Fast ein Jahr lang hat die Europäische Datenschutzbehörde Verträge der EU-Gremien mit Microsoft daraufhin geprüft, ob beim Einsatz von Produkten des Softwaregiganten die Privatsphäre der Anwender ausreichend geschützt wird. Das Urteil, das der EU-Datenschutzbeauftragte Wojciech Wiewiórowski in seinem am Donnerstag vorgelegten Abschlussbericht fällt, ist für den Konzern wenig erbaulich: Am besten sollten sich Nutzer in der Verwaltung demzufolge nach Alternativen umschauen, die "höhere Datenschutzstandards erlauben".

heise online daily Newsletter Keine News verpassen! Mit unserem täglichen Newsletter erhalten Sie jeden Morgen alle Nachrichten von heise online der vergangenen 24 Stunden. Newsletter jetzt abonnieren

Schon bei einem Zwischenfazit im Herbst hatte Wiewiórowski "schwere Bedenken", dass sich Microsoft mit seinen Klauseln und Verarbeitungsregeln an die europäischen Vorschriften wie die Datenschutz-Grundverordnung (DSGVO) hält. Nun listen er und sein Team detailliert auf, welch zahlreiche Schwierigkeiten sie mit den Vertragsbedingungen aus Redmond sehen. Sie empfehlen Organisationen, nicht mit einer datenverarbeitenden Stelle zusammenzuarbeiten, die unwillig sei, ausreichende technische und organisatorische Schutzmechanismen zu implementieren und das EU-Recht zu beachten.

Außerhalb jeder sinnvollen vertraglichen Kontrolle

Die mit den EU-Institutionen geschlossene Lizenzvereinbarung erlaube es Microsoft, "die Datenschutzbestimmungen einseitig zu ändern", moniert Wiewiórowski. Im Januar habe das Unternehmen so etwa eine Reihe wichtiger einschlägiger Regeln aus den Geschäftsbedingungen für Online-Dienste in einen speziellen Vertragszusatz ausgegliedert. Damit sei nicht nur unklar, was noch gelte. Einige der Vorgaben stünden nun auch in direktem Widerspruch zueinander. Generell bestehe ein hohes Risiko, dass Microsoft etwa die Zwecke, den Speicherort oder Übermittlungsformen ändern könne, ohne dass die EU-Institutionen vertraglich dagegen abgesichert seien.

Just die Verarbeitung etwa von Telemetrie-Diagnosedaten aus allen Windows-Versionen und Office sei zudem in eine Kategorie "außerhalb des Geltungsbereichs jeder sinnvollen vertraglichen Kontrolle" gefallen, heißt es in dem Bericht. Dies habe sowohl Online-Dienste als auch lokal installierte Anwendungen wie Word, Excel oder PowerPoint betroffen. Insgesamt habe es an Transparenz gemangelt, welche vertraglichen Kontrollen gegebenenfalls für die verschiedenen Kategorien von Daten galten, die von Microsoft im Rahmen der Vereinbarung verarbeitet wurden.

Erst mit der Zusatzerklärung hat der Konzern den Prüfern zufolge die Zwecke von Analysen persönlicher Informationen etwas deutlicher gemacht. Unklar geblieben sei trotzdem, in welchem Ausmaß er Nutzerprofile erstelle oder gewonnene Daten etwa für Machine Learning oder Werbung einsetze.

Microsoft übernimmt Rolle als Datenschutzverantwortlicher

Rund 45.000 Mitarbeiter in EU-Einrichtungen inklusive der Datenschutzbehörde arbeiteten mit Produkten und Diensten aus Redmond, konstatieren die Kontrolleure. Bei einem Vertrag, der eine Datenverarbeitung in solch großem Maßstab und teils mit hohem Risiko unfasse, seien die betroffenen Personen erheblichen Gefahren ausgesetzt. Eine große Menge personenbezogener Daten könnte in einer Form verwendet werden, die der Auftragnehmer selbst festlege.

Dass sich Microsoft im November bereit erklärte, bei Großkunden wie den EU-Einrichtungen bei Cloud-Diensten wie Azure oder Office 365 selbst die Rolle des datenschutzrechtlich Verantwortlichen zu übernehmen, hilft laut Wiewiórowski wenig. Er warnt: In dem Maße, in dem der Auftragnehmer diese zusätzliche Rolle übernehme, werde die beschaffende Organisation nur sehr begrenzt in der Lage sein, ihn für seine Datenverarbeitung zur Rechenschaft zu ziehen. Die DSGVO lasse zudem eine solchen Outsourcing-Deal bei öffentlichen Behörden aufgrund der berechtigten öffentlichen Interessen des Verantwortlichen strikt genommen gar nicht zu. Jede EU-Institution sollte gerade bei Ausübung öffentlicher Gewalt als alleiniger Datenkontrolleur fungieren.

Microsoft hat sich laut der Untersuchung zwar verpflichtet, nur einen Teil der Daten aufzubewahren, die durch die Nutzung der eingeschlossenen Dienste in der EU anfallen. Davon sind laut der Analyse aber nicht alle Messwerte abgedeckt worden, Informationen zur Benutzeridentität und Metadaten etwa blieben außen vor. Die EU-Institutionen "konnten daher nicht frei entscheiden, wo sie ihre Daten speichern wollten". Die Microsoft-Datenschutzerklärung erlaubte es ihnen nicht einmal, den Speicherort all der Arten personenbezogener Daten zu ermitteln, die im Rahmen der Vereinbarung verarbeitet werden. Dazu kämen zahlreiche Probleme mit den Standardvertragsvereinbarungen für internationale Datentransfers etwa in die USA.

Wiewiórowski plädiert dafür, dass Microsoft Nutzerinformationen nur noch in der EU aufbewahren darf. Der Vertrag sollte es der Firma und ihren Sub-Auftragsnehmern in der Regel verbieten, personenbezogene Daten an Behörden der Mitgliedstaaten und von Drittländern, internationale Organisationen oder andere Dritte weiterzugeben. Alle EU-Institutionen sollten Tests durchführen, um den Fluss persönlicher Informationen an Microsoft bei allen aktuellen und künftigen Produkten und Diensten auf Basis eines umfassenden und dokumentierten Ansatzes zu überprüfen. Auditrechte für Kontrollbehörden müssten dazukommen.

Empfehlung könnte große Herausforderung darstellen

Die Rollen aller Beteiligten mit sämtlichen Rechten und Pflichten müssen laut der Aufsichtsinstanz vertraglich klar geregelt werden. Jeder Kauf von Produkten und Dienstleistungen von Microsoft oder neue Einsätze derselben sollten vorsichtig anhand der vorliegenden Empfehlungen abgewogen werden. Die EU-Institutionen müssten den Datenschutz auch ordnungsgemäß in jedes spezifische öffentliche Beschaffungsverfahren für IT einbinden.

Publiziert hat Wiewiórowski den Bericht am Rande eines Treffens des von ihm und dem niederländischen Justizministeriums ins Leben gerufenen Den Haager Forums. Dessen Ziel ist es, die digitale Souveränität Europas zu stärken und Abhängigkeiten von einzelnen Herstellern abzubauen. Der Pole hofft, dass alle größeren Microsoft-Kunden seine Hinweise berücksichtigen. Er ist sich aber bewusst, dass die empfohlene Vorgehensweise für viele davon "eine große Herausforderung darstellen könnte".

(bme)