüber t3n erklärt.

5 Min. Lesezeit
Anzeige
Anzeige
Microsoft 365 könnte bald in vielen deutschen Unternehmen aufs Abstellgleis geraten, wenn sich Datenschützer durchsetzen. (Foto: Tada Images / Shutterstock)

Die Deutsche Datenschutzkonferenz, die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat in der vergangenen Woche erklärt, dass Microsoft (ehemals: Office) 365, das von vielen Unternehmen, aber auch von Behörden, Schulen und anderen Organisationen verwendet wird, nicht als datenschutzkonform angesehen werden kann. Der Bundesdatenschutzbeauftragte Ulrich Kelber erklärte, dass Unternehmen zusätzliche Schutzvorkehrungen treffen müssen, auch wenn der von Microsoft überarbeitete Auftragsverarbeitungsvertrag die neuen Standardvertragsklauseln der EU verwendet und berücksichtigt.

Anzeige
Anzeige

Dieser war nötig geworden, nachdem das Schrems-II-Urteil den transatlantischen Privacy Shield als nicht vereinbar mit europäischem Datenschutzrecht erklärt hatte. Denn auch wenn Microsoft nicht die Kundendaten selbst verwendet, arbeitet das Unternehmen dennoch mit aus pseudonymisierten Daten aggregierten Datensätzen, die unter Umständen nicht dem deutschen Datenschutzrecht entsprechen.

Für die Datenschutzbehörden reicht all das allerdings dem Vernehmen nach nicht aus, wie diese im Rahmen einer Festlegung erklärten. Demnach sei der „Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten ‚Datenschutznachtrags vom 15. September 2022‘ nicht geführt“ worden – und weiter: „Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.“

Anzeige
Anzeige

Darüber hinaus hat jetzt der Landesdatenschutzbeauftragte Thüringens, Lutz Hasse, angekündigt, man wolle mit Unternehmerverbänden und Behörden über die Umsetzung dieser DSK- Festlegung sprechen. Hasse wolle zunächst herausfinden, wie stark Microsoft 365 in der Unternehmerschaft verbreitet sei – eine mithin bemerkenswerte Aussage für einen Datenschutzbeauftragten.

Zudem wolle er unter anderem mit der Industrie- und Handelskammer über die Auswirkungen des Beschlusses sprechen. Microsoft erklärte dazu erwartungsgemäß, das Unternehmen halte viele der datenschutzrechtlichen Einschätzungen sowie die Schlussfolgerungen der DSK für grundlegend falsch.

Anzeige
Anzeige

Biden will nachbessern – aber reicht das aus?

Doch was bedeutet all das für Unternehmen, die mit ihren Kunden und Dienstleistern über Microsoft 365 oder einzelne Teile daraus zusammenarbeiten? Und was bedeutet es für eine Vielzahl anderer Browser-basierter Dienste, von denen es ja auch zahlreiche mit datenschutzrechtlichem Bezug in die USA gibt? Wir haben dazu mit Rechtsanwalt Christian Solmecke gesprochen, der das Thema bereits in der Vergangenheit für Kunden und Interessierte aufgearbeitet hat. Er sieht weiterhin bei allen US-Produkten „ein gewisses Risiko einer DSGVO-konformen Datenübermittlung in die USA“, nachdem der österreichische Datenschützer Schrems in mittlerweile zwei EuGH-Urteilen (Schrems I und II) die letzten zwei Datenschutz-Abkommen zwischen den USA und der EU hat kippen lassen.

Doch damit nicht genug – denn die Probleme, die zum Fall der beiden Abkommen geführt haben (insbesondere der Cloud Act der USA) bestehen grundsätzlich weiterhin, auch wenn Präsident Joe Biden gerade mit der Executive Order vom 7. Oktober 2022 die Problematik etwas entschärft. Ob das reicht, ist noch unklar – eine Prüfung steht aus. Die Order erließ er auch im Hinblick auf ein geplantes neues Abkommen, das „Trans-Atlantic Data Privacy Framework“ (TADAP). „Doch Datenschützer sind schon jetzt skeptisch. Aktuell herrscht also grundlegend schon eine enorme Rechtsunsicherheit beim Datenverkehr in die USA“, fasst Solmecke die komplexe Faktenlage zusammen und betont ebenfalls die aktuelle Absage der Datenschutzkonferenz (DSK) und deutscher Datenschutzaufsichtsbehörden an Microsoft.

Anzeige
Anzeige

„Ab Dezember 2022 plant Microsoft zwar, allen Kunden im EU-Raum anzubieten, personenbezogene Daten der Kunden grundsätzlich – aber nicht ausnahmslos, nicht etwa für bestimmte IT-Sicherheitsmaßnahmen – im EU-Raum zu speichern und zu verarbeiten (‚EU Data Boundary‘).“ Damit seien aber bei Weitem nicht alle von der DSK angesprochenen Probleme gelöst – und auch die abschließende Bewertung der DSK steht noch aus.

Weiterhin Rechtsunsicherheit für Unternehmen

Bislang haben Datenschutzbehörden insbesondere beim Einsatz in Schulen Bedenken an der Rechtmäßigkeit der Microsoft-Produkte angemeldet. „Bei Privatunternehmen ist mir in Bezug auf die Nutzung von Microsoft noch nichts zu Ohren gekommen, es wäre aber möglich“, erklärt Christian Solmecke. Klar sei aber, dass letzten Endes zwar nicht die Datenschutzbehörden das letzte Wort über Auslegung und Anwendung der DSGVO haben, sondern die Gerichte.

Das helfe den Unternehmen, wie man im Fall des Shopify-Händlers Christian Häfner (wir berichteten über dessen Kampf gegen die bürokratischen Windmühlen der Pfälzer Datenschützer) sieht, aber erst einmal wenig, weil es die Aufsichtsbehörden sind, die in erster Instanz die Einhaltung der Vorschrift kontrollieren und im schlimmsten Fall schmerzhafte Bußgelder aussprechen können. Diese treffen erst einmal die Verantwortlichen für den Datenschutz (und das ist jede Stelle, die personenbezogene Daten verarbeitet), sofern das Unternehmen ein Programm nutzt, das nicht DSGVO-konform ist. „Hat man erst einmal einen solchen Bescheid der Behörde erhalten, muss man dagegen gerichtlich vorgehen und einen langen Atem haben – denn im Zweifel entscheidet am Ende der EuGH über die Auslegung der DSGVO.“

Anzeige
Anzeige

Hinzu kommt, dass theoretisch auch die Betroffenen, also zum Beispiel Kunden, etwas dagegen haben könnten, dass ihre personenbezogenen Daten in möglicherweise nicht DSGVO-konformer Weise an Microsoft weitergegeben werden. Sie könnten auf Unterlassung und Schadensersatz klagen. Dann geht das Ganze ebenfalls vor die Gerichte und möglicherweise bis zum EuGH. Damit bewegen sich Unternehmen, die das Produkt nutzen, in rechtlicher Sicht auf dünnem Eis und gehen zumindest theoretisch das Risiko von Gerichtsprozessen ein.

Risiko lässt sich nur schwer beurteilen

Doch was bedeutet das jetzt für Unternehmen konkret? Ob diese deswegen auf sämtliche US-Dienste verzichten müssen und stattdessen Cloud-Lösungen von Unternehmen wie Strato, Ionos oder Telekom den Vorzug geben sollten, lässt der Jurist offen. Er würde den Mandant:innen die unsichere Situation erläutern und diese letztlich entscheiden lassen, für wie riskant sie das Problem der möglicherweise drohenden Gerichtsprozesse halten. „Dabei würde ich sie aber auch darüber aufklären, dass die Einschätzungen der deutschen Datenschutzbehörden digitalisierungsfeindliche Extrempositionen in ungeklärten Rechtsfragen sind.“

Anders gesagt: Ob ein Gericht dies genauso sieht, bleibt abzuwarten, wie etwa der Beschluss der Vergabekammer des OLG Karlsruhe deutlich macht (Beschluss vom 7. September 2022, Az. 15 Verg 8/22). Hier hatten im Kontext von Schulen die Richter entschieden, dass man sich durchaus auf Aussagen von Microsoft und anderen Unternehmen verlassen könne, wenn diese etwa die DSGVO-Konformität erklären. Denn ein IT-Verantwortlicher kann grundsätzlich nicht sämtliche teilweise strittigen Details des Datenschutzrechts beurteilen.

Anzeige
Anzeige

Streitlustige Unternehmen sollten es vor Gericht ausfechten

„Darüber hinaus steht ja aber auch im Raum, ob nicht eine technische Einschränkung der Microsoft-Dienste die Bedenken der Behörden kippen könnte. Auch der Bundesdatenschutzbeauftragte Ulrich Kelber meinte, zusätzliche Schutzvorkehrungen wie Mikrovirtualisierung oder zwischengeschaltete Filter-Proxies könnten eventuell helfen.“ Allerdings heißt es im aktuellen Beschluss der DSK auf Seite 7: „Für diesen Anwendungsfall ist es den Aufsichtsbehörden bislang nicht gelungen, ergänzende Schutzmaßnahmen zu identifizieren, die zu einer Rechtmäßigkeit des Datenexports führen könnten.“ Fazit: Darauf verlassen, aufgrund solcher Maßnahmen von den Aufsichtsbehörden unbehelligt zu bleiben, kann man sich also nicht. Und all das gilt sowohl für den Kontext von Microsoft 365 als auch für sämtliche andere Dienste, die mit US-Unternehmen und deren Datenschutz-Policy zu tun haben.

Unternehmen, denen ein Schreiben der zuständigen Datenschutzaufsichtsbehörde ins Haus flattert, helfe dies allerdings wenig. Ihnen bleibt lediglich anwaltlicher Einspruch und der Gang vor Gericht. Dabei bewertet Solmecke allerdings die Chancen durchaus positiv: „Es ist gut möglich und meiner Meinung nach sogar recht wahrscheinlich, dass die Gerichte letztlich eine andere, weniger digitalisierungsfeindliche Auffassung vertreten werden.“

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Ein Kommentar
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Luise

Seit Edward Snowden sollte man um US Konzerne einen ganz grossen Bogen machen….es geht ums Prinzip!

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige