Kontakt

Microsoft Office 365 ist nicht datenschutzkonform – das ist weder ausreichend differenziert noch zielführend

Magnus Welz

Veröffentlicht am 09.10.2020 von Magnus Welz

Problemlösung für Datenschutz geht anders
Problemlösung für Datenschutz geht anders.

Die Arbeitsgruppe der Datenschutzkonferenz (DSK) urteilt: die Produktpalette Microsoft 365 erfüllt die Anforderungen der DSGVO an Auftragsverarbeiter nicht. Das klingt nach einem deutlichen Urteil, aber kann die Uneinigkeit der Aufsichtsbehörden kaum kaschieren. Das Ergebnis der Arbeitsgruppe, die nun etwa ein Dreivierteljahr tätig war, hätte knapper kaum ausfallen können (9 zu 8 Stimmen) und leider ist der Prüfbericht bisher nicht veröffentlich worden. Der Lösungsvorschlag der Behörden ist momentan, dass jedes Unternehmen nun selber individuell Verträge bzw. Ergänzungen zum Datenschutz mit Microsoft verhandelt. Das ist keine Stärkung des Datenschutzes und die eigentlich problematischen Themen werden in der kurzen Pressemitteilung erst gar nicht adressiert.

Fehlender Ergebnisbericht
Der ausführliche Ergebnisbericht und demnach die Grundlage für eine Bewertung durch Dritte ist aktuell (Stand 09. Oktober 2020) nicht veröffentlicht. Das ist sehr ungewöhnlich und das erst Mal in der Form erfolgt. Es wurden bereits mehrere Anträge auf den Zugang zu diesem Bericht (z.B. nach dem Hamburgischen Transparenzgesetz) bei den verschiedenen Landesbehörden für Datenschutz und Informationsfreiheit gestellt. Für den außenstehenden Betrachter wirkt es durch aus abstrus, dass die Behörden, die in den Ländern selbst über die Informationsfreiheit wachen, keine offene und transparente Kommunikation pflegen. Wir halten fest, dass die Pressemeldung und auch die dort aufgeführten Begründungen aktuell nicht durch einen Bericht belegt sind. Diese Situation ist gerade dahingehend unbefriedigend, da Microsoft die ganze Kritik dadurch relativ leicht als haltlos darstellen kann.

Veraltete Prüfgrundlage
Der zugrundeliegende Prüfgegenstand der Arbeitsgruppe „Verwaltung zur Auftragsverarbeitung bei Microsoft Office 365“ waren die “Online Service Terms (OST)” sowie die Datenschutzbestimmungen für Microsoft-Onlinedienste (Data Processing Addendum / DPA) mit dem Stand Januar 2020. Diese Prüfgrundlage hat sich in den letzten neun Monaten nicht nur in Bezug auf den Wegfall des EU-US Privacy Shield, sondern auch durch redaktionelle Aktualisierungen bereits mehrfach geändert. Die Marketingstrategen und auch die Rechtsabteilung von Microsoft werden dem Prüfergebnis problemlos entgegenhalten, dass dieses „längst überholt“ sei und man ja kontinuierlich an der Verbesserung des Datenschutzes für die Kunden arbeitet. 

Uneinigkeit der Behörden
Die Datenschutzkonferenz ist ein nicht normierter Zusammenschluss der 17 Aufsichtsbehörden zum Datenschutz (Landes- und Bundesdatenschutzbeauftragte) und die Beschlüsse haben keinen rechtlich bindenden Charakter, sondern sind eher nur richtungsweisend. Neun gegen acht Stimmen ist eine sehr knappe Mehrheitsentscheidung und stärkt in keiner Weise die Position des Datenschutzes gegenüber einem international agierenden Konzern. Die DSGVO soll ein europaweit einheitliches Niveau zum Datenschutz gewährleisten, aber scheitert bereits am Föderalismus der Bundesländer. Genau diese uneinheitliche Auslegung führt bei den betroffenen Unternehmen und in der Öffentlichkeit zum Unverständnis über Datenschutzthemen. 

Abschließend müssen wir festhalten: der Föderalismus der Aufsichtsbehörden ist nicht mehr zeitgemäß und der Zusammenschluss zu einer Bundesbehörde für den Datenschutz ist längst überfällig.

Microsoft muss mit ins Boot geholt werden
Aus der Gruppe der Aufsichtsbehörden, die gegen die Annahme der Entscheidung gestimmt haben, gab es die Forderung, vor der Abstimmung eine Stellungnahme von Microsoft einzuholen. Das wäre der absolut richtige Weg gewesen. Einmal gehört es einfach zum guten Ton den „Beschuldigten“ anzuhören und ihm eine Möglichkeit zur Nachbesserung zu geben und zum anderen muss, um überhaupt eine Lösung zu finden, Microsoft mit in Boot geholt werden.

Bereits vor einigen Monaten hatte ein Statement der „Berliner Beauftragten für Datenschutz und Informationsfreiheit“, in dem unter anderem die Videokonferenzlösungen Microsoft Teams und Skype (for Business) als nicht datenschutzkonform eingestuft wurden, für Aufsehen gesorgt. In dem Fall konnte Microsoft durch eine Abmahnung die weitere Veröffentlichung der Einschätzung verhindern. 

Bei inhaltlich fehlerhaften oder ungenauen Statements kann Microsoft natürlich immer rechtmäßiger den juristischen Weg wählen und es so darstellen, als seien die Prüfergebnisse der Aufsichtsbehörden, komplett falsch. 

Leider stehen dann auch die richtigen Aspekte der Prüfergebnisse nicht mehr für eine öffentliche Diskussion zur Verfügung.

Eine zielführende Lösung oder einen Konsens wird man nur in einem gemeinsamen Gremium von Hersteller (Microsoft), Landesdatenschützern und Experten für Informationssicherheit (Bundesamt für Sicherheit in der Informationstechnik, BSI) finden. Vielmehr wäre zu überlegen, ob nicht die EU-Datenschutzkommission ein solches Gremium, um ein gemeinschaftliches Auftreten der EU zu demonstrieren, initiieren muss. 

Unser Zwischenfazit:
Die verschiedenen Aufsichtsbehörden werden weiterhin durch eigene Pressemitteilungen und Stellungnahmen für ihren Zuständigkeitsbereich individuelle Auffassungen vertreten. Ein starkes Statement gegenüber einem Konzern sieht anders aus. Gleichzeitig bildet diese Zerfaserung der Meinungen auch keine Basis, auf der Unternehmen die Microsoft 365 einsetzen, nun ein eine starke Verhandlungsoption gegenüber Microsoft haben. Vielmehr werden die Juristen und Marketingfachleute von Microsoft schon passenden Statements, um sämtliche Vorwürfe ins Leere laufen zu lassen, ausformuliert in der Schublade liegen haben. Auf Grund des fehlenden Konsenses hat diese Entscheidung erstmal keine Auswirkungen und durch das kommunikative Vorgehen hat sie eher sogar für eine Schwächung der Position des Datenschutzes gesorgt.

Wieso ist eine belastbare Aussage überhaupt so kompliziert?

Jeder der sich intensiv mit dem Thema beschäftigen, muss erstmal grundsätzlich akzeptieren: Es handelt sich um ein komplexes Geflecht von Verträgen (Lizenzenbedinungen, Datenschutzbestimmungen, Subunternehmerlisten und Zusatzvereinbarungen) und bei Großkunden (ggf. zusätzlich sogenannte Enterprise Agreements, EA) sowie weitere relevante Unterlagen (bspw. Whitepaper, Konzepte und Managementberichte zur Informationssicherheit). Für die technische Betrachtung ist noch relevant, dass Microsoft 365 (vormals Office 365) nicht eine Software ist, sondern abhängig von dem gewählten Lizenzmodell (sogenannte Pläne) aus zehn oder mehr Diensten (wie Exchange Online, Sharepoint Online, Azure Active Directory, usw.) besteht. Diese einzelnen Dienste wiederum setzen sich teilweise aus mehreren Komponenten, so dass in Summe etwa 200 technische Services in einer Microsoft 365 Installation aktiv sind, zusammen.

Grundsätzlich ist es natürlich vollkommen legitim bereits auf dieser Ebene zu argumentieren, dass ein solches Konstrukt hinsichtlich des Datenschutzes und der Informationssicherheit faktisch nicht oder nur mit erheblichem Aufwand vollumfänglich prüfbar ist. Wer sich trotzdem entscheidet in die Prüfung einzusteigen, der muss in der Detailbetrachtung dann aber auch eben alle diese Facetten berücksichtigen.

Sie möchten mehr wissen? Gerne, der zweite Teil mit einer inhaltlichen Auseinandersetzung folgt nächste Woche. In diesem Sinne: ein schönes Wochenende.