Der Streit zwischen den Berliner Datenschützern und Microsoft geht in die nächste Runde
Erfüllen die Office 365 Dienste, allen voran Microsoft Teams, die Anforderungen der DSGVO? Microsoft sagt Ja, die Datenschützer sagen Nein. Zuletzt hatte sich im Mai ein Konflikt zwischen Microsoft Deutschland und der Berliner Datenschutzbehörde zugespitzt. Diese hatte schließlich angekündigt, eine konkrete Mängelliste auszuarbeiten.
Ich hole nochmals ein wenig aus, um auch die Leser abzuholen, die den Verlauf bislang nicht verfolgt haben. In einem Vermerk hatte die Berliner Datenschutzbehörde vor dem grundsätzlichen Risiko bei der Nutzung von Videokonferenz-Diensten ausländischer Anbieter gewarnt. Teams und Skype wurden dabei als Beispiele genannt. Ein Vorgehen, dass ich ohne konkrete Vorwürfe schon für fragwürdig halte, suggeriert die konkrete Nennung von bestimmten Diensten in diesem Zusammenhang doch zumindest, dass diese besonders gefährlich seien.
Wohl auch deshalb ging Microsoft in die Offensive, veröffentlichte eine eigene Stellungnahme und forderte die Berliner Datenschützer in einem Schreiben auf, ihre Aussagen zu überarbeiten. Fälschlicherweise war dabei zunächst von einer Abmahnung die Rede, die hat es aber nicht gegeben, wie später klargestellt wurde.
Nun wurde es richtig kurios: Die Behörde löschte ihren Vermerk, um ihn aber kurze Zeit später erneut und nur leicht abgewandelt erneut zu veröffentlichen. Nun kündigte man aber immerhin an, dass man „für unserer Aufsicht unterliegende Verantwortliche in Kürze eine ausführlichere Übersicht mit detaillierteren Angaben zu verschiedenen gängigen Anbietern von Videokonferenz-Diensten erstellen“ werde.
Darauf hatte ich seitdem gewartet, denn diese Ankündigung versprach endlich konkrete Aufklärung sowohl für uns Kunden als auch für Microsoft.
In der letzten Woche wurde die besagte Ausarbeitung veröffentlicht, insgesamt 17 Anbieter haben die Berliner Datenschützer unter die Lupe genommen und diese nach einem Ampelsystem bewertet. Teams und Skype erhielten neben Zoom und Google Meet dabei eine rote Ampel, was bedeutet, dass nach Einschätzung der Datenschützer keine konforme Nutzung in Deutschland möglich ist.
Auf zwei Seiten werden die Mängel im Auftragsverarbeitungsvertrag und in den Datenschutzbestimmungen ausführlich erläutert. Im Wesentlichen wird bemängelt, dass die Ausführungen an vielen Stellen nicht eindeutig genug sind und sich Microsoft dadurch Hintertüren offen lässt, was den Umgang mit den verarbeiteten Daten betrifft.
Microsoft hat erwartungsgemäß gekontert und ebenso erwartungsgemäß den Einschätzungen der Berliner Datenschutzbehörde widersprochen. Dabei geht man auf die einzelnen Kritikpunkte ein und erläutert, warum die entsprechenden Regelungen sehr wohl konkret und verbindlich seien. Man beschwert sich außerdem, dass die Behörde die Informationen, die man ihr habe zukommen lassen, in ihrem Bericht nicht berücksichtigt hat.
Ich kann mit meinem gefährlichen Halbwissen nicht einschätzen, wer da bei welchem Punkt nun im Recht oder im Unrecht ist, aber ich begrüße es sehr, dass nun Bewegung in die Sache kommt und man beginnt, sich um Paragraphen zu streiten, statt sich gegenseitig unklare Vorwürfe an den Kopf zu werfen.
Thema:
- Sicherheit
Über den Autor
Martin Geuß
Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als 17 Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!