Diskussionen zum Microsoft-Datenschutz

Grundsätzliches:
Microsoft 365 ist eine Kombination aus

1. den bekannten Office-Software-Produkten wie man sie von PC- oder Netzwerk-Installationen kennt (auch aus WTS- und ASP-Lösungen) wie Outlook, Word, Excel, PowerPoint, Publisher und Access
2. WEB-Versionen von Outlook, Word und Excel für iOS- bzw. Android-Tablets oder Smartphones
3. und von Online-Diensten wie Hosted-Exchange mit Mail-Provider-Funktion, wie den Besprechungs- und Notizverwaltungs-, Chat- und Videokonferenz-Dienst Teams, wie den File-Hosting-Dienst OneDrive, die Kollaborations- und Webportal-Software Hosted-SharePoint zur Realisierung von Intranet-, Extranet- oder Internet-Webportalen und Cloud-Verwaltung-  und  Speicherung von Office-Dokumenten, PDFs, Bildern, Videos, E-Mails, Kalendereinträgen, Aufgaben, Verträgen oder Projektinformationen
4. aus besonderen Diensten wie Azure Information Protection (AIP) - eine cloudbasierte Lösung, die Organisationen das Klassifizieren und Schützen von Dokumenten und E-Mails durch Anwendung von Bezeichnungen ermöglicht, wie Intune - zur Verwaltung von Windows- oder Apple-PCs und mobilen iOS- oder Android-Endgeräten (MDM - Mobile Device Management) oder von mobilen Anwendungen (MAM, Mobile Application Management) über das Internet

Die diversen Programme, Anwendungen, Funktionen und Dienste in Microsoft 365 unterscheiden sich zum Teil erheblich voneinander und müssen datenschutzrechtlich trotz des gemeinsamen Paket-Namens daher natürlich unterschiedlich betrachtet werden:

Nutzung von Outlook, Word, Excel, PowerPoint: Für die Installation und Nutzung der Anwendungen Outlook, Word, Excel, PowerPoint auf dem kundeneigenen System (das kann ein lokaler PC oder ein lokales Netzwerk/WTS-System sein - aber auch ggfs. die Nutzung eines Kunden-individuellen Application Service Providing / ASP-Systems z.B. im SPECTRUM-RZ mit diesen Anwendungen) gilt grundsätzlich der gleiche datenschutzrechtliche Rahmen wie bisher. Wenn man hier seine Daten wie gewohnt auf dem kundeneigenen System (bzw. in seinem DMS-System) ablegt und verwaltet, gibt es keine Unterschiede. Man kann in diesen Anwendungen auch grundsätzliche Sicherheitseinstellungen treffen, so dass selbst Fehlermeldungen und sonstige Einstellungen nicht an Microsoft gemeldet werden.

Nutzung von Microsoft-365-Hosted-Exchange: Hier ist Microsoft auch der E-Mail-Provider. E-Mails werden dann z.B. nicht über das abgesicherte Internet-Zugangssystem SPECTRUM-NET zugestellt und versendet sondern über das Microsoft-Mail-Provider-System, welches sehr gut ist und einen hervorragenden Ruf bei der Viren- und Spam-Abwehr hat. Da der unverschlüsselte E-Mail-Verkehr ja sicherheitstechnisch ein generelles Problem darstellt, sehen wir hier datenschutztechnisch keinen Unterschied zu anderen bekannten E-Mail-Providern wie WEB.DE, GMX, T-Online, AOL, Freenet, Telekom, 1&1, Strato, Vodafone, Unitymedia, Google-Mail, Yahoo-Mail usw.. Positiv muss hier noch berücksichtigt werden, dass die Microsoft-Rechenzentren für das E-Mail-Providing in Deutschland stehen und man bei Microsoft-365-Hosted-Exchange eine generelle TLS-Verschlüsselung einrichten kann, um z.B. die Anforderungen an eine Minimal-Mail-Verschlüsselung nach den Vorgaben z.B. der Bundessteuerberaterkammer, der Bundesrechtsanwaltskammer usw. einhalten zu können.

Nutzung von Teams, OneDrive, SharePoint: Hier werden die Daten immer in der Microsoft-Cloud gespeichert und verwaltet. Die nachfolgenden datenschutzrechtlichen Betrachtungen beziehen sich daher primär auf die Nutzung dieser Dienste. Positiv hervorzuheben ist hier, dass laut Zusage von Microsoft diese Daten ausschließlich auf deutschen Servern bzw. auf Servern in der EU verwaltet werden und dass Microsoft trotz aller internationalen Ausrichtungen redlich bemüht ist, alle datenschutzrechtlichen Anforderungen nach der europäischen DSGVO und dem deutschen BDSG einzuhalten.

Nutzung von  Azure Information Protection (AIP) und Intune: Die datenschutzrechtliche Betrachtung wird hier in diesem Artikel nicht weiter behandelt, da derzeit der Einsatz und die Nutzung dieser Dienste von unseren Kunden zu gering ist und immer eine datenschutzrechtliche Folgenabschätzung als Einzelbetrachtung verlangt.

Übersicht Microsoft 365

Losgeschlagen wurde die Kritik an Microsoft 365 am 5. Nov. 2018 durch eine Privacy Company, die im Auftrag des niederländischen Ministeriums für Justiz und Sicherheit (Ministry of Justice and Security of the Netherlands - SLM Rijk) eine Datenschutzstudie zu den Datenschutzrisiken von Windows 10 Enterprise, Office 365 ProPlus und Office Online erstellte (Data Protection Impact Assessment - DPIA).

SLM Rijk - Studie 1

Diese Studie kam damals bei ihrer Datenschutzfolgenabschätzung zu dem Ergebnis, dass Office365-Anwendungen (heute Microsoft 365) die gesetzlichen Forderungen der damals neuen europäischen Datenschutzgrundverordnung (EU-DSGVO) nicht erfüllen würde.

Microsoft hat dann schnell nachgebessert:

• Ende April 2019 hat Microsoft die Datenschutzeinstellungen in Office 365 so geändert, dass diese nun der Datenschutz-Grundverordnung (DSGVO) entsprechen. Die Nutzer haben seitdem die Möglichkeit, die Telemetrie- und Diagnosedaten sowohl einzusehen als auch die Datenübermittlung generell zu deaktivieren und somit blockieren zu können.
• Microsoft hat außerdem DSGVO-konforme Anpassungen bezüglich der Zweckgebundenheit, des Rechts auf Korrektur und Löschen sowie der expliziten Einverständniserklärung der betreffenden Personen für die Verarbeitung ihrer Daten vorgenommen.
• Zum Jahreswechsel 2019/2020 hat Microsoft zudem auch seine Online Service Terms (OST) für Firmenkunden geändert. Diese „Cloud-Verträge“ enthalten nun die Änderungen, die mit der niederländischen Regierung ausgehandelt wurden und gelten weltweit für alle öffentlichen Organisationen und Firmenkunden. Dabei hat sich Microsoft auch explizit dazu bekannt, die Rolle des Datenverantwortlichen zu übernehmen.

Die niederländischen Aufsichtsbehörden kamen dann am 22.7.2020 zu dem Ergebnis, dass die aktualisierte Office 365 ProPlus Version 1905 (Microsoft 365 Business) nun EU-DSGVO konform genutzt werden kann.

SLM Rijk - Studie 2

Nach Aussage niederländischer Juristen, die die Nutzung von Microsoft 365 (Office 365) analysiert hatten, kann man folgendes nun sagen:

Bei der Nutzung von Microsoft 365 verarbeitet Microsoft eine Vielzahl von Daten und dabei auch personenbezogene Daten.

• Ein Teil der Datenverarbeitungen betreffen die Funktionsdaten. Dabei handelt es sich um Datenverarbeitungen, die notwendig für die Bereitstellung des Microsoft 365 Services sind. Microsoft wird hierbei gemäß den Online Service Terms (OST) als Auftragsverarbeiter gem. Art. 28 DSGVO tätig. Ein entsprechender Auftragsverarbeitungsvertrag ist in den OST enthalten. Die Verarbeitungen von Funktionsdaten resultieren aus der Weisung des Auftraggebers an Microsoft. Die Weisung entspricht dabei der Nutzung des Dienstes durch den Auftraggeber. Funktionsdaten werden unverzüglich nach der Bereitstellung des Service gelöscht.
• Außer den Funktionsdaten zur Bereitstellung des Service verarbeitet Microsoft zwangsläufig als Auftragsverarbeiter auch Inhaltsdaten. Damit sind die tatsächlichen Dokumente, Präsentationen, E-Mails etc. gemeint, die Nutzer Microsoft im Rahmen ihrer Tätigkeit mit Microsoft 365 erstellen und in der Microsoft-Cloud speichern (d.h. hier sind nicht die im kundeneigenen System gespeicherten Outlook-, Word-, Excel-Daten gemeint) . Diese in der Microsoft-Cloud gespeicherten Daten verarbeitet Microsoft nur für die Bereitstellung des Dienstes Microsoft 365. Eine Verwendung zu anderen Zwecken ist in den OST unter „Verarbeitung von Kundendaten“ definitiv ausgeschlossen.

• Neben den Funktions- und Inhaltsdaten verarbeitet Microsoft bei der Bereitstellung von Microsoft 365 auch noch Diagnosedaten. Diese enthalten eine von Microsoft 365 eindeutig generierte ID mit der sie einem Benutzer eindeutig zugeordnet werden können. Eine genaue Auflistung der Kategorien von Daten und Kategorien von Betroffenen Personen ist in Appendix 2 der Datenschutz-Folgenabschätzung der Juristen der Niederlande zu finden. Dabei werden unter anderem folgende Datenarten übermittelt: Client-ID, User-ID, Dauer der Nutzung eines Office-Dienstes, Größe der bearbeiteten Datei, Event-ID (ID der getätigten Aktion – bspw. Speicherung eines Dokuments), Programmsprache usw.. Diese Informationen werden an die Server von Microsoft gesendet. Dabei ist eine Übermittlung der Daten in die USA grundsätzlich zwar nicht auszuschließen, aber Microsoft hat schriftlich zugesichert, dass die Daten NICHT für Profiling, Datenanalyse, Marktforschung oder Werbung genutzt werden.
• Außerdem sind nun nach der von Microsoft eingeführten breitflächigen Verfügbarkeit der „Service-Verschlüsselung“ mittels „Customer Key“ alle Sicherheitsanforderungen erfüllt. Die Dienste-Verschlüsselung per Customer Key kann Kunden beim Einhalten ihrer Compliance-Vorgaben helfen, da sie hierdurch die Schlüssel zur Chiffrierung ihrer Microsoft-365-Daten selbst managen können.

Anfang Mai 2019 hat dann das niederländische Ministerium für Justiz und Sicherheit (SLM Rijk) mit Microsoft neue Datenschutzbestimmungen für über 300.000 Desktops in den niederländischen Ministerien, bei der Steuer- und Zollverwaltung, bei der Polizei, in der Justiz und für unabhängige Verwaltungsbehörden für die Nutzung von Microsoft 365 abgeschlossen: „there are no more known high data protection risks for data subjects related to the collection of data about the use of Microsoft 365.“.

Auch die Privacy Company kommentiert seither, dass Microsoft die acht zuvor identifizierten Datenschutzrisiken für Microsoft 365 durch eine Kombination aus technischen, organisatorischen und vertraglichen Maßnahmen gelöst hat.

Für Office Online und die Mobile Office Apps hingegen kommt eine separate Untersuchung im Auftrag des Niederländischen Ministeriums für Justiz und Sicherheit vom 23. Juli 2019 zu dem Ergebnis, dass wegen der noch immer gegebenen Risiken ein datenschutzrechtskonformer Einsatz nicht möglich sei.

SLM Rijk - Studie 3

Für Office Online und die Mobile Office Apps gibt es aber noch Einschränkungen, so dass SLM Rijk am 23. Juli 2019 daher staatlichen Institutionen rät, Office Online und die mobilen Office-Apps vorerst nicht zu nutzen.

Weitere Informationen: "Strategic Vendor Management Microsoft for the Dutch government"

SLM Rijk - generelle Informationen

Wichtig zu wissen ist noch, dass die Regelungen, die die Niederländische Regierung mit Microsoft erreicht hat, für alle Institutionen, Unternehmen und Anwender in der EU Gültigkeit hat.

Im Juli 2019 heizt der Hessische Beauftragte für Datenschutz und Informationsfreiheit mit einer neuen Stellungnahme die Diskussion erneut an und untersagte sogar zunächst die Nutzung von Microsoft 365 in hessischen Schulen. Der Einsatz von Microsoft 365 an Schulen sei danach datenschutzrechtlich unzulässig, soweit Schulen personenbezogene Daten in der europäischen Cloud speichern. Der hessische Datenschützer legt allerdings klar, was für Microsoft gilt, ist auch für die Cloud-Lösungen von Google und Apple zutreffend.

Stellungnahme des Hessischen Beauftragten für Datenschutz und Informationsfreiheit zum Einsatz von Microsoft Office 365 in hessischen Schulen vom 9.7.2019:

Hessischer DSB zu O365

Hessischer DSB 2.Stellungnahme

Allerdings ruderte dann der hessische Datenschutzbeauftragte schon im August 2019 zurück und bekundete nun:

„Der Hessische Beauftragte für Datenschutz und Informationsfreiheit hat sich nach den Gesprächen mit Microsoft, die zu datenschutzrechtlich veränderten Einschätzung führten und die einen erheblichen Anteil der Bedenken entkräfteten, dazu entschlossen, den Einsatz von Microsoft 365 in hessischen Schulen nun unter bestimmten Voraussetzungen und dem Vorbehalt weiterern Prüfungen vorläufig zu dulden“.

Im November 2019 hat die Bundesrechtsanwaltskamm BRAK ein Papier „Hinweise zum Umgang mit Microsoft 365 aus datenschutzrechtlicher Sicht“ veröffentlicht.

BRAK & O365

Dieses Papier basiert primär noch auf der ersten Einschätzung des Einsatzes von Microsoft 365 an hessischen Schulen und müsste nun eigentlich nach der Neubewertung durch den hessischen Datenschutzbeauftragten mit der Genehmigung des Einsatzes von Microsoft 365 an hessischen Schulen eingestampft bzw. durch ein neues Papier ersetzt werden - denn im BRAK-Papier steht explizit, dass die Bewertung des hessischen Datenschutzbeauftragten für Schulen auch auf Kanzleien zu übertragen ist - dann aber doch auch bitteschön die Erlaubnis nachdem der hessische Datenschutzbeauftragte nach  der zweiten Bewertung den Einsatz an Schulen erlaubt hat.

Dieses BRAK-Papier kann auch als Rechtsanwalt-typisch bezeichnet werden: Die BRAK argumentiert, sie hätte nur vom „Hörensagen“ von datenschutzrechtlichen Bedenken „gehört“, schreibt aber dann: „Bislang sind keine konkreten Beanstandungen der Nutzung von Microsoft 365 durch Datenschutzbehörden gegenüber einzelnen Kammern oder Kanzleien bekannt geworden“.

Interessant auch, dass die BRAK im November 2019 noch die datenschutzrechtlichen Bedenken des niederländischen Ministeriums für Justiz und Sicherheit aus Nov. 2018 zitiert und nicht die Aussage von Anfang Mai 2019, nachdem das niederländische Ministerium für Justiz und Sicherheit (SLM Rijk) mit Microsoft neue Datenschutzbestimmungen ausgehandelt hatte und nun den Einsatz von Microsoft 365 für statthaft hält. Man muss der BRAK hier wohl etwas wenig Sorgfältigkeit vorwerfen.

Dann verweist man in dem BRAK-Papier auf den Bundesdatenschutzbeauftragten BfDI. Der wiederum verweist auf die ursprüngliche Datenschutz-Folgenabschätzung der niederländischen Regierung aus Nov. 2018 und verkündet dann, „dass aus Sicht des BfDI derzeit Microsoft 365 nicht datenschutzkonform eingesetzt werden könne“. Dabei verschweigt das Zitat des BfDI aber die Nachbesserungen (die oben aufgeführt sind) die Microsoft zwischenzeitlich vorgenommen hat und wonach nach heutiger Sichtweise des niederländischen Ministeriums für Justiz und Sicherheit eine Nutzung von Microsoft 365 sehr wohl zulässig ist, sofern man die entspr. Sicherheitseinstellungen vorgenommen hat.

Im Juli 2020 – mitten in der Corona-Hochzeit, als alle Unternehmen Videokonferenz-Systeme einsetzen wollten/mussten – begann der Berliner Beauftragte für Datenschutz und Informationsfreiheit als Datenschutz-Aufsichtsbehörde mit Hinweisen zu Videokonferenz-Diensten erneut den Clinch mit Microsoft. Hier wurden neben Microsoft Teams auch 16 weitere Anbieter wie Zoom, Skype, GoToMeeting, Google-Meet, Cisco-WebEx, Jitsi usw. analysiert.

Berliner DSB zu Teams

Obwohl Microsoft ja die Nutzungsbedingungen erst kürzlich überarbeitet hatte, enthalte nach Ansicht des Berliner Datenschutzbeauftragten der Auftragsverarbeitungsvertrag noch immer unklare und widersprüchliche Regelungen und weiche damit von den gesetzlichen Mindestanforderungen ab.  

Umgehende Stellungnahme von Microsoft

In der umgehend erfolgten Stellungnahme von Microsoft zu der Einschätzung der Berliner Datenschützer widerspricht der Konzern aber der Behörde deutlich. Microsoft sei überzeugt - so antwortet Microsoft - dass die Produkte Microsoft 365 im Allgemeinen und auch Microsoft Teams im Speziellen datenschutzkonform eingesetzt werden könnten. Dabei geht Microsoft im Detail auf die einzelnen Kritikpunkte der Berliner Datenschützer ein. Insbesondere die Mängel im Auftragsverarbeitungsvertrag seien laut Microsoft hauptsächlich auf Grund von Übersetzungsfehlern der Datenschützer zurückzuführen. Dabei kritisiert Microsoft auch, dass sich die Behörde nicht mit den von Microsoft zur Verfügung gestellten Informationen beschäftigt hätte und daher zu einem falschen Ergebnis gekommen sei.

Der europäische Datenschutzbeauftragte hat erst im Juli 2020 die Microsoft-Produkte und -Dienste überprüft, die von EU-Institutionen genutzt werden. Das Ergebnis dieser Untersuchung veröffentlichte er in seinem 30 Seiten langen Bericht (European Data Protection Supervisor – EDPS: Outcome of own initiativeinvestigation into EU-Institutions’ use of Microsoft products and services).

EDPS & Microsoft

Für die in diesem Bericht genannten in Teilbereichen noch offenen Punkte – die sich übrigens primär auf das Betriebssystem Windows 10 und nicht auf Microsoft 365 bezieht - gab der EU-Datenschutzbeauftragte den europäischen Institutionen sofort Handlungs- und Lösungsempfehlungen an die Hand, um die Bedenken durch technisch-organisatorische Massnahmen zu beseitigen. Nach diesem EDPS-Papier könnten bestimmte Mängel durch entsprechende Konfiguration der Produkte behoben werden, andere wiederum sollten mit Microsoft ausgehandelt werden. Danach ergibt sich unter Beachtung dieser Konfigurations-Empfehlung keine Einschränkungen mehr.

Gemäß einer Anfrage beim Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) war zu erfahren, dass ein neues bundesländerübergreifendes Verfahren zur datenschutzrechtlichen Beurteilung von Microsoft 365 gerade stattfindet, das jedoch noch nicht abgeschlossen ist.

Nach den Terroranschlägen vom 11.9.2001 hatten die USA zunächst den US-PATRIOT-ACT verabschiedet. Das Gesetz bringt eine Einschränkung der amerikanischen Bürgerrechte in größerem Maße mit sich, aber auch Auswirkungen für USA-Reisende, da die Anforderungen an Pässe erhöht wurden. Ser USA PATRIOT Act steht als "Akronym für Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001", zu Deutsch heißt das in etwa: „Gesetz zur Einigung und Stärkung Amerikas durch Bereitstellung geeigneter Instrumente, um Terrorismus aufzuhalten und zu verhindern“. Gemäß dem PATRIOT ACT von 2001 müssen US-Unternehmen personenbezogene Daten auf Verlangen von US-Behörden (NSA, FBI, CIA usw.) herausgeben – allerdings nur, wenn die Daten in den USA liegen.

Hintergrund zum Cloud-ACT

Dann hatten US-Strafverfolgungsbehörden von Microsoft verlangt, dass Microsoft auch Daten, die auf Servern im Ausland gespeichert sind, herauszugeben. Hiergegen hatte Microsoft alle rechtlichen Schritte eingelegt und sich geweigert, diese Daten herauszugeben.

Daraufhin hatte die Trump-Administration am 23.3.2018 den US-Cloud-Act (Clarifying Lawful Overseas Use of Data Act) erlassen, übrigens einstimmig im amerikanischen Parlament mit den Stimmen der Demokraten und Republikaner..

Cloud Act

Der CLOUD ACT ist heute das eigentliche datenschutzrechtliche Rest-Problem bei der Nutzung von Microsoft 365.

Nach dem CLOUD ACT dürfen US-Strafverfolgungsbehörden wie FBI, CSI, NSA, DEA, US-Customs, US-Treasury-Department usw. bei US-Firmen auch auf Daten im Ausland zugreifen.

Der US-CLOUD ACT verstößt nach Auffassung von Datenschützern gegen Artikel 48 der EU-DSGVO, der das Herausgeben von Daten an Behörden eines Landes außerhalb der EU regelt.

Dem von der Herausgabeverpflichtung betroffenen US-Unternehmen steht jedoch nach dem CLOUD ACT Gesetz ein gerichtliches Widerspruchsrecht gegen die Anordnung zur Herausgabe von Daten zu, wenn der Eigentümer der Daten kein US-Bürger ist, nicht in den USA lebt und das Unternehmen durch die Herausgabe der Daten gegen Rechte in anderen Ländern verstoßen würde.

Zu beachten: Der US-Cloud-Act bezieht sich nicht nur auf US-Unternehmen die ihren Hauptsitz in den USA haben, der US-Cloud-Act bezieht sich auf alle Unternehmen weltweit, die z.B. eine Niederlassung in den USA unterhalten und/oder dort einer Geschäftstätigkeit nachgehen. D.h. der Cloud-Act betrifft nicht nur Microsoft, Google, Apple, Facebook & Co sondern auch SAP, Sage, Telekom, Vodafone, Mobilcom, O2, Versatel & Co. Noch schlimmer: fast alle RZ-Betreiber in Deutschland gehören US-Konzernen wie Ionos, Interxion, Itenos, euNetworks, Interroute, Level3, Colt, HostEurope, QSC, GlobalCrossing, Tiscali, IronMoutain, Cogent, eShelter, Telehouse, GlobalSwitch, Telecity-Group, UnitedInternet usw..

Positiv: Microsoft hat sich hierzu schriftlich gegenüber seinen europäischen Kunden verpflichtet, bevor man Daten von Ausländern herausgibt, immer Einspruch vor Gericht einzulegen und mehr kann Microsoft eigentlich auch nicht machen, denn alles andere ist „höhere transatlantische Politik“.

Nach Artikel 83 Absatz 5 der EU-DSGVO drohen bei einem Verstoß gegen die Pflichten aus Artikel 48 EU-DSGVO besonders hohe Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des rechtswidrig handelnden Unternehmens – je nachdem, welcher Betrag höher ist. Also hat Microsoft auch allen Grund, sich hier auf die Hinterbeine zu stellen und die Daten der Europäer vor dem Zugriff der US-Administration zu schützen ….

Die USA hatten angekündigt, dass sie ein Widerspruchsrecht für alle Länder akzeptieren würden, die mit den USA ein Abkommen unter dem CLOUD ACT abschließen würden. Die Verhandlungen liegen aber seit Präsident Trumps Amtsübernahme auf Eis. Letztlich zwingt dieser Mechanismus Staaten dazu, mit den USA entsprechende Vereinbarungen zu schließen, die das Persönlichkeitsrecht und damit das Recht an personenbezogenen Daten ihrer Bürger oder von in ihrem Staatsgebiet gespeicherten Daten gegenüber US-Behörden wirksam schützen bzw. offenlegen.

Wie solche Fälle also in Zukunft zwischen etwa den USA und der EU beziehungsweise deren Mitgliedsstaaten so gelöst werden können, dass Unternehmen die Rechtsvorschriften der jeweils beiden betroffenen Länder einhalten können, hängt davon ab, ob es gelingt, mit den USA entsprechende Übereinkommen abzuschließen.

Erst kürzlich hat nun aber auch die EU eine ähnliche Gesetzesinitiative zur Erlangung von sog. "Waffenfreiheit" unter der Bezeichnung „e-Evidence-Verordnung“ (Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel) auf den Weg gebracht und sich zu Verhandlungen mit der US-Regierung bereit erklärt.

Wie solche Fälle also in Zukunft zwischen etwa den USA und der EU beziehungsweise deren Mitgliedsstaaten so gelöst werden können, dass Unternehmen die Rechtsvorschriften der jeweils beiden betroffenen Länder einhalten können, hängt davon ab, ob es gelingt, mit den USA entsprechende Übereinkommen abzuschließen.

Erst kürzlich hat nun aber auch die EU eine ähnliche Gesetzesinitiative zur Erlangung der sog. "Waffengleichheit" unter der Bezeichnung „e-Evidence-Verordnung“ (Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel) auf den Weg gebracht und sich dann zu Verhandlungen mit der US-Regierung bereit erklärt.

EU-Initiative: e-Evidence

Allerdings sieht der US-CLOUD ACT nur Verhandlungen mit „ausländischen Regierungen“ vor und nicht mit „internationalen Organisationen“, wie etwa der EU. Die US-Administration hat sich bisher geweigert mit der EU-Kommission für ganz Europa zu verhandeln und Deutschland und andere EU-Staaten haben ihrerseits mitgeteilt, dass sie nicht an direkten bilateralen Abkommen mit den USA interessiert sind und auf eine Lösung auf EU-Ebene setzen

Sollen nun europäische Unternehmen und Kanzleien unter diesem transatlanisches PowerPlay leiden?

SPECTRUM Statement: Einmal realistisch betrachtet stellt sich die Frage: braucht die NSA, die CIA, das FBI überhaupt so ein Gesetz um Daten auszuschnüffeln? Haben die nicht längst schon überall die Datenleitungen angezapft?

Braucht der Bundesfinanzminister z.B. eigentlich ein neues e-Evidence-Gesetz um Daten von Steuerbetrügern auszuspähen – hat er dafür nicht schon längst den Bundestrojaner?

Müssen deutsche Unternehmen und Kanzleien bei der Nutzung von Microsoft 365 wirklich den CLOUD-ACT berücksichtigen?

Spezialisten haben nachfolgende Checkliste erstellt, um Microsoft 365 datenschutzkonform einsetzen zu können:

1. Die Nutzung von Connected Experiences/Services in Microsoft 365 muss deaktiviert werden. Diese Services übermitteln Daten in großem Umfang an Microsoft und dürfen daher nicht genutzt werden. Damit fallen Funktionen wie z.B. der Übersetzer oder die Raumsuche weg.

2. In den Einstellungen muss beim Senden der Diagnosedaten die Option „weder noch“ ausgewählt werden. Ein direkter Nachteil für den Nutzer entsteht hierdurch nicht.

3. Die Funktion zur Datenübermittlung an das Microsoft-Programm zur Verbesserung der Benutzerfreundlichkeit von Anwendungen muss deaktiviert werden.

4. Das Telemetrie-Niveau von Microsoft 365 ist auf „weder noch“ zu stellen. Dies kann per Gruppenrichtlinie oder als Registry-Eintrag vorgegeben werden. Ebenso sollte bei dieser Gelegenheit das Telemetrie-Niveau in Windows 10 Enterprise auf „Security“ gesetzt werden.

5. Der Versand von Daten im Rahmen des Customer Experience Improvement Programms (CEIP) sollte unterbunden werden. Auch dies kann in der Gruppenrichtlinie oder per Registry-Eintrag geregelt werden und hat keine Folgen für den Nutzer.

6. Die LinkedIn-Integration von Mitarbeiterkonten ist zu deaktivieren. Dies kann in der Administratoroberfläche eingestellt werden. Derzeit ist die Funktion in Deutschland per Default deaktiviert. Allerdings sollte dies nach Updates überprüft werden. Es ist nicht ungewöhnlich, dass Microsoft bei Updates Änderungen an den Einstellungen vornimmt.

7. Folgende Connected Experiences sind ebenfalls zu deaktivieren:

• 3D Maps
• Insert Online 3D Models
• Map Chart
• Office Store
• Insert Online Video
• Researcher
• Smart Lookup
• Insert Online Pictures
• LinkedIn Resume Assistant
• Weather Bar in Outlook
• PowerPoint QuickStarter
• Giving Feedback to Microsoft
• Suggest a Feature

8. Nutzer sind nach Möglichkeit technisch und durch interne Richtlinien davon abzuhalten, Office-Online-Anwendungen oder mobile Office-Applikationen zu verwenden. In einer Datenschutzfolgenabschätzung im Auftrag der niederländischen Aufsichtsbehörde wurde die Zulässigkeit der Online-Anwendungen und mobilen Applikationen von Office 365 bewertet. Diese kommt zu dem Schluss, dass deren Einsatz an fünf Punkten ein hohes datenschutzrechtliches Risiko für den Betroffenen birgt und daher unterlassen werden sollte. Das schränkt jedoch die Nutzung von Microsoft 365 in vielen Bereichen ein, da die Programme nur vorinstalliert auf einem PC oder Mac genutzt werden können, nicht hingegen auf Smartphones. Die Verwendung der Microsoft-365-Webanwendung und der Office-Apps muss bis auf weiteres als datenschutzrechtlich sehr kritisch angesehen werden, bis Microsoft weitere Schritte zur Verbesserung des Datenschutzniveaus innerhalb dieser Software unternimmt.

9. Abschluss eines Auftragsverarbeitungs-Vertrages (VAV) mit Microsoft: Der entsprechende Vertrag ist in den Microsoft-OST (Online Service Terms) enthalten und wird mit diesen zusammen abgeschlossen und muss somit nicht separat abgeschlossen werden.

10. Je nach Art und Umfang der Daten die mittels Microsoft 365 verarbeitet werden sollen, ist ggf. die Anfertigung einer eigenständigen Datenschutz-Folgenabschätzung notwendig.

11. Abschließend kann gesagt werden, dass Microsoft 365 aus datenschutzrechtlicher Sicht noch nicht mit der letzten Rechtssicherheit überall benutzt werden kann und eine Entwicklung und die ausstehende Rechtsprechung des EuGH abgewartet werden muss.

Sofern diese Anforderungen beachtet werden, lässt sich Microsoft 365 für den Moment eigentlich datenschutzkonform einsetzen. Es bleibt jedoch zu beobachten, ob Microsoft die nun gelebte Datensparsamkeit auch beibehält oder ob die Aufsichtsbehörden weitere Erkenntnisse hinsichtlich der Datenübermittlung erlangen und weitere Forderungen gegenüber Microsoft stellen.

Kunden fragen oft, wie man denn mit Microsoft einen Vertrag zur Auftragsverarbeitung nach Art. 28 der EU-DSGVO abschließen kann?

Der Art. 28 Abs. 9 der EU-DSGVO führt hierzu aus:

• „Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem EU-Recht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor …“

Schaut man sich diesen Absatz genauer an, sieht man, dass die rechtliche Grundlage für die Verarbeitung von personenbezogenen Daten des Auftraggebers durch den Auftragnehmer nicht zwingend ein Vertrag sein muss, wie man ihn beispielsweise mit seinem IT-Dienstleister abschließt. Das Wort ODER lässt auch andere Optionen als gleichwertig zu einem Vertrag zu.

• „Die Auftragserteilung kann gemäß Art. 28 Abs. 9 DS-GVO in Zukunft auch in einem elektronischen Format erfolgen. Das strenge Schriftformerfordernis (handschriftliche Unterschrift) gilt damit nicht mehr. Ausreichend für das elektronische Format ist jedes elektronische Dokument, das dauerhaft wiedergegeben werden kann (vergleichbar mit der Textform in [§ 126b BGB])

Microsoft bietet anstelle eines Vertrages, wie er im deutschen Rechtsraum üblich ist, die sogenannten OST oder Online Service Terms, zu Deutsch: "Online Service-Nutzungsbedingungen". Alle Lizenzverträge von Microsoft umfassen diese Online Services-Nutzungsbedingungen. Die Lizenzverträge und damit eine OST werden abgeschlossen, wenn ein Kunde sich für ein Microsoft 365 Paket anmeldet.
Eine Unterschrift ist nach der EU-DSGVO nicht erforderlich, um einen rechtswirksamen Vertrag abzuschließen, es reicht die sog. Textform.

Der Vorteil für den Kunden in diesem Verfahren besteht auch darin, dass Microsoft so diese OST immer nach den Erfordernissen der diversen Eingaben der europäischen Institutionen anpasst und diese somit direkt für alle Nutzer in den EU-Mitgliedsstaaten gelten (Beispiel: Nach Intervention des niederländisches Ministeriums für Justiz und Sicherheit im Jahre 2018 wurden die in den Niederlanden ausgehandelten vertraglichen Verbesserungen direkt in der OST für alle EU-Kunden integriert).

Muss man mit Microsoft eine TOM schriftlich vereinbaren - sog. techn. organisatorische Massnahmen?

Nach den EU Standardvertragsklauseln mit dem Zusatz zur DSGVO können diese auch durch eine Erklärung oder durch den Nachweis eines entsprechenden Zertifikats nachgewiesen werden. Hier werden Sicherheitsstandards wie DIN ISO 27001 / ISO 27002 und ISO 27018 benannt, die einen ausreichenden Schutz garantieren.

Microsoft hält u.a. folgende internationalen Standards ein: ISO20000, ISO22301, ISO27001, ISO27017, ISO27701, ISO9001

Microsoft-Compliances

Der § 203 StGB und die Microsoft Cloud

Hierzu stellt Microsoft einen entsprechenden Zusatz zu den OST Dokumenten für deutsche Berufsgeheimnisträger zur Verfügung.

Microsoft & Offenlegung von Kundendaten

In den Microsoft Bestimmungen für Onlinedienste OST geht Microsoft folgende Verpflichtung ein:

• "Microsoft wird Kundendaten nicht gegenüber Strafverfolgungsbehörden offenlegen, sofern nicht gesetzlich vorgeschrieben. Sollte sich eine Vollstreckungsbehörde mit Microsoft in Verbindung setzen und Kundendaten anfordern, versucht Microsoft, die Vollstreckungsbehörde an den Kunden zu verweisen, damit sie diese Daten direkt beim Kunden anfordert. Wenn Microsoft verpflichtet ist, Kundendaten gegenüber einer Vollstreckungsbehörde offenzulegen, wird Microsoft den Kunden unverzüglich darüber informieren und ihm eine Kopie der Aufforderung zukommen lassen, sofern dies nicht gesetzlich verboten ist."

Am 10. 5. Okt. 2020 berichtet der HEISE-IT-Newsticker über die Ergebnisse der deutschen Datenschutzkonferenz.

Die Datenschutzkonferenz des Bundes und der Länder (DSK) hat im September mit knapper Mehrheit beschlossen, dass derzeit "kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich ist". Sie folgte damit einer Bewertung ihres Arbeitskreises Verwaltung vom 15. Juli. Dieser hatte über ein halbes Jahr lang geprüft, ob die Datenschutzbestimmungen und Online-Geschäftsbedingungen für das "Cloud-basierte" Softwarepaket mit Artikel 28 der Datenschutz-Grundverordnung (DSGVO) zur Auftragsdatenverarbeitung vereinbar sind.

Dies ist nach Ansicht der Aufsichtsbehörden nicht der Fall. Wer die danach die "Cloud-Variante" von Word, Excel oder Powerpoint handelt danach ggfs. nicht rechtskonform.

Statement von SPECRUM hierzu: Eine solche "Cloud-Nutzung" von Word, Excel und Powerpoint empfiehlt SPECTRUM auch nicht. Word, Excel und Poerpoint sollten SPECTRUM-Kunden auch immer auf den ASP-Servern im SPECTRUM-Hochsicherheits-RZ in Düsseldorf nutzen und dort die Daten verwalten - eine Speicherung in der Microsoft-Cloud hält SPECTRUM auch für z.Tl. höchst brisant. Hier liegt ja gerade der Vorteil der hybriden Cloud-Nutzung: Word, Excel, Powerpoint & Daten auf den eigenen Private-Cloud-Servern im SPECTRUM-Rechenzentrum und ggfs. Teams- und OneNote-Nutzung über Microsoft 365.

Interessant war das Abstimmungsergebnis der 17 Datenschützer aus Bund und Länder: Insgesamt waren acht Datenschutzbehörden gegen und neun für dieses harte Statement. Die Datenschutzbeauftragten von Bayern, Baden-Württemberg, Hessen, Rheinland-Pfalz, Sachsen und dem Saarland sowie das Bayerische Landesamt für Datenschutzaufsicht hatten erklärt, die Gesamtbewertung nicht zu teilen, "weil sie zu undifferenziert ausfällt" und legt wert darauf, dass dies kenntlich gemacht wird.

Die Datenschutzaufsichtsbehörden der Minderheit, die also gegen eine pauschale Negierung von Microsoft 365 waren, stellten klar, dass auch sie bei Microsoft 365 noch erhebliche datenschutzrechtliche Verbesserungspotenziale sehen, gerade auch mit Blick auf die jüngste Entscheidung des Europäischen Gerichtshofs zu internationalen Datentransfers vom 16. Juli 2020 (C-311/18 – Schrems II). Sie lehnten diese ablehnung der Ablehnung u.a. auch damit ab, dass der Arbeitskreis Verwaltung, der ja zu diesen Microsoft 365 Bedenken gekommen war, seine Bewertung auf der Grundlage von Vertragsbestimmungen getroffen, die Microsoft zwischenzeitlich bereits zweimal überarbeitet hat. Man hat auf dieser Datenschutzkonferenz also "schnee von gestern" beratschlagt.

Die Auffassung der Minderheitsmeinung kann sich SPECTRUM nur anschließen, denn plakative Äußerung wie "Microsoft 365 ist nicht datenschutzkonform" sind hier der falsche Weg, eine differenzierte Betrachtung muss hier durchgeführt werden und eine SPECTRUM-Installation in einer Hybrid-Lösung zusammen mit SPECTRUM-ASP ist hiervon überhaupt nicht tangiert. SPECTRUM begrüßten aber, dass die Datenschutzkonferenz eine neue Arbeitsgruppe eingesetzt hat, um im Dialog mit Microsoft nachhaltige datenschutzgerechte Korrekturen zu erreichen und die letzten Unstimmigkeiten auszuräumen.

20.11.2020: So eine neue aktuelle Bewertung der Datenschutzbeauftragten der Länder Baden-Württemberg, Bayern und Hessen. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit von Baden-Württemberg Stefan Brink führt dazu aus: „Wenn ein datenverarbeitendes Unternehmen künftig auf dem europäischen Markt agieren will, muss es europäische Rechtsstandards erfüllen, insbesondere die DSGVO einhalten. Dazu gehört, dass die Unternehmen Betroffene informieren, wenn Sicherheitsbehörden Zugriff auf ihre Daten erlangen. Wir haben im September verschiedenen Unternehmen Empfehlungen zum internationalen Datentransfer gegeben, auch an Microsoft. Es ist gut und notwendig, dass das Unternehmen sich nach dem europäischen Datenschutz richtet und seine Vertragsklauseln jetzt entsprechend ändert. Der Europäischen Gerichtshof hat eindeutig entschieden, dass Datenflüsse aus Europa in die USA ohne solche zusätzliche Maßnahmen nicht mehr zulässig sind.“

Die neuen Vertragsklauseln von Microsoft enthalten Regelungen über

• den Anspruch auf Schadensersatz für die betroffene Person, deren Daten unrechtmäßig verarbeitet wurden und die dadurch einen materiellen oder immateriellen Schaden erlitten hat;
• die Information der betroffenen Person, wenn Microsoft durch eine staatliche Anordnung rechtlich bindend dazu verpflichtet wurde, Daten an US-Sicherheitsbehörden herauszugeben;
• die Verpflichtung von Microsoft, den Rechtsweg zu beschreiten und die US-Gerichte anzurufen, um die behördliche Anordnung zur Herausgabe der Daten anzufechten.

Microsoft hat jetzt als einer der zentralen Anbieter global vernetzter IT-Produkte mit Cloud-Diensten für Unternehmen einige Garantien abgegeben, die unmittelbar die Nutzerrechte stärken. Eine Bewertung dieser Garantievorschläge wurde nun von den Datenschützer aus Baden-Württemberg, Bayern und Hessen vorgenommen.

Damit sei, so die gemeinsame Bewertung der beteiligten Datenschutzaufsichtsbehörden, zwar die Transferproblematik in die USA (aufgrund des US Cloud Acts) nicht generell gelöst – denn eine Ergänzung der Standardvertragsklauseln könne eben nicht dazu führen, dass der vom Europäischen Gerichtshof als unverhältnismäßig beanstandete Zugriff der US-amerikanischen Geheimdienste auf die Daten unterbunden werde.

Aber dass sich Microsoft als einer der größten, international agierenden Konzerne weltweit, mit einer erheblichen Marktmacht in Europa, nun in die richtige Richtung bewege und wesentliche Verbesserungen für die Rechte der Europäischen Bürgerinnen und Bürger in seine Vertragsklauseln aufnehme, sei ein wichtiger Schritt und ein deutliches Signal an andere Anbieter, diesem Beispiel zu folgen.

Hintergrund: Der internationale Datentransfer aus Europa in die USA ist nach dem Urteil des Europäischen Gerichtshofs zu Schrems II vom Juli 2020 nur noch sehr eingeschränkt möglich, obwohl hauptsächlich US-Anbieter zentrale Akteure der weltweiten Datenverarbeitung sind. Aus Sicht des EuGHs ist die völlig überzogene Massenüberwachung durch US-amerikanische Sicherheitsbehörden der Grund, weswegen Daten von Europäern nur noch unter ergänzenden Schutzmaßnahmen in die USA übermittelt werden dürfen. Die Trump-Administration hatte Verhandlungen mit der EU abgelehnt, da man die EU als nicht adäquate Staatenvertretung ansieht und nur mit jedem einzelnen Staat in Europa Einzelverträge abschließen will. Vielleicht ist die neue US-Administration hier verhandlungsbereiter. Die Datenschützer aus Baden-Württemberg, Bayern und Hessen haben nun ein Zeichen gesetzt, denn es muss ja irgendwie weitergehen und Europa bzw. europäische Unternehmen können sich ja nicht selbst vom Trend des Cloud-Computings ausschließen.

Es ist schon lustig: kleine und mittelständische Unternehmen sind verunsichert beim Einsatz von Microsoft 365 oder anderen Cloud-Dienstleistungen durch die pauschale, negative Berichterstattungen in der Presse. Die großen, weltweiten Wirtschaftsprüfungs-Gesellschaften (wie Deloitte, EY - Ernst & Young, KPMG und PwC - PricewaterhouseCoopers, BDO, Rödl, Ebner Stolz, Baker Tilly Roelfs, Nexia, Crowe-Global, Moore-Stephens, Grant-Thornton, RSM, PKF, HLB, AGN, Kreston, DFK, Moores-Rowland, Ecovis usw.) mit ihrer höchst sensiblen Datenverarbeitung von geheimen Unternehmensdaten von tausenden von Großkonzernen nutzen aber alle schon lange diese Cloud-Services. Bestehen da keine Datenschutzprobleme?

Interessant: Zum Jahresende 2020 wurde bekannt, dass der Staatskonzern DEUTSCHE BAHN komplett alle über 8.000 bisher betriebenen Server abschaltet, verschrottet und komplett in die Cloud umgezogen ist, hälftig in die Microsoft-Cloud und außerdem in die Amazon-Cloud (AWS). Auch wenn die Bahn nur Rechenzentren von Microsoft und Amazon in Deutschland nutzt - müssten hier doch eigentlich die gleichen Bedenken der Datenschützer gelten - oder?

In Bayern, Baden-Württemberg, Hessen usw. nutzen die Schulen schon lange Microsoft 365. Es gibt auch fast keine Kommunen oder Stadtverwaltungen mehr in Deutschland, die nicht Cloud-Services nutzen.

Die Deutsche Telekom z.B. vermarktet selbst ganz aktiv Microsoft 365 und Azure Services ....

Führen die Datenschützer hier einen vergeblichen Kampf?

Müssen die Datenschützer auch hier im Endeffekt klein beigeben - so wie sie es schon bei der VoIP- oder Cloud-Telefonie gemacht haben, hier sind die Rufe nach verschlüsselten Übertragungen und sonstigen datenschutzrechtlichen Bedenken schon lange verstummt ....

Grüßt hier Don Quijote ?

Nach Recherchen in diversen Anwenderberichten in Computer-Magazinen setzen u.a. folgende Großunternehmen in Deutschland Microsoft 365 bzw. andere Cloud-Dienstleistungen ein: ABB, Addidas, Adecco, Aldi-Gruppe, Allianz, Airbnb, Asklepios-Kliniken, AXA, BASF, Bayer, Bayrische Landesbank, Bayrische Vereinsbank, Beiersdorf, Bertelsmann, BMW, Boehringer Ingelheim, Bosch, Ceconomy, Commerzbank, Continental, Covesto, Daimler, Debeka, Deutsche Bank, Deutsche Börse, Deutsche Post, Deutsche Telekom, Deutsche Wohnen, DM-Drogeriemarkt, DZ-Bank, EDEKA-Gruppe, EnBW, Ergo, Evonik Degussa, Expedia, Exxon, EWE, E.ON, Feldmühle, Fraport, Fresenius, GE, Goldman Sachs, Hella, Heidelberg Zement, Henkel, Hilton-Gruppe, Hoechst, Hoffmann-La Roche, HUK-Coburg, Infinion, Landesbanck-Baden-Württemberg, Landesbank-Hessen-Thüringen, Lanxess, LG, Liebherr, Linde, Lufthansa, Kellogs, KfW-Bankengruppe, K+S AG, MAN, MC Donald, Merck, Monsanto, MTU, Münchner Rück, Netflix, Norddeutsche Landesbank, Novatis, Osram, Otto-Gruppe, Procter & Gamble, REWE-Gruppe, Rheinmetall, RWE, Rynair, Sanofi, Sana-Kliniken, Schwarz-Gruppe (Lidl, Kaufland usw.), Salzgitter AG, SAP, Siemens, Shell, Sparkassen, Axel Springer, Saint-Gobain, Strabag, ThyssenKrupp, Uber, United Internet, Volkswagen, Volksbanken, Vonovia, Vattenfall, Wacker-Chemie, Wissag AG, Würth-Gruppe, Carl Zeiss, ZF Friedichshafen, 3M  u.v.a.m.

Selbst die DATEV e.G. - die Genossenschaft der deutschen Steuerberater - ist seit Neuestem CSP-Tier1-Partner von Microsoft mit QMTH-Autorisierung und bietet Microsoft 365 für ihre RZ-Dienstleistungen an.

Ist es noch föderale Vielfalt oder Chaos: Fünf Landes-Datenschützer distanzieren sich von dem Beschluss der Datenschutzkonferenz DSK (der 16 Länder- plus 1 x Bundesdatenschutzbeauftragten), dass das Microsoft-Paket nicht datenschutzgerecht einsetzbar sei. Der Internet-News-Ticker HEISE meldet: Die von Anfang an umstrittene Entscheidung der Datenschutzkonferenz von Bund und Ländern (DSK), das Microsoft Office 365 derzeit nicht rechtskonform verwendet werden könne, sorgt weiter für Wirbel:

Die Landesdatenschutzbeauftragten von Bayern, Baden-Württemberg, Hessen und dem Saarland sowie das Bayerische Landesamt für Datenschutzaufsicht, das für Microsoft Deutschland zuständig ist, lassen kaum ein gutes Haar an dem von ihnen nicht mitgetragenem Beschluss.

Zum HEISE-Artikel

Am 18.2.2021 gab es nun wieder einen herben Rückschlag für die Nutzer und Interessenten von Microsoft 365, MS Teams & Co: Das Thema Datenschutz zeigt ja einen wellenförmigen Auf- & Ab-Verlauf, mal gibt es härtere Auslegungen - mal wird alles wieder verharmlost. Diesmal hat die Berliner Datenschutzbeauftragte Maja Smoltczyk für erneuten Wirbel gesorgt: Das Handelsblatt berichtete als erster unter der Headline "Microsoft Teams, Zoom, WebEx: Berliner Behörde warnt vor gängigen Videosystemen" über die neueste Veröffentlichung der Berliner Behördenleiterin. Die Berliner Behörde hatte weniger die eigentliche Technik als die reinen vertraglichen Grundlagen für die Nutzung beurteilt, d.h. die jeweiligen Verträge zur Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 der europäischen Datenschutzgrundverordnung (EU-DSGVO).

Interessant ist, dass alle kleinen RZ-Anbieter, die auf dem Open-Source-Produkt "Jitsi" basierte eigene Videokonferenzlösungen am Markt anbieten, von der Berliner Behörde eine grüne Ampel bekamen (übrigens: auch das SPECTRUM-Videokonferenzsystem basiert auch auf Jitsi).

Etwas befremdlich ist jedoch die Qualität des Papiers der Berliner Behörde: Es gab in den letzten Jahren immer wieder Beanstandungen von deutschen und europäischen Datenschutzbehörden an dem Inhalt dieser Microsoft-OSTs, dieser Microsoftbedingungen für die Verarbeitung von personenbezogenen Daten nach Art. 28 DSGVO. Diese sind aber von Microsoft jeweils kurzfristig nachgebessert worden (letztmalig am 20.11.2020). Die Datenschutzbeauftragten der Länder Baden-Württemberg, Bayern und Hessen halten diese Änderungen für ausreichend und haben keine Beanstandungen mehr. Nach uns aktuell vorliegenden Informationen gibt es derzeit auch keine Nachbesserungsforderungen mehr von deutschen oder europäischen Datenschutzaufsichtsbehörden an Microsoft. Was soll also jetzt am 18.2.2021 eine Veröffentlichung der Berliner Datenschutzbeauftragten, die sich auf den Stand vom 3.7.2020 bezieht?

Es ist nahezu eine Zumutung für den normalen Anwender die Ausführungen in dem Papier "Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenzdiensten" der Berliner Aufsichtsbehörde zu lesen und zu verstehen. Manche Ausführungen erinnern an "beleidigte Leberwurst-Statemens" wenn man über Korrekturen bei der deutschen Überetzung sich ausläßt oder das Nichtvorliegen einer deutschen Übersetzung von Orginalverträgen in englischer Sprache sich auslässt. Nirgendwo in der DSGVO steht, dass alle Vertragsunterlagen bei weltweit operierenden Anbietern in Deutsch vorliegen müssen. Wir haben Ihnen dieses Papier angefügt (Klick auf das Button) und einige Passagen einmal rot gekennzeichnet, damit der normale Betrachter versteht, um "welche Haare an Kaisers Bart" hier gestritten wird.

PDF-Download des Papiers
der Berliner Datenschützer

Wir halten es für gelinde gesagt für eine Unverschämtheit, dass sich die Datenschützer sich nicht mit Microsoft an einen runden Tisch setzen und die strittigen, restlichen kleinen Punkte endlich klären. Ständig nur Papiere und Gegenpapiere zu veröffentlichen hilft hier den Anwendern nicht weiter.

Es ist schon erstaunlich, dass Datenschützer das Thema Videokonferenz ständig mit Restriktionen belegen und hingegen das Thema normale Telefonkonferenz und Telefaxübermittlung links liegen lassen.

Beim heutigen Telefonbetrieb gibt es schon lange keine galvanische Ende-zu-Ende Verbindung über Hubdrehwähler-Vermittlungstechnik mehr - wie in den 60 und 70er Jahren des vorigen Jahrhunderts. Auch beim Telefonieren werden heute nur noch IP-Päckchen unverschlüsselt durchs Internet verschickt. Individuelle Auftragsverarbeitungsvereinbarungen mit Vodafone, O2, 1&1 Drillisch, Telekom & Co hat auch fast kein Anwender. Es gibt zwar bei den Datenschutzaufsichtsbehörden Hinweise auf deren Webseiten, dass man Voice-over-IP-Telefongespräche am besten Ende-zu-Ende verschlüsseln sollte, nur die Telefon-Provider bieten hierzu keine technischen Lösungen an und daher ist das Thema heute mehr oder weniger gegessen. Die Datenschützer haben hier bei der Voive-over-IP-Technik anscheinend auf breiter Linie resigniert und man hört aktuell nichts zu Einschränkungen – z.B. das Rechtsanwälte, Steuerberater, Ärzte, Krankenhäuser usw. keine Telefonkonferenzen mehr machen dürfen.

Früher war auch der Faxbetrieb eine galvanisch durchverbundene analoge Verbindung zwischen 2 Faxgeräten. Die Datenschützer haben dann bei der Änderung der Fax-Übertragungsart auf IP-basierte Datenpäckchen zwar schon vor über 10 Jahren den warnenden Finger erhoben und gefordert (nachzulesen bei einigen Datenschutzaufsichtsbehörden in Deutschland) dass Faxe nur noch mit einer Ende-zu-Ende-Verschlüsselung abhörsicher übertragen werden sollten. Jetzt gibt es tatsächlich im militärischen Bereich spezielle Fax-Geräte, die eine solche Verschlüsselungstechnik beherrschen. Nur bei Steuerberatern, Mandanten, Kammern und sonst. Institutionen hat man kaum Nato-oliven Faxgeräte gesehen und trotzdem werden tagtäglich millionenfach vertrauliche Daten gefaxt. Auch hier hört man von Datenschützer selten Statements, die Berufsangehörigen oder Kammern die Fax-Nutzung untersagen.

Dies vorausgeschickt ist eine Videokonferenztechnik heute IP-technisch nichts Anderes als bei einer Telefonkonferenz oder einer Faxübermittlung, es werden Datenpäckchen durchs Internet verschickt, die im Allg. zwischen den Teilnehmern und den Providern auch verschlüsselt sind. Es ist also nicht verständlich, dass sich Datenschützer aktuell nur bei Videokonferenztechniken ereifern .....

So reagierte Microsoft auf die Kritik der Berliner Datenschutzbehörde:

Microsoft kann die Kritik der Berliner Datenschutzbehörde nicht nachvollziehen, wie man offiz. erklärte. Die Berliner Behörde habe die zum Datenschutz bereitgestellten Informationen größtenteils nicht berücksichtigt. Microsoft erläutere in seinem „Data Protection Addendum“, wie man Auftragsdaten zu eigenen Zwecken verarbeitet. Dabei gehe es ausschließlich um mit der Erbringung der Services in Verbindung stehende Tätigkeiten. Das könnten beispielsweise eine nutzungsbasierte Rechnungsstellung, die Bekämpfung von Cyberkriminalität und Kapazitätsplanung sein. Microsoft bestätigte nochmals, dass man keine Userprofile für kommerzielle Zwecke nutze. Microsoft erklärte weiterhin, dass man, um die offenen Datenschutzfragen zu klären, weiter im Dialog mit den deutschen Datenschutzbehörden stehe. Microsoft gestand aber auch Fehler ein und erklärte, dass man z.B. im Vertrag zur Auftragsverarbeitung Einiges unklar formuliert gewesen sei. Das sei auf Übersetzungsfehler zurückzuführen, schließlich sei der Vertrag in 34 Sprachen übersetzt worden. Microsoft habe die Verträge jedoch mittlerweile angepasst. In der deutschen Variante habe es Übersetzungsfehler aus der englischen Version gegeben. Microsoft habe auch diese jetzt beseitigt, inhaltlich jedoch nichts verändert.

Man muss sich die Frage stellen, ob solche extrem verbissenen behördliche Datenschutzbeauftragte wie Heinz Müller aus Mecklenburg-Vorpommern noch ernst genommen werden sollten. Der Online-IT-Newsticker HEISE meldet am 18.3.2021 dass dieser Herr Müller zusammen mit dem MV-Rechnungshof die Forderung an die dortige Landesregierung stellt, dass ab sofort keine Microsoft-Produkte mehr verwendet werden dürften. Er will bzgl. Produkten von Microsofts und von anderern US-amerikanischen Unternehmen die Verwendung in Behörden nicht länger auf eine Bund-Länder-Lösung warten. Er fordert "unverzügliches Handeln", weil sich die großen US-Anbieter bei dem Problem des Abflusses personenbezogener Daten nicht zu bewegen scheinen. Nach Vorstellung von Müller soll man stattdessen auf Open-Source-Produkte zurückgreifen, "um den Datenschutz und auch die digitale Souveränität zu wahren".

Müller argumentiert, dass nach dem Schrem II Urteil des EUGH zum "Safe Harbor"-Abkommen bzw. zum "Privacy Shield"-Grundsatz eine wesentliche Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA für unwirksam erklärt wurde und es wegen der vom EuGH aufgestellten Grundsätze es somit nicht möglich sei US.Produkte wie von Microsoft auf Basis von Standarddatenschutzklauseln zu nutzen. D.h. er bezieht sich auf den US-Cloud-Act.

Das mag ja formal-juristisch alles richtig sein, nur liebe Datenschützer, dann macht endlich Dampf bei der deutschen Bundesregierung, dass die auch wie z.B. Großbritannien neue bilaterale Abkommen mit den USA abschließen. Den Anwendern die Nutzung zu untersagen ist doch der falsche Weg.

Man muss sich klar machen, dass dieser Herr Müller mit dieser extremen Auffassung eine volle Stimme in der Datenschutzkonferenz aus dem Bundesdatenschutzbeauftragten und den 16 Landesdatenschutzbeauftragten hat - die derzeit völlig zerstritten sind: 9 wollen die Nutzung von Microsoft Produkten beschneiden und 8 sehen keine Probleme bei der Nutzung.

Wollen da einige Behördenleiter mit ihrer Amtsmacht "Datenschutz" jetzt Industriepolitik in Deutschland betreiben und die Nutzung von US-amerikanischen Software-Produkten untersagen?
Na dann "Nacht Mattes" für die Digitalisierung in Deutschland ....

Link zum HEISE-Artikel