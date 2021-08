Inhaltsverzeichnis Microsoft 365: Cloud Privacy Service zur DSGVO-konformen Nutzung Per Proxy verschlüsselt Mail-Verschlüsselung Grenzen der Sicherheit Bewertung Artikel in c't 19/2021 lesen

Der in der DSGVO vorgeschriebene Schutz für personenbezogene Daten erfordert besondere Vorkehrungen, wann immer diese zur Speicherung oder Verarbeitung ins Internet gelangen. Dann muss der Auftraggeber den Datenschutz gewährleisten, indem er schriftliche Vereinbarungen zur Auftragsdatenverarbeitung mit seinen Cloud-Dienstleistern abschließt. In vielen Fällen bleibt ihm dann nichts weiter, als sich auf den Einhalt dieser Verträge zu verlassen.

Sofern es lediglich darum geht, Daten in der Cloud zu speichern, lässt sich der Schutz zwar darüber hinaus durch eine Ende-zu-Ende-Verschlüsselung absichern. Dann erbeuten Datendiebe nur kryptischen Bytesalat, mit dem sie nichts anfangen können. Der Ansatz taugt aber nicht, wenn die Daten auf dem Internetserver auch bearbeitet werden sollen, etwa mit einer Bürosuite wie Microsoft 365.

Unter diesem Namen bietet Microsoft ein komplettes Office-Paket mit diversen Cloud-Anwendungen an, die sich über einen Browser im Web bedienen lassen. Bei den herkömmlichen Abo-Angeboten von Microsoft 365 ist es aber unvermeidbar, dass in dem Rechenzentrum, das die Microsoft-Dienste hostet, fremde Personen – auch Microsoft-Mitarbeiter – mit Admin-Rechten Zugriff auf die gespeicherten Daten der Anwender haben. Zwar sind deutsche Hoster und deren Mitarbeiter durch europäische Gesetze und die abgeschlossenen Vereinbarungen zur Auftragsdatenverarbeitung auf den Datenschutz gemäß der DSGVO verpflichtet. Doch nach aktuellen Empfehlungen (PDF) der EU genügt das nicht für Anbieter, die ihren Sitz außerhalb der EU in unsicheren Drittstaaten haben.