Die fragwürdige Sicherheit von MS 365

Die Deutsche Datenschutzkonferenz, die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat in der vergangenen Woche erklärt, dass Microsoft (ehemals: Office) 365, das von vielen Unternehmen, aber auch von Behörden, Schulen und anderen Organisationen verwendet wird, nicht als datenschutzkonform angesehen werden kann. Der Bundesdatenschutzbeauftragte Ulrich Kelber erklärte, dass Unternehmen zusätzliche Schutzvorkehrungen treffen müssen, auch wenn der von Microsoft überarbeitete Auftragsverarbeitungsvertrag die neuen Standardvertragsklauseln der EU verwendet und berücksichtigt.

Dieser war nötig geworden, nachdem das Schrems-II-Urteil den transatlantischen Privacy Shield als nicht vereinbar mit europäischem Datenschutzrecht erklärt hatte. Denn auch wenn Microsoft nicht die Kundendaten selbst verwendet, arbeitet das Unternehmen dennoch mit aus pseudonymisierten Daten aggregierten Datensätzen, die unter Umständen nicht dem deutschen Datenschutzrecht entsprechen.

Für die Datenschutzbehörden reicht all das allerdings dem Vernehmen nach nicht aus, wie diese im Rahmen einer Festlegung erklärten. Demnach sei der „Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten ‚Datenschutznachtrags vom 15. September 2022‘ nicht geführt“ worden – und weiter: „Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.“

Darüber hinaus hat jetzt der Landesdatenschutzbeauftragte Thüringens, Lutz Hasse, angekündigt, man wolle mit Unternehmerverbänden und Behörden über die Umsetzung dieser DSK- Festlegung sprechen. Hasse wolle zunächst herausfinden, wie stark Microsoft 365 in der Unternehmerschaft verbreitet sei – eine mithin bemerkenswerte Aussage für einen Datenschutzbeauftragten.

Zudem wolle er unter anderem mit der Industrie- und Handelskammer über die Auswirkungen des Beschlusses sprechen. Microsoft erklärte dazu erwartungsgemäß, das Unternehmen halte viele der datenschutzrechtlichen Einschätzungen sowie die Schlussfolgerungen der DSK für grundlegend falsch.

Biden will nachbessern – aber reicht das aus?

Doch was bedeutet all das für Unternehmen, die mit ihren Kunden und Dienstleistern über Microsoft 365 oder einzelne Teile daraus zusammenarbeiten? Und was bedeutet es für eine Vielzahl anderer Browser-basierter Dienste, von denen es ja auch zahlreiche mit datenschutzrechtlichem Bezug in die USA gibt? Wir haben dazu mit Rechtsanwalt Christian Solmecke gesprochen, der das Thema bereits in der Vergangenheit für Kunden und Interessierte aufgearbeitet hat. Er sieht weiterhin bei allen US-Produkten „ein gewisses Risiko einer DSGVO-konformen Datenübermittlung in die USA“, nachdem der österreichische Datenschützer Schrems in mittlerweile zwei EuGH-Urteilen (Schrems I und II) die letzten zwei Datenschutz-Abkommen zwischen den USA und der EU hat kippen lassen.

Doch damit nicht genug – denn die Probleme, die zum Fall der beiden Abkommen geführt haben (insbesondere der Cloud Act der USA) bestehen grundsätzlich weiterhin, auch wenn Präsident Joe Biden gerade mit der Executive Order vom 7. Oktober 2022 die Problematik etwas entschärft. Ob das reicht, ist noch unklar – eine Prüfung steht aus. Die Order erließ er auch im Hinblick auf ein geplantes neues Abkommen, das „Trans-Atlantic Data Privacy Framework“ (TADAP). „Doch Datenschützer sind schon jetzt skeptisch. Aktuell herrscht also grundlegend schon eine enorme Rechtsunsicherheit beim Datenverkehr in die USA“, fasst Solmecke die komplexe Faktenlage zusammen und betont ebenfalls die aktuelle Absage der Datenschutzkonferenz (DSK) und deutscher Datenschutzaufsichtsbehörden an Microsoft.

„Ab Dezember 2022 plant Microsoft zwar, allen Kunden im EU-Raum anzubieten, personenbezogene Daten der Kunden grundsätzlich – aber nicht ausnahmslos, nicht etwa für bestimmte IT-Sicherheitsmaßnahmen – im EU-Raum zu speichern und zu verarbeiten (‚EU Data Boundary‘).“ Damit seien aber bei Weitem nicht alle von der DSK angesprochenen Probleme gelöst – und auch die abschließende Bewertung der DSK steht noch aus.

Weiterhin Rechtsunsicherheit für Unternehmen

Bislang haben Datenschutzbehörden insbesondere beim Einsatz in Schulen Bedenken an der Rechtmäßigkeit der Microsoft-Produkte angemeldet. „Bei Privatunternehmen ist mir in Bezug auf die Nutzung von Microsoft noch nichts zu Ohren gekommen, es wäre aber möglich“, erklärt Christian Solmecke. Klar sei aber, dass letzten Endes zwar nicht die Datenschutzbehörden das letzte Wort über Auslegung und Anwendung der DSGVO haben, sondern die Gerichte.

Das helfe den Unternehmen, wie man im Fall des Shopify-Händlers Christian Häfner (wir berichteten über dessen Kampf gegen die bürokratischen Windmühlen der Pfälzer Datenschützer) sieht, aber erst einmal wenig, weil es die Aufsichtsbehörden sind, die in erster Instanz die Einhaltung der Vorschrift kontrollieren und im schlimmsten Fall schmerzhafte Bußgelder aussprechen können. Diese treffen erst einmal die Verantwortlichen für den Datenschutz (und das ist jede Stelle, die personenbezogene Daten verarbeitet), sofern das Unternehmen ein Programm nutzt, das nicht DSGVO-konform ist. „Hat man erst einmal einen solchen Bescheid der Behörde erhalten, muss man dagegen gerichtlich vorgehen und einen langen Atem haben – denn im Zweifel entscheidet am Ende der EuGH über die Auslegung der DSGVO.“

Hinzu kommt, dass theoretisch auch die Betroffenen, also zum Beispiel Kunden, etwas dagegen haben könnten, dass ihre personenbezogenen Daten in möglicherweise nicht DSGVO-konformer Weise an Microsoft weitergegeben werden. Sie könnten auf Unterlassung und Schadensersatz klagen. Dann geht das Ganze ebenfalls vor die Gerichte und möglicherweise bis zum EuGH. Damit bewegen sich Unternehmen, die das Produkt nutzen, in rechtlicher Sicht auf dünnem Eis und gehen zumindest theoretisch das Risiko von Gerichtsprozessen ein.

Microsoft Risiko lässt sich nur schwer beurteilen

Doch was bedeutet das jetzt für Unternehmen konkret? Ob diese deswegen auf sämtliche US-Dienste verzichten müssen und stattdessen Cloud-Lösungen von Unternehmen wie Strato, Ionos oder Telekom den Vorzug geben sollten, lässt der Jurist offen. Er würde den Mandant:innen die unsichere Situation erläutern und diese letztlich entscheiden lassen, für wie riskant sie das Problem der möglicherweise drohenden Gerichtsprozesse halten. „Dabei würde ich sie aber auch darüber aufklären, dass die Einschätzungen der deutschen Datenschutzbehörden digitalisierungsfeindliche Extrempositionen in ungeklärten Rechtsfragen sind.“

Streitlustige Unternehmen sollten es vor Gericht ausfechten

„Darüber hinaus steht ja aber auch im Raum, ob nicht eine technische Einschränkung der Microsoft-Dienste die Bedenken der Behörden kippen könnte. Auch der Bundesdatenschutzbeauftragte Ulrich Kelber meinte, zusätzliche Schutzvorkehrungen wie Mikrovirtualisierung oder zwischengeschaltete Filter-Proxies könnten eventuell helfen.“ Allerdings heißt es im aktuellen Beschluss der DSK auf Seite 7: „Für diesen Anwendungsfall ist es den Aufsichtsbehörden bislang nicht gelungen, ergänzende Schutzmaßnahmen zu identifizieren, die zu einer Rechtmäßigkeit des Datenexports führen könnten.“ Fazit: Darauf verlassen, aufgrund solcher Maßnahmen von den Aufsichtsbehörden unbehelligt zu bleiben, kann man sich also nicht. Und all das gilt sowohl für den Kontext von Microsoft 365 als auch für sämtliche andere Dienste, die mit US-Unternehmen und deren Datenschutz-Policy zu tun haben.

Unternehmen, denen ein Schreiben der zuständigen Datenschutzaufsichtsbehörde ins Haus flattert, helfe dies allerdings wenig. Ihnen bleibt lediglich anwaltlicher Einspruch und der Gang vor Gericht. Dabei bewertet Solmecke allerdings die Chancen durchaus positiv: „Es ist gut möglich und meiner Meinung nach sogar recht wahrscheinlich, dass die Gerichte letztlich eine andere, weniger digitalisierungsfeindliche Auffassung vertreten werden.“