Microsoft und Datenschutz – a never-ending story

18.10.2022 / Leonie Herden

Leonie Herden

Ob kleine oder große Unternehmen, Behörden oder Bildungseinrichtungen: An Microsoft und insbesondere Microsoft Teams kommt derzeit keiner vorbei. Spätestens seit Beginn der Pandemie ist die Cloud-Plattform Microsoft Teams eines der Standard-Werkzeuge, um ortsunabhängig miteinander zu kommunizieren und Dateien und Dokumente auszutauschen. Doch insbesondere die Tatsache, dass Microsoft ein US-amerikanisches Unternehmen ist und die Server zur Bereitstellung der Dienste somit zum Teil außerhalb Europas stehen, führt immer häufiger zu Diskussionen rund um das Thema Datenschutz. Bis heute gibt es hier unter den Datenschutzbeauftragten der einzelnen Bundesländer keinen Konsens, ob die Dienste von Microsoft den Anforderungen der Datenschutzgrundverordnung (DSGVO) entsprechen oder nicht. Dies geht soweit, dass beispielsweise in einigen Bundesländern der Einsatz von Microsoft-365-Produkten sowie Microsoft Teams nicht oder nur mit starken Einschränkungen möglich ist.

Datenübermittlung in die USA

Kernpunkt der Diskussionen rund um den Datenschutz bei Microsoft ist die möglicherweise stattfindende Übermittlung von personenbezogenen Daten in die USA. Diese ist gemäß des Europäischen Gerichtshofes (EuGH) nur dann zulässig, wenn im Zielland (hier also die USA) ein vergleichbares Datenschutzniveau wie innerhalb der EU vorliegt. Der EuGH vertritt hier zudem die Rechtsauffassung, dass genau das in den USA nicht der Fall ist. In Anlehnung an diese Auffassung hat der Landesdatenschutzbeauftragte des Landes Reinland-Pfalz die Nutzung von Microsoft Teams für Schulen vollständig untersagt. Schließlich bietet der Markt weitere Lösungen, die in Deutschland gehostet werden und somit keine datenschutzrechtlichen Bedenken nach sich ziehen (siehe [1]). Ähnlich argumentiert auch der Landesbeauftragte für Datenschutz und Informationssicherheit Baden-Württemberg. Hier ist hingegen eine Nutzung von Microsoft-365-Diensten sowie Microsoft Teams nicht vollständig untersagt, vielmehr müssen die einzelnen Schulen eine datenschutzkonforme Nutzung nachweisen (siehe [2]). Ehrlicherweise sei an dieser Stelle jedoch angemerkt, dass an den meisten Schulen kein Personal vorhanden ist, dass die datenschutzkonforme Nutzung umsetzen und insbesondere nachweisen kann. Also führt die Vorgabe auch hier nicht selten zum vollständigen Verzicht der Nutzung von Microsoft-Diensten.

Stellungnahme von Microsoft

Diese und ähnliche Diskussionen sind natürlich auch Microsoft selbst bekannt. Und so ist es nicht verwunderlich, dass Microsoft Deutschland zur Datenschutzkonformität von Microsoft 365 und Microsoft Teams Stellung bezieht (siehe [3]). Das Ergebnis, mit dem Microsoft nun wirbt, ist nicht überraschend: Ja, die genannten Dienste sind datenschutzkonform – zumindest, wenn man der Argumentation von Microsoft folgt. Zunächst werden in der Stellungnahme die Vorzüge von Microsoft – wie die Nutzung zukunftsweisender Technologien, Sicherheitsstandards und Microsoft als zuverlässiger Partner – aufgeführt. Darüber hinaus sichert Microsoft zu, dass die Produkte datenschutzkonform sind und somit auch datenschutzkonform eingesetzt werden können. Neben vertraglichen Zusicherungen werden auch technische Mittel –  wie Verschlüsselung und regionale Rechenzentren innerhalb der EU – erwähnt, die Microsoft zur Absicherung der Daten nutzt. Details zu den technischen Mitteln sucht man in der knapp 4 Seiten langen Stellungnahme vergebens.

In Bezug auf die angeprangerte Datenübermittlung in Drittstaaten verweist Microsoft auf vertragliche Klauseln, die eine solche Datenübermittlung absichern. Zudem habe Microsoft selbst die US-Regierung schon erfolgreich verklagt, mit dem Bestreben, die Datenschutzrechte der Kunden zu verteidigen. Ebenso finde die Übermittlung von Diagnosedaten lediglich zum Zwecke der kontinuierlichen Verbesserung der Produkte und Dienste statt. Es könne somit nicht davon ausgegangen werden, dass Microsoft ohne triftige Gründe Daten in Drittstaaten übermittele.

Fazit

Der Datenschutz auf der einen und Microsoft auf der anderen Seite. Meldungen wie die neuesten Einschätzungen der Landesdatenschutzbeauftragten von Rheinland-Pfalz und Baden-Württemberg wird man wahrscheinlich noch öfter zu lesen bekommen. Bis jedoch tatsächlich auf Gerichtsebene Entscheidungen zu der Frage gefällt werden, ob Dienste wie Microsoft Teams gegen die DSGVO verstoßen, wird noch viel Wasser den Rhein herunterfließen. Bis dahin bleibt nur für das eigene Unternehmen genau abzuschätzen, welche Daten über solche Cloud-Plattformen verarbeitet werden und welche individuellen Anforderungen hinsichtlich des Schutzes der jeweiligen Daten bestehen. Jedoch sollten bei allen Diskussionen auch die Vorteile, die die Nutzung von Cloud-Diensten bieten können, nicht achtlos unter den Tisch fallen.

Verweise

[1]  https://www.heise.de/news/Rheinland-Pfalz-Schulen-duerfen-Microsoft-Software-Teams-nicht-mehr-nutzen-7154309.html

[2] https://www.baden-wuerttemberg.datenschutz.de/nutzung-von-ms-365-an-schulen/

[3] https://news.microsoft.com/de-de/sind-microsoft-365-und-microsoft-teams-datenschutzkonform-die-antwort-lautet-ja/

Sonderveranstaltung UCC und Meeting 2023
13.11.-14.11.2023 in Königswinter oder online

Der Netzwerk Insider gehört mit seinen Produkt- und Markt-Bewertungen rund um IT-Infrastrukturen zu den führenden deutschen Technologie-Magazinen. Der Bezug des Netzwerk Insiders ist kostenlos.