Microsoft Office 365: Die Gründe für das Nein der Datenschützer

Microsoft erfüllt die DSGVO-Ansprüche an Auftragsverarbeiter nicht, urteilt die Datenschutzkonferenz. Vieles sei zu vage, ein US-Zugriff nicht ausgeschlossen.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 549 Beiträge

(Bild: Wachiwit / Shutterstock.com)

Update
Von
  • Stefan Krempl

Die Datenschutzkonferenz des Bundes und der Länder (DSK) hat am 22. September mit knapper Mehrheit beschlossen, dass derzeit "kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich ist". Sie folgte damit einer Bewertung ihres Arbeitskreises Verwaltung vom 15. Juli. Dieser hatte über ein halbes Jahr lang geprüft, ob die Datenschutzbestimmungen und Online-Geschäftsbedingungen für das Cloud-basierte Softwarepaket mit Artikel 28 der Datenschutz-Grundverordnung (DSGVO) zur Auftragsdatenverarbeitung vereinbar sind.

Dies ist nach Ansicht der Aufsichtsbehörden nicht der Fall. Wer die Cloud-Variante etwa von Word, Excel oder Powerpoint nutzt, handelt demnach nicht rechtskonform. Darauf hatte der rheinland-pfälzische Datenschutzbeauftragte Dieter Kugelmann am Mittwoch verwiesen, ohne aber weitere Details zu nennen. Das in einzelnen Punkten auch intern umstrittene Positionspapier und die darin angeführten Gründe für die Einschätzung liegen heise online nun vor.

Schon die Arten der personenbezogenen Daten und der Zweck, warum sie verarbeitet werden, bleibe in den Online Service Terms (OST) sowie dem "Data Processing Addendum" (DPA) vom Januar unklar, rügen die Kontrolleure. Daher sei es auch nicht möglich, gegebenenfalls gesonderte datenschutzrechtliche Anforderungen und Risikostufen zu bestimmen. Solche Angaben müssten eigentlich schon aus dem Auftragsverarbeitungsvertrag ersichtlich sein.

In diesem Zusammenhang empfiehlt die DSK Microsoft, "den Abstraktionsgrad zu verringern und Freifelder" einzusetzen, die gegebenenfalls anpassbar seien. Eventuell könnten so die Zwecke, für die die Daten benötigt würden, sogar im Einzelfall benannt werden.

Microsoft verweist innerhalb der Datenschutzbestimmungen für Online-Dienste, selbst im Zusammenhang mit legitimen eigenen Geschäftstätigkeiten verantwortlich zu sein und benennt diese auch. Das Gremium kritisiert aber, dass es "weiterhin nicht eindeutig ersichtlich" sei, "welche weiteren personenbezogenen Daten in diesem Rahmen verarbeitet werden".

Zudem bestehe für den Transfer weiterer personenbezogener Informationen vom Nutzer an Microsoft – wie etwa beim Sammeln von Telemetrie-Diagnosedaten – neben dem Auftragsverarbeitungsvertrag keine weitere Rechtsgrundlage, heißt es in dem Papier. Dies sei besonders für Behörden prekär, wenn diese auch Daten von Beschäftigten oder Bürgern für die genannten Zwecke verfügbar machten. In diesem Umfeld müsse ein "ein nachhaltig sicherer Einsatz der Software" möglich sein und ein Nutzen von Informationen unterliege angesichts der Grundrechtsrelevanz erhöhten Anforderungen.

Als "nicht hinreichend konkret" schätzen die Kontrolleure die Angabe Microsofts ein, dass verarbeitete Daten außerhalb der Maßgaben des Kunden auch offengelegt werden könnten, wenn dies etwa gesetzlich vorgeschrieben sei. Diese Ausnahme dürfe sich ausschließlich auf das Recht der EU oder eines Mitgliedsstaates beziehen sowie möglicherweise bestehende Rechtshilfeabkommen mit Drittstaaten. In diesem Zusammenhang seien vor allem die Auswirkungen des Cloud Acts, dem das US-Unternehmen unterliege, "nicht hinreichend geklärt".

In den Internet-Geschäftsbedingungen stellt Microsoft ferner laut der Analyse nicht hinreichend dar, "welche dem Risiko angemessenen Maßnahmen der angebotene Onlinedienst für die Verarbeitung von personenbezogenen Daten bietet". Der Konzern stelle darauf ab, dass der Verantwortliche allein entscheiden müsse, ob etwa Sicherheitsverpflichtungen den Anforderungen entsprächen. Dies könne er anhand der gelieferten Informationen aber gar nicht objektiv beurteilen.

In den Fällen, in denen Microsoft selbst die Rolle des Verantwortlichen übernehme und Daten zu eigenen Zwecken verarbeite, würden diese "nicht gelöscht", beklagt die DSK. Es sei zwar nachzuvollziehen, dass diese Messwerte nicht Teil der Auftragsverarbeitung seien. Trotzdem sei zu hinterfragen, wie lange diese aufbewahrt würden.

Auch die Details der Regeln zur Weitergabe personenbezogener Daten an Unterauftragnehmer stören die Aufsichtsbehörden. So sei die dafür vorgesehene "vorherige schriftliche Zustimmung des Kunden" nur dann ausreichend, wenn eine Übersicht der aktuell genehmigten weiteren Dienstleister vorliege. Microsoft müsste hier proaktiv einen Mechanismus etwa über Push-Nachrichten einsetzen, um die eigene Klientel hier über Updates zu informieren.

Die Datenschutzbeauftragten von Bayern, Baden-Württemberg, Hessen und dem Saarland sowie das Bayerische Landesamt für Datenschutzaufsicht hatten am Freitag erklärt, die Gesamtbewertung nicht zu teilen, "weil sie zu undifferenziert ausfällt". Sie begrüßten aber, dass die DSK einstimmig eine neue Arbeitsgruppe eingesetzt hat, um im Dialog mit dem Softwareriesen nachhaltig datenschutzgerechte Korrekturen zu erreichen.

[Update 05.10.2020 14:10]: Insgesamt waren acht Datenschutzbehörden dagegen, neun dafür. Rheinland-Pfalz und Sachsen baten laut einer Protokollnotiz ebenfalls darum, "ihr abweichendes Votum kenntlich zu machen".[/Update]

Der EU-Datenschutzbeauftragte Wojciech Wiewiórowski hatte jüngst die Verträge der EU-Gremien mit Microsoft geprüft und war zu ähnlichen Ergebnissen wie die DSK gekommen. Er forderte, dass Microsoft Nutzerinformationen nur noch in der EU aufbewahren dürfe. Die Rollen aller Beteiligten mit sämtlichen Rechten und Pflichten müssten klar geregelt werden. Am besten sollten sich Nutzer nach Alternativen umschauen, die "höhere Datenschutzstandards erlauben".

(axk)