Immer wieder taucht Microsoft zurzeit wegen Datenschutzunstimmigkeiten in den Schlagzeilen auf. Seit dem Kippen des Privacy Shield Abkommens in 2020 hat der Konzern mit den Anforderungen der europäischen Datenschützer zu kämpfen; besonders die cloudbasierte Version Microsoft 365 (bis vor kurzem noch Microsoft Office 365). Grund dafür sind die Datenübermittlungen in die USA, die durch die Zugriffsmöglichkeiten der US-Behörden durch den CLOUD Act in ein rechtliches Abseits gerutscht sind. Trotz diverser Versuche von Microsoft, die Sicherheitslücken zu schließen, gibt es von deutschen Datenschutzbehörden kein grünes Licht; M365 bleibt datenschutzwidrig.
Was bisher geschah
Oktober 2020: Kurz nach dem Scheitern des Rechtsabkommens Privacy Shield veröffentlicht die Datenschutzkonferenz (DSK) eine Bewertung von Microsofts Office 365 und stuft es aufgrund von Transparenzproblemen als nicht datenschutzkonform ein. Aus der Untersuchung der Datenschutzbestimmungen der Microsoft-Onlinedienste (Data Processing Addendum) und der Online Service Terms (OST) ging nicht eindeutig hervor, welche Daten tatsächlich verarbeitet werden, insbesondere die Daten, die in den USA im eigenen Interesse verarbeitet werden.
September 2022: Seitdem hat Microsoft Veränderungen an deren Datenschutzbestimmungen vorgenommen. Zuletzt aktualisierte Microsoft auch die Fassung des Auftragsverarbeitungsvertrags im September 2022, wobei die Standardvertragsklauseln (SVKs) auf die, vom EuGH bereits im September 2021 veröffentlichten, neuen SVKs aktualisiert. Da die Frist für die alten SVKs am 27. Dezember dieses Jahres auslaufen, wurde es dafür sowieso höchste Zeit. Außerdem präzisierte Microsoft die Angaben, zu welchen Zwecken die Daten genutzt werden. Der US-Konzern erläutert so etwa, statistische, nicht-personenbezogene Daten aus pseudonymisierten Daten zu aggregieren und Statistiken zu erstellen.
Oktober 2022: Deutsche Datenschutzbehörden bleiben bei ihrer Meinung. Microsofts Office 365 ist und bleibt DSGVO-widrig. Nach wie vor bietet Microsoft nicht genug Transparenz in den Nutzungsbedingungen. Da auch der Behördenzugriff durch den CLOUD Act weiterhin nicht auszuschließen ist, stellt das ein weiteres Sicherheitsrisiko dar.
Da Unternehmen deswegen nicht nachweisen können, dass sie die Software datenschutzkonform nutzen, möchte Thüringens Landesschutzbeauftragter Lutz Hasse über die Umsetzung des Beschlusses der DSK reden. Konsequenz könnte sein, dass die Nutzung der Software untersagt wird. Vor allem an Schulen und in öffentlichen Behörden ist die Nutzung eigentlich nicht mehr möglich.
November 2022: Frankreich macht es vor. Wie das IT-Newsportal „Siecle Digital“ berichtet, untersagt der französische Bildungsminister den Einsatz der kostenlosen Office Programme an Schulen. Möglich also, dass wir bald dem Beispiel Frankreichs folgen. Vielleicht wird das Urteil sogar auf Behörden und Unternehmen ausgeweitet.
Du willst mehr darüber erfahren, warum die Nutzung von US-Providern wie Microsoft nicht ohne Weiteres möglich ist? Dann lass Dir auch die folgenden Artikel nicht entgehen:
US amerikanische Cloud Anwendungen und die DSGVO
Digitale Souveränität - Was der Ausfall von Microsoft uns zeigt – Uniki.de
1. Februar 2023 at 14:54[…] Microsoft und die DSGVO – Eine Übersicht […]