Ist Microsoft 365 datenschutzkonform nutzbar?

Schlagworte: Datentransfer | Drittländer | Microsoft

Ja – zumindest aus Sicht von Microsoft. Aufgrund verschiedener Berichte und Stellungnahmen, insbesondere auch von Datenschutz-Aufsichtsbehörden, sah sich das Unternehmen gezwungen, in einer eigenen Stellungnahme die vorgeworfenen Mängel zu kommentieren und getroffene Aussagen sicherzustellen.

Zahlreiche Stellungnahmen und Verbote von Datenschutzbehörden

Seit dem Urteil des Europäischen Gerichtshofs (EuGH) vom 16.07.2020 in der Rechtssache C-311/18 („Schrems II“) gibt es immer wieder Berichte, die insbesondere in Richtung der „Großen“ wie Microsoft, Amazon Web Services oder Google gehen und ihren Produkten die Datenschutzkonformität aufgrund der US-amerikanischen Verflechtungen absprechen.

Insbesondere im Bereich der Digitalisierung der Schulen vor dem Hintergrund der Corona-Pandemie gab es einige Stellungnahmen von Aufsichtsbehörden, die den Einsatz von Microsoft & Co. verboten hatten – so zum Beispiel aus Rheinland-Pfalz (FAQ) und kürzlich auch der LfDI Baden-Württemberg (Pressemitteilung vom 25.04.22).

Doch der Einsatz von Microsoft 365 ist nicht nur an Schulen kritisiert worden, sondern auch bei Behörden und nicht-öffentlichen Organisationen, so zum Beispiel im März 2021 durch Mecklenburg-Vorpommern (wir berichteten) und im Gesamten durch die DSK (wenn auch im Rahmen eines sehr knappen Beschlusses, s. hierzu die Gegenstellungnahme einiger Aufsichtsbehörden).

Microsoft hatte sich schon in den vergangenen zwei Jahren mit mehreren Stellungnahmen gegen Vorwürfe gewehrt, insbesondere gegen die Statements der Berliner Beauftragten für Datenschutz zur Konformität von Auftragsverarbeitungsverträgen verschiedener Videokonferenzdienste.

Neue Stellungnahme von Microsoft

Während sich Microsoft in den letzten Jahren konkret gegen einzelne Veröffentlichungen gewehrt hatte, macht die neue Stellungnahme den Anschein, dass nun allen Vorwürfen gesammelt entgegengetreten werden soll.

Microsoft stellt dabei zunächst die Stärken des Produkts vor und geht insbesondere auf vertragliche Zusagen im Hinblick auf US-amerikanische Behördenanfragen, auf die geplante „EU Data Boundary“ und die vorhandenen Zertifizierungen ein.

Dann rechnet Microsoft allerdings mit den vielen Vorwürfen ab und stellt dabei einige Aussagen von Behörden (zumindest nach der Ansicht von Microsoft) richtig. Die wichtigsten Inhalte dieses Abschnitts stellen wir nachfolgend dar.

Umfangreiche Überwachungsbefugnisse von US-Behörden

Gegen den Vorwurf, der hier etwas plakativ als „die US-Regierung liest alles mit“ aufgeführt wird, wendet Microsoft ein, dass es kein ernsthaftes Interesse der US-Behörden an Daten aus einem Schulunterricht o.Ä. gebe. Vielmehr dienen die umfangreichen Überwachungsmöglichkeiten der US-Behörden der Abwehr von schwerwiegenderen Bedrohungen wie beispielsweise Terrorismus, so Microsoft.

Darüber hinaus habe Microsoft die US-Regierung bereits mehrmals erfolgreich verklagt, um die Rechte der Kund*innen zu schützen. Zudem träfen die Überwachungsgesetze der USA in einigen Fällen auch europäische Unternehmen, sobald eine Firmen-Präsenz oder ein minimaler Kontakt mit den USA bestehe.

Unzulässigkeit von Datentransfers in die USA

Microsoft sieht sich zudem oft der pauschalen Behauptung, der Datentransfer in die USA sei seit dem Schrems II-Urteil nicht mehr rechtmäßig, konfrontiert. In der Stellungnahme stellt das Unternehmen nun klar, dass das so pauschal nicht stimme. Denn für die Prüfung, ob eine Datenübermittlung in die USA rechtmäßig ist, sei stets eine Risikoanalyse durchzuführen. Durch die von Microsoft bereitgestellten zusätzlichen, rechtlich anerkannten Schutzmaßnahmen könne eine solche Risikoanalyse auch zu dem Ergebnis kommen, dass eine Übermittlung rechtmäßig ist. Denn der Ausschluss eines jeden theoretischen Restrisikos sei rechtlich nicht geboten; weder die DSGVO, noch die Regelungen der Standardvertragsklauseln, noch die Informationen aus der Schrems II-Rechtsprechung oder den Empfehlungen des Europäischen Datenschutzausschusses sähen einen „Null-Risiko-Ansatz“ vor. Einen solchen zu fordern wäre nach Ansicht von Microsoft auch unverhältnismäßig.

Komplettes Verständnis des Dienstes notwendig

Microsoft geht zuletzt noch auf die vermeintliche Anforderung ein, man dürfe als Verantwortlicher einen Dienst nur einsetzen, wenn man die technischen Funktionsweisen des Dienstes vollkommen verstehe. Hier stellt Microsoft richtigerweise klar: Es kann nicht von jedem Verantwortlichen verlangt werden, dass er „die Analyse jedes einzelnen Prozesses eines Dienstes“ durchführt. Es genüge vielmehr, dass die Verantwortlichen die notwendigen Informationen besitzen, um der Rechenschaftspflicht nachzukommen.

Fazit

Ist Microsoft 365 nun also datenschutzkonform nutzbar? Es kommt – wie so oft – auf den Einzelfall an. Die völlig pauschale Aussage, dass Dienste mit US-Bezug grundsätzlich nicht datenschutzkonform sind, ist allerdings nicht zu bestätigen. Das sieht im Übrigen auch der LfDI Baden-Württemberg im Hinblick auf die kürzliche Entscheidung der Vergabekammer Baden-Württemberg (wir berichteten) so. Microsoft seinerseits bringt in der Stellungnahe einige gute Argumente, die auch viele Vertreter*innen aus der Praxis bereits vorgebracht hatten. Es bleibt jedoch weiter abzuwarten, wie die Gerichte in den Fällen zum Einsatz von US-Anbietern entscheiden. Das Thema wird uns daher sicherlich noch für einige Zeit beschäftigen, es sei denn, es gibt tatsächlich bald ein wirksames und belastbares Datenschutzabkommen zwischen den USA und der EU.

Quelle:

Stellungnahme vom 11.08.2022: Stellungnahme von Microsoft Deutschland zur Datenschutzkonformität von Microsoft 365 und Microsoft Teams.

 


Unsere aktuellen News gibt es auf unserer Startseite und alle News in unserem Newsarchiv