Am Puls von Microsoft

Ist Microsoft 365 datenschutzkonform? Nein! Doch! Ooh!

Ist Microsoft 365 datenschutzkonform? Nein! Doch! Ooh!

Die deutschen Datenschützer haben sich einmal mehr mit der Frage befasst, ob Microsoft 365 datenschutzkonform eingesetzt werden kann. Einmal mehr kamen sie auf die gleiche Antwort wie bisher: Nein! Schon fast trotzig veröffentlichte Microsoft eine Pressemitteilung zu dem Thema, ebenfalls mit der bekannten Antwort: Doch!

Jeder, der sich in der Vergangenheit bereits mit der Thematik befasst und sich die entsprechenden Argumente angehört hat, kann sich die Lektüre dieses Beitrags sparen, denn so viel sei vorweggenommen: Es liegen keinerlei neue Fakten oder Argumente auf dem Tisch, weder von der einen noch von der anderen Seite.

Die Datenschutzkonferenz DSK hatte sich in einem knapp gefassten Dokument festgelegt und gesagt:

Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann.

Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.

Klare Sache also: Microsoft 365 kann nicht datenschutzkonform betrieben werden.

Ein wenig aus ausführlicher fällt der Bericht der Arbeitsgruppe aus, die sich mit diesem Thema zu befassen hatte, und bereits hier wird es interessant. Auf Seite zwei dieses Berichts heißt es nämlich unter anderem:

Der Bericht der Arbeitsgruppe enthält

a) eine alleine auf ausgewählte rechtliche Anforderungen der DSGVO beschränkte Bewertung, jedoch keine vollständige datenschutzrechtliche Bewertung des Cloud-Dienstes Microsoft 365.

Die Feststellung, die man aus der knappen Stellungnahme ableiten kann und die von vielen Medien auch 1:1 so getroffen wurde, will man also gerade NICHT treffen. Und das wiederum bestätigt einmal mehr meine Meinung und meine Kritik an den deutschen Datenschützern. Die Strategie lautet „Wasch mich, aber mach mich nicht nass“. Man suhlt sich in Bedenken, handfeste Fakten landen aber auch dieses Mal wieder nicht auf dem Tisch.

Im aktuellen Fall ging es im Kern um die Frage, wann Microsoft Auftragsdatenverarbeiter und wann als datenschutzrechtlicher Verantwortlicher auftritt. Dies ließ sich „nicht abschließend klären“. Die übrigen Kritikpunkte gehen in die bekannte Richtung, und ich fasse sie mal lapidar zusammen: Man weiß nicht genau, was Microsoft mit den erhobenen Daten anstellt, und weil man nicht ausschließen kann, dass unzulässige Verarbeitungen stattfinden, ist auch kein datenschutzkonformer Einsatz möglich.

Microsoft hat wie erwähnt am selben Tag eine Stellungnahme veröffentlicht, in der man trotzig feststellt, dass man die europäischen Datenschutzgesetze nicht nur erfüllt, sondern sogar übertrifft. Die Einschätzung der DSK, so schreibt man, beruhe auf einer „Reihe von Missverständnissen hinsichtlich der Funktionsweise unserer Dienste“. Von Diplomatisch nach Deutsch übersetzt heißt das: „Ihr habt keine Ahnung, wovon ihr da redet“.

In Microsofts Stellungnahme heißt es außerdem:

Im Interesse größerer Transparenz würden wir begrüßen, wenn der vollständige Bericht mit den an die DSK von Microsoft übermittelten detaillierten Antworten und Kommentierungen, aber mit angemessenen Schwärzungen, veröffentlicht würde.

Auch das darf man als wütende Antwort interpretieren, die auch so klingen könnte: Die DSK fordert von uns Transparenz, hält sich aber selbst nicht dran.

Mir geht es in dieser Sache wie immer nicht darum, den „Anwalt“ für Microsoft zu spielen. Mich ärgert nur immer wieder, dass die Datenschützer ein Gefühl der latenten Unsicherheit schüren, ohne entsprechend konsequent zu handeln. Wenn Microsoft 365 nicht datenschutzkonform ist, dann muss der Einsatz verboten werden, und zwar nicht nur in Schulen, wie bereits geschehen, sondern auch in der freien Wirtschaft. Da traut sich aber anscheinend niemand ran, also sind sie sich ihrer Sache entweder nicht sicher oder sie vernachlässigen den Datenschutz aus wirtschaftlichen Interessen – in beiden Fällen machen sie ihren Job nicht richtig.

Das Argument, man könne nicht mit Sicherheit ausschließen, dass nicht doch unzulässige Datenverarbeitungen stattfinden, wird sich indes niemals aus der Welt schaffen lassen. Wie soll denn das gehen? Wer seine Daten einem Dienstleister überlässt, der muss darauf vertrauen, dass dieser sorgsam damit umgeht und sich an Recht und Gesetz hält.

Ich fürchte, aus der Nummer kommen wir so schnell nicht raus. Soviel sei zur Verteidigung unserer Datenschützer gesagt: Selbst wenn sie Microsoft 365 heute eine Unbedenklichkeitsbescheinigung ausstellen würden, wäre diese morgen schon wieder nichts mehr wert, denn ständig kommen neue Funktionen hinzu und es werden neue Richtlinien zur Administration eingeführt, daher wird eine abschließende Beurteilung wohl niemals möglich sein.

Und darum wird es wohl auch in Zukunft immer wieder heißen: Ist Microsoft 365 datenschutzkonform? Nein! Doch! Ooh!

Über den Autor

Martin Geuß

Martin Geuß

Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zuhause. Seit 15 Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Anzeige