Datenschutzbehörden erklären den Einsatz von Microsoft 365 für rechtswidrig

Was die Datenschutzbehörden Anfang Oktober veröffentlicht haben, bewegt sich irgendwo zwischen unverschämt und weltfremd, findet Heise-Justiziar Joerg Heidrich.

Lesezeit: 4 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 24 Beiträge

(Bild: dennizn/Shutterstock.com)

Von
  • Joerg Heidrich

Microsoft 365 gehört sowohl für den gewerblichen als auch den öffentlichen Bereich derzeit zu den wichtigsten Software-Angeboten. Zweifel daran, ob der Einsatz der Online-Tools in Privathaushalten, Unternehmen, Schulen oder Verwaltungsbüros überhaupt rechtskonform möglich ist, bestehen schon lange. Die aktuellen Veröffentlichungen der Datenschutzbehörden kommen deshalb viel zu spät, beklagt Heise-Justiziar Joerg Heidrich.

Zunächst eine Zusammenfassung, was bisher geschah: Patentschutzbehörden in ganz Europa sehen Microsofts Cloud-Angebote kritisch und fragen sich: Lässt sich Microsoft 365, die Cloud-Variante des Office-Pakets, derzeit im Einklang mit der Datenschutz-Grundverordnung (DSGVO) einsetzen? Anfang Oktober bezog die Konferenz der deutschen Datenschutzaufsichtsbehörden (DSK) Stellung: Auf Basis der von ihr ausgewerteten Unterlagen sei "kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich".

Für seine Untersuchung nahm der "Arbeitskreis Verwaltung" der DSK die dem Einsatz des Produkts zugrunde liegenden Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft-Onlinedienste (Data Processing Addendum) unter die Lupe. Eine technische Überprüfung der an Microsoft tatsächlich übermittelten Daten fand nicht statt.

In erster Linie hat die Konferenz geprüft, ob Microsoft 365 – das zum Zeitpunkt der Kontrolle noch Microsoft Office 365 hieß – die Anforderungen von Artikel 28 Absatz 3 der DSGVO erfüllt. Diese Vorschrift regelt den Umgang mit sogenannten Auftragsverarbeitern, also Unternehmen, an die personenbezogene Daten zur Weiterverarbeitung übermittelt werden.

c't magazin 23/2020

Dieser Artikel stammt aus c't 23/2020. Darin hat die Redaktion weltweit Datenlecks aufgespürt, sie stellt Apps & Gadgets gegen den Corona-Blues vor und hat aktuelle Android-Launcher getestet. Außerdem stieß die Redaktion auf einen fatalen Bug in neuen Geräten mit dem HDMI-Port Version 2.1. c't 23/2020 ist ab sofort im Heise-Shop und am gut sortierten Zeitschriftenkiosk erhältlich.

Es sei nicht eindeutig ersichtlich, welche Daten tatsächlich verarbeitet werden, kritisierte die DSK. Dies gelte insbesondere für Informationen, die die Microsoft-Zentrale in den USA im eigenen Interesse verarbeite. Im Visier stehen hier vor allem die Telemetriedaten der einzelnen Nutzer.

Besonders problematisch findet die DSK in diesem Zusammenhang den Einsatz von Microsoft 365 in öffentlichen Stellen, also der Verwaltung. Denn: Der legitime Geschäftszweck, den Microsoft als Rechtsgrundlage für die eigene Nutzung der Daten nennt, gilt in aller Regel nicht für die Verwaltung.

Laut DSK bedarf es zur Speicherung in der Microsoft-Cloud einer eigenen Rechtsgrundlage, "die es der öffentlichen Verwaltung erlaubt, Daten von Beschäftigten oder Bürgerinnen und Bürgern für diese Zwecke zur Verfügung zu stellen". Zudem fehlten eine Aufstellung der Unterauftragsverarbeiter von Microsoft ebenso wie Angaben zur Löschfrist von bestimmten Daten.

Die DSK kritisiert, dass Microsoft in den Nutzungsbedingungen nicht präzise darstellt, welche dem Risiko angemessenen Maßnahmen getroffen werden, um die Verarbeitung von Nutzerdaten zu schützen. Was Microsoft zu diesen sogenannten "technischen und organisatorischen Maßnahmen" (TOMs) erkläre, genüge nicht, um Risiken einschätzen zu können.

Außerdem bezieht die DSK in ihre Abwägung den "Clarifying Lawful Overseas Use of Data Act" (CLOUD Act) ein. Dieses US-Gesetz gestattet Ermittlungsbehörden wie dem FBI, auf personenbezogene Daten zuzugreifen, die US-Provider wie Microsoft in europäischen Rechenzentren speichern. Microsoft verwies in der untersuchten Datenschutzerklärung für Onlinedienste lediglich darauf, dass "verarbeitete Daten außerhalb der Weisung des Kunden auch offengelegt werden können, wenn die Datenschutzbestimmungen es vorsehen oder dies gesetzlich vorgeschrieben wird". Diese Information ist für die DSK "nicht hinreichend konkret".

Gelebte Transparenz: Mit einer Anfrage gemäß Informationsfreiheitsgesetz gelangte die Initiative FragDenStaat an die DSK-Beschlussvorlage und veröffentlichte sie postwendend, sodass sich nun jeder sein Bild machen kann.

In einem seltenen Akt der Unstimmigkeit erging die Entscheidung mit einer knappen Mehrheit von neun Stimmen bei acht Gegenstimmen. Die uneingeschränkte Zustimmung verweigerten unter anderem die Landesbeauftragten aus Baden-Württemberg, Bayern, Hessen und dem Saarland. Diese veröffentlichten sogar eine eigene Pressemeldung, in der sie die Bewertungen der DSK als "zu undifferenziert" bezeichneten.

Konkret wird kritisiert, dass die Bewertung auf der Grundlage von Vertragsbestimmungen aus dem Januar 2020 erfolgte, die Microsoft seitdem bereits zweimal überarbeitet hat. Auch sei keine förmliche Anhörung von Microsoft zu den Bewertungen erfolgt, "wie es zu einem fairen, rechtsstaatlichen Verfahren" gehöre.

Gegenüber c’t versicherte eine Sprecherin des Konzerns, dass "Microsoft die jeweiligen gesetzlichen Anforderungen in den Märkten, in denen wir tätig sind, sehr genau" beachte. Man sei überzeugt, "dass unsere Produkte im Allgemeinen und damit auch Microsoft Office 365 im Einklang mit dem anwendbaren Datenschutzrecht genutzt werden können". Microsoft begrüße die Zusammenarbeit mit der DSK-Arbeitsgruppe, "um Fragen und Anliegen gemeinsam zu erörtern und Lösungen zu erarbeiten".

Konkrete Folgen hat der DSK-Beschluss zunächst nicht. Von einem Office-365-Verbot, wie mancherorts zu lesen war, kann nicht die Rede sein. Der Beschluss stellt formal nur eine sogar innerhalb der Konferenz umstrittene Rechtsmeinung dar, an die weder Behörden noch Anwender von Microsoft 365 gebunden sind. Als konkrete Folge benennt die DSK lediglich, dass sie mit Microsoft in den Dialog treten werde, "um die identifizierten Probleme zu lösen".

Dies bedeutet allerdings, dass einzelne Aufsichtsbehörden in den Bundesländern dennoch gegen die Online-Nutzung von Word, Excel & Co. vorgehen könnten. So gibt es derzeit in Baden-Württemberg einen öffentlich ausgetragenen Streit um die datenschutzrechtliche Zulässigkeit der Einführung von Office und insbesondere von Teams an den Schulen. Dass der DSK-Beschluss hier die Lage zuungunsten Microsofts ändert, ist unwahrscheinlich.


Ein Kommentar von Joerg Heidrich

Microsoft 365 gehört sowohl für den gewerblichen als auch den öffentlichen Bereich derzeit zu den wichtigsten Software-Angeboten. Deshalb sollten die Datenschutzbehörden klare Vorgaben machen, ob der Einsatz der Online-Tools in Privathaushalten, Unternehmen, Schulen oder Verwaltungsbüros in der jetzigen Form überhaupt rechtskonform möglich ist. Zweifel daran bestehen schon lange.

Ein guter Zeitpunkt für ein klares und fundiertes Statement wäre vor einem halben Jahr gewesen, als Unternehmen und Behörden vor der Frage standen, wie sie ihre Mitarbeiter sinnvoll vernetzen können. Stattdessen wurden die Datenschutzbeauftragten vor Ort mit ihren Bedenken weitgehend allein gelassen.

Was die Datenschutzbehörden nun, Anfang Oktober 2020, viel zu spät veröffentlicht haben, bewegt sich irgendwo zwischen unverschämt und weltfremd. Sie kommen in dem Papier zum Ergebnis, dass auf der Basis von eher historisch relevanten Unterlagen (Stand von Januar 2020!) kein datenschutzgerechter Einsatz von Microsoft 365 möglich ist. Sie haben sich also offenkundig nicht einmal die Mühe gemacht, die technischen Prozesse der Software zu untersuchen – oder sich gar angeschaut, welche Daten konkret übermittelt wurden und ob diese überhaupt in den Schutzbereich der DSGVO fallen.

Stattdessen haben sie ausschließlich Nutzungs- und Datenschutzbedingungen unter die Lupe genommen, die seitdem bereits zweimal überarbeitet wurden. Welche Software-Versionen aus dem Fundus an verschiedenen Angeboten untersucht wurden, ist dem Beschluss ebenfalls nicht zu entnehmen. Noch peinlicher: Die Entscheidung der DSK berücksichtigt in ihrem Statement nicht einmal das für den Export von Daten in die USA entscheidende Urteil des EuGH vom Juli 2020.

Die Entscheidung zeigt außerdem einen Schwachpunkt des institutionellen deutschen Datenschutzes: Als zentrale Regelung soll die DSGVO für ein einheitliches Recht in der ganzen EU sorgen. Wie der DSK-Beschluss zeigt, ist nicht einmal innerhalb von Deutschland Einigkeit möglich. Dies schmerzt bei zentralen und praxisrelevanten Fragen wie dem Einsatz wichtiger Software-Produkte besonders.

Ein Gutes hat die Uneinigkeit immerhin: Acht der Behörden konnten sich explizit nicht dazu durchringen, dem Papier zuzustimmen, halten es für undifferenziert und fordern Nachbesserungen. Es bleibt zu hoffen, dass die Nachbesserungen von Microsoft selbst gefordert werden – und die Behörden jetzt keinen Kreuzzug gegen Nutzer des Angebots führen, die sie bei der Bewertung der Software viel zu lange alleine gelassen haben.


(hob)