Microsoft Office 365 datenschutzwidrig: Jetzt tragen die Unternehmen die Verantwortung | 30.01.2023
Diese Pressekonferenz hatte es in sich: Ende November 2022 teilte der Bundesdatenschutzbeauftragte Ulrich Kelber als Ergebnis der Datenschutzkonferenz von Bund und Ländern (DSK) mit, dass dieses Gremium die Nutzung von Microsoft Office 365 in Unternehmen, Behörden und Schulen als nicht rechtskonform im Sinne des Datenschutzes einstuft. Was folgt daraus?
Microsoft Office 365 datenschutzwidrig: Jetzt tragen die Unternehmen die Verantwortung
Diese Pressekonferenz hatte es in sich: Ende November 2022 teilte der Bundesdatenschutzbeauftragte Ulrich Kelber als Ergebnis der Datenschutzkonferenz von Bund und Ländern (DSK) mit, dass dieses Gremium die Nutzung von Microsoft Office 365 in Unternehmen, Behörden und Schulen als nicht rechtskonform im Sinne des Datenschutzes einstuft. Was folgt daraus?
Der Knackpunkt: mangelnde Transparenz
Kleber berichtete, dass es Microsoft nicht gelungen sei, die Bedenken der deutschen Datenschützer auszuräumen. So gebe es Transparenzdefizite bei der Verarbeitung personenbezogener Daten. Dies betreffe insbesondere Biometrie-, Diagnose und Telemetriedaten. Microsoft könne keinen Nachweis erbringen, dass die Auftragsverarbeitung für eigene Zwecke rechtmäßig ist. Damit ist der vorläufige Höhepunkt eines seit Jahren währenden Konflikts erreicht, in dem Microsoft bestrebt war, eine Einigung mit den europäischen Datenschutzaufsichtsbehörden zu erzielen.
Ein von Kelber vorgeschlagener Ausweg wäre die Praxis einer Mikrovirtualisierung oder die Einschaltung eines Proxyservers, der den Datenfluss zum Softwarekonzern blockieren könnte. Der oberste deutsche Datenschützer zweifelt aber, dass sich MS Office „einfach mal so auf einem Rechner ohne weitere Schutzmaßnahmen nutzen lässt“. Der Softwaregigant hatte immer wieder nachgebessert und zuletzt im September seine Auftragsverarbeitung an die neuen Standardvertragsklauseln der EU-Kommission für den rechtskonformen Datentransfer zwischen Europa und den USA angepasst.
Unternehmer sind in der Pflicht
Die DSK ist nach eigenem Bekunden darum bemüht, nicht den Eindruck zu erwecken, Microsoft pauschal zu verurteilen. Der aus der Konferenz resultierende Bericht hat als Adressaten nun nicht allein staatliche Behörden, öffentliche Institutionen und Schulen, sondern richtet sich explizit an die Unternehmen, die Microsoft Office 365 einsetzen. Der baden-württembergische Landesdatenschützer Stefan Brink, dessen Team maßgeblichen Anteil an dem jüngsten DSK-Beschluss hatte, sieht jetzt die Unternehmer in der Pflicht. In einem Interview mit dem Portal Golem machte er deutlich: „dass sie selbst die Verantwortlichen sind und dass sie als Verantwortlicher selbst die Datenschutzkonformität ihrer Prozesse nicht nur sicherstellen, sondern auch nach Artikel 5 Abs. 2 DSGVO nachweisen müssen. Dieser Nachweis kann nicht allein durch Bezugnahme auf Unterlagen von Microsoft geführt werden, sondern die Verantwortlichen müssen sich selbst von der Rechtskonformität aller Verarbeitungen überzeugen und gegebenenfalls auch weitergehende Ermittlungen dazu anstellen.“
Unternehmen müssten sich, so Brink, darüber informieren, ob und wie Microsoft im individuellen Fall als Dienstleister Datenverarbeitung für eigene Zwecke betreibt. Er gibt gleichwohl zu, dass „diese Aufgabe (...) aus unserer Sicht tatsächlich nur schwer zu erfüllen“ ist.
Zertifikat ja, aber ...
Ein probates Mittel, das beiden Seiten helfen könnte, wären Zertifikate nach Artikel 42 DSGVO. Indem Microsoft im Sinne einer datenschutzkonformen Auftragsverarbeitung zertifizierte Services anbietet, müssten die Unternehmer ihrerseits keine aufwendigen Nachweise erbringen. Allerdings spielt hier Zukunftsmusik. Denn die immer wieder angekündigte Möglichkeit der Zertifizierung im Datenschutz findet nach wie vor nicht statt – auch aufgrund von Versäumnissen und mangelnden Aktivitäten der hiesigen Datenschutzbehörden. So bleibt abzuwarten, wie dieses zunehmend Wellen schlagende Politikum um Microsoft Office in die nächste Runde gehen wird. Deutschlands Unternehmen jedenfalls dürften sich angesichts der ihnen auferlegten Bürde einer weiteren Datenschutz-Verantwortung überfordert und alleingelassen fühlen.
Quelle: Mensch und Medien GmbH, Vilgertshofen - 30. Januar 2023