Microsoft und die DSGVO – Eine Übersicht

Immer wieder taucht Microsoft zurzeit wegen Datenschutzunstimmigkeiten in den Schlagzeilen auf. Seit dem Kippen des Privacy Shield Abkommens in 2020 hat der Konzern mit den Anforderungen der europäischen Datenschützer zu kämpfen; besonders die cloudbasierte Version Microsoft 365 (bis vor kurzem noch Microsoft Office 365). Grund dafür sind die Datenübermittlungen in die USA, die durch die Zugriffsmöglichkeiten der US-Behörden durch den CLOUD Act in ein rechtliches Abseits gerutscht sind. Trotz diverser Versuche von Microsoft, die Sicherheitslücken zu schließen, gibt es von deutschen Datenschutzbehörden kein grünes Licht; M365 bleibt datenschutzwidrig.   Was bisher geschah Oktober 2020: Kurz nach dem Scheitern des Rechtsabkommens Privacy Shield veröffentlicht die Datenschutzkonferenz (DSK) eine Bewertung von Microsofts Office 365 und stuft es aufgrund von Transparenzproblemen als nicht datenschutzkonform ein. Aus der Untersuchung der Datenschutzbestimmungen der Microsoft-Onlinedienste (Data Processing Addendum) und der Online Service Terms (OST) ging nicht eindeutig hervor, welche Daten tatsächlich verarbeitet werden, insbesondere die Daten, die in den USA im eigenen Interesse verarbeitet werden.   September 2022: Seitdem hat Microsoft Veränderungen an deren Datenschutzbestimmungen vorgenommen. Zuletzt aktualisierte Microsoft auch die Fassung des Auftragsverarbeitungsvertrags im September 2022, wobei die Standardvertragsklauseln (SVKs) auf die, vom EuGH bereits im September 2021 veröffentlichten, neuen SVKs aktualisiert. Da die Frist für die alten SVKs am 27. Dezember dieses Jahres auslaufen, wurde es dafür sowieso höchste Zeit. Außerdem präzisierte Microsoft die Angaben, zu welchen Zwecken die Daten genutzt werden. Der US-Konzern erläutert so etwa, statistische, nicht-personenbezogene Daten aus pseudonymisierten Daten zu aggregieren und Statistiken zu erstellen.   Oktober 2022: Deutsche Datenschutzbehörden bleiben bei ihrer Meinung. Microsofts Office 365 ist und bleibt DSGVO-widrig. Nach wie vor bietet Microsoft nicht genug Transparenz in den Nutzungsbedingungen. Da auch der Behördenzugriff durch den CLOUD Act weiterhin nicht auszuschließen ist, stellt das ein weiteres Sicherheitsrisiko dar. Da Unternehmen deswegen nicht nachweisen können, dass sie die Software datenschutzkonform nutzen, möchte Thüringens Landesschutzbeauftragter Lutz Hasse über die Umsetzung des Beschlusses der DSK reden. Konsequenz könnte sein, dass die Nutzung der Software untersagt wird. Vor allem an Schulen und in öffentlichen Behörden ist die Nutzung eigentlich nicht mehr möglich.   November 2022: Frankreich macht es vor. Wie das IT-Newsportal „Siecle Digital“ berichtet, untersagt der französische Bildungsminister den Einsatz der kostenlosen Office Programme an Schulen. Möglich also, dass wir bald dem Beispiel Frankreichs folgen. Vielleicht wird das Urteil sogar auf Behörden und Unternehmen ausgeweitet.     Du willst mehr darüber erfahren, warum die Nutzung von US-Providern wie Microsoft nicht ohne Weiteres möglich ist? Dann lass Dir auch die folgenden Artikel nicht entgehen: US amerikanische Cloud Anwendungen und die DSGVO Stolperfalle Cloud Collaboration – Unternehmen sollten sich nicht nur auf namhafte Lösungen verlassen Die Macht der Tech-Monopole  

US-amerikanische Cloud Anwendungen und die DSGVO

Cloud-Dienste sind aus den meisten Unternehmen nicht wegzudenken, allen voran beliebte US-amerikanische Anwendungen. Ob als Team-Chat, Online-Dokumentenspeicher, Customer Relationship Management System oder multifunktionale Kollaborations-Plattform. Alle eint ihre Innovationskraft auf die Arbeitswelt. Nicht verwunderlich also, dass einer Studie von Bitkom Research 2019 zufolge 3 von 4 Unternehmen Rechenleistungen aus der Cloud nutzen. Jedoch wird eine erhebliche Anzahl an europäischen Unternehmen seine Cloud Strategie von Grund auf neu ausrichten müssen. Denn das EU-Recht manövriert bewährte US-Cloud-Dienste ins rechtliche Abseits. Und das mit wenig Hoffnung auf eine langfristige Lösung der Problematik, die es uns Europäern erlauben würde, US-Dienste wieder guten Gewissens zu nutzen. Was sind die Hintergründe und wie können Unternehmen jetzt umdenken?   Rechtliche Hintergründe – DSGVO vs. Cloud Act Im März 2018 trat in den USA eine neue Verordnung in Kraft, der CLOUD Act. Während die EU seit 2016 mit der Datenschutz-Grundverordnung, vereinfacht gesagt, die Absicht verfolgt, Personen und deren Daten zu schützen, zielt der CLOUD Act in die entgegengesetzte Richtung ab: Per Gesetz wurde geregelt, dass amerikanische Behörden Zugriff auf personenbezogene Daten der US-Cloud-Dienste haben mit der Begründung organisierte Kriminalität besser bekämpfen zu können. Konkret heißt das, dass US-Behörden ohne richterlichen Beschluss zu allen Daten, seien es Chats, Bilder oder sämtliche Dokumente, die wir bei Amazon, Dropbox, Google, etc. liegen, Zugang haben. Das bedeutet beispielsweise, dass jeder Privatnutzer von Dropbox, jeder Angestellte eines Unternehmens, das Microsoft Teams verwendet oder auch jeder Kunde eines Unternehmens, das Kundendaten in einer US-Cloud verarbeitet, seine Privatsphäre verliert.   EU – Datengrenze und – Rechenzentren – Falsche Versprechen? Wie oft die Behörden den Weg der Datenabfrage gehen, ist zwar nicht ganz klar, allerdings ist allein die Tatsache, dass sie diese Option haben, stark bedenklich. Dass unter so einer Entwicklung nach und nach das internationale Geschäft leiden wird, sehen auch die US-Konzerne mit kritischem Auge. So gab Microsoft bekannt, dass sie in der ersten Hälfte 91 Anfragen von der Strafverfolgungsbehörde erhalten hatten, wovon sie zwar 42 Fälle, und damit weniger als die Hälfte, vor Gericht abweisen konnten, alle restlichen jedoch gestattet wurden. Da Herausgabeanordnungen aber auch häufig mit der Anweisung, diese geheim zu halten, einhergehen, bleibt zu befürchten, dass das nur die Spitze des Eisbergs ist. Es wird zwar weiterhin von verschiedenen Cloud-Anwendungsanbietern damit geworben, dass für den Schutz der Daten garantiert wird z.B. durch den Bau von Rechenzentren in Europa oder die Einführungen einer „Datengrenze“ für EU-Kunden, bei der Daten nur in der EU gespeichert und verarbeitet werden, allerdings ändert dies nichts an der Tatsache, dass sie als US-Unternehmen weiterhin dem CLOUD Act unterliegen. EU-Rechenzentrum hin oder her.   Warum Sie sich als Unternehmen nicht wegdrehen können Die USA behandelt damit den Datentransfer und -schutz rechtlich konträr zu EU-Verordnungen, denn laut DSGVO ist eine Übertragung personenbezogener Daten an Drittländer nur zulässig, wenn hierfür ein Rechtshilfeabkommen zwischen dem Drittland und dem EU-Mitgliedsstaat vorliegt. Im Klartext heißt das, dass Kundendaten, die auf Servern von US-Providern gespeichert sind, auch wenn diese innerhalb der EU liegen, durch den CLOUD Act zu der Herausgabe verpflichtet sind auch wenn die örtlichen Gesetze etwas anderes besagen. Eine Zwickmühle, denn Europäische Unternehmen sind rechtlich an das gebunden, was lokal gilt, also die DSGVO Regelungen. Problem dabei ist, dass ohne rechtliches Abkommen der Datenexporteur sich selbst für die Rechtmäßigkeit des Datentransfers verantworten muss oder man riskiert ein Bußgeld, dass bis zu 20 Mio. € betragen kann 4 % des jährlich weltweiten Umsatzes.   Wird sich das Blatt noch wenden? Aufgrund dieser Unterschiede in der Rechtsverordnung, gab es schon Versuche ein transatlantisches Datenschutzabkommen zu vereinbaren. Sowohl „Safe Habor“ und „Privacy Shield“ wurden jedoch vom Europäischen Gerichtshof für ungültig erklärt, da diese letztlich eigentlich nicht gesetzeskonform waren. Das neu kommende Abkommen „Trans-Atlantic Data Privacy Framework“, scheint aber auch nur eine verschärfte Variante des Privacy Shields zu sein, denn der US-behördliche Zugriff ist weiterhin nicht ausgeschlossen. Auch der Jurist Max Schrems, der auch schon die beiden ersten Abkommen zu Fall brachte, äußerte bereits scharfe Kritik an der Durchführungsverordnung. Auch die Möglichkeit von Workarounds wie eine eigene Verschlüsselung widerspräche den Gesetzen, den US-Konzerne ausgeliefert sind. Teilweise ist das auch nicht ohne weiteres in ein bestehendes Angebot integrierbar vor allem, wenn es sich um komplexe Programme handelt wie z.B. Google Analytics. Sobald das Programm „mitdenken“ muss, sei es Graphen erstellen, Verkaufsberichte bereitstellen oder eine Suchanfrage über mehrere Anwendungen hinweg tätigen soll, müssen die Daten auf dem Server im Klartext vorliegen, ansonsten werden Cloud-Programme unbrauchbar.   Die EU und die USA sind sich über den Begriff ‚verhältnismäßig‘ einig, jedoch scheinbar nicht über dessen Bedeutung. Am Ende wird sich die Definition des EuGH durchsetzen – und damit das Abkommen wahrscheinlich wieder zunichtemachen. Es ist enttäuschend, dass die Europäische Kommission auf Basis dieses Wortes Europäer weiterhin ausspionieren lassen will. – Max Schrems   Auch die Möglichkeit von Workarounds wie eine eigene Verschlüsselung widerspräche den Gesetzen, den US-Konzerne ausgeliefert sind. Teilweise ist das auch nicht ohne weiteres in ein bestehendes Angebot integrierbar vor allem, wenn es sich um komplexe Programme handelt wie z.B. Google Analytics. Sobald das Programm „mitdenken“ muss, sei es Graphen erstellen, Verkaufsberichte bereitstellen oder eine Suchanfrage über mehrere Anwendungen hinweg tätigen soll, müssen die Daten auf dem Server im Klartext vorliegen, ansonsten werden Cloud-Programme unbrauchbar.   Warum die lokale Cloud für viele Unternehmen die passende Lösung ist Das Verschlafen der Digitalisierung in vielen Bereichen hat zu einer Abhängigkeit von den technologisch fortgeschritteneren US-Anbietern geführt, daher liegt die Lösung bereits vor unserer Nase: mit einer lokalen Cloud holen Betriebe ihre Daten und Cloud-Anwendungen zu sich. Sie sind unabhängig von US-Diensten, ohne auf die klassischen Cloud Merkmale, wie Zugriff von überall, Flexibilität, hohe Performance und Support verzichten zu müssen. Gerade für uns bei Uniki ist Datenschutz mit der wichtigste Treiber und ideologischer Grundpfeiler unseres Produkts. Wir sind mehr als stolz darauf, mit unserem Hybriden Cloud System eine Datenschutz-konforme Alternative zu vielen US-Diensten anbieten zu können.        

Das gekippte Privacy Shield Abkommen: Ausmaße & Folgen einfach erklärt

Im Juli ging ein großer Aufschrei durch die EU. Das Privacy Shield – ein Abkommen mit den USA zur Datenverarbeitung – wurde für ungültig erklärt. Eine große Zahl an Diensten wurde sozusagen über Nacht illegal. Jedoch gingen viele schnell zum Business As Usual zurück – ertappt? Die wenigsten Firmen sind sich über die Ausmaße bewusst. Spitzer Teaser: Es ist nichts mehr wie es war! Abmahnungen und hohe Strafzahlungen für uns Nutzer werden leider nicht ausbleiben. Vielmehr hat die Abmahn-Welle bereits begonnen. Sanfte Kritik von einer Firma, die für Datenschutz steht? Wie passt das zusammen? Gerade für uns bei Uniki ist Datenschutz mit der wichtigste Treiber und ideologischer Grundpfeiler unseres Produkts. Wir sind mehr als stolz darauf, mit unserer Cloud Plattform eine datenschutz-konforme Alternative zu vielen US-Diensten anbieten zu können. Daher sollten wir gerade mehr als happy sein. Wir sehen aber auch die Hilflosigkeit vieler Betriebe und die zwangsläufige „Wird-schon-gut-gehen-Mentalität“. Kaum einer greift das komplexe Thema rund um das Privacy Shield sofort, kann so flink handeln, wie es die Rechtslage verlangt oder adäquate Alternativen finden. Oft ist man auch an bestimmte Tools gebunden, die man nur schwer abschaffen kann. Dazu kommt, dass neben eindeutig US-amerikanischen Anwendungen, auch europäische Dienste betroffen sind. Wir sind folgenschwer von amerikanischer Technologie abhängig Wer nutzt im beruflichen Kontext absolut keine US Software, wie zum Beispiel das beliebte Kommunikations-Tool Slack oder OneDrive von Microsoft? US-Dienste dominieren den Markt. Dazu kommt: selbst europäische Software Anbieter sind sehr verflochten mit US-Diensten und Rechenzentren, wie denen von AWS. Man muss sich das so vorstellen: Nehmen wir an, ein Berliner Tech-Unternehmen hat eine Personal-Software entwickelt. Dabei handelt es sich um ein klassisches SaaS-Produkt (Software as a Service). Das heißt, das Tool wird nicht in Ihrem Büro betrieben, sondern das Berliner Unternehmen kümmert sich um den Ort des Software Betriebs, also um das „zu Hause“ Ihrer Daten. Nun haben aber die Daten der vielen Kunden keinen Platz auf dem hauseigenen Server im Berliner Büro. Eine große Instanz in einem Rechenzentrum, z.B. in Frankfurt, muss angemietet werden. Wer sind die Hauptakteure hinter diesen Rechenzentren? Meist stecken die US-Anbieter Amazon, Microsoft und Google dahinter. Und warum? Die Dienste funktionieren, sind groß und locken mit kostenlosem Guthaben. Sie stellen dadurch leider nach wie vor europäische Cloud Services wie das französische OVH oder das deutsche Gridscale in den Schatten. Denn die Möglichkeiten, Schnittstellen und auch das Wirtschaftliche sind einfach nicht von der Hand zu weisen. Das ist es, was den Direktkunden, den Kunden der Berliner Personal-Software und auch Ihnen wichtig ist: Es muss funktionieren. Nachvollziehbar! Hintergründe – Staatliche Stellen aus den USA haben Zugriff auf unsere Daten In Europa verfolgen wir Datenschutzgrundsätze, die nicht mit dem amerikanischen Gesetz zu vereinen sind: Wir haben alle ein Recht auf Privatsphäre, auch im beruflichen Kontext. Jedoch ist in den USA der Datenschutz nicht einmal allgemeingültig geregelt. Der Grundsatz dort: staatlichen Stellen möglichst einfache und umfassende Zugriffsbefugnisse auf sämtliche Daten zu gewähren. Das wiederum ist in Abschnitt 702 des „Foreign Intelligence Survaillance Act“ (FISA) für die sogenannten „Electronic Communication Service Provider“ geregelt. Also solche Dienste, die irgendeine Art von Kommunikation/Datenaustausch ermöglichen und etwa via Internet übermitteln. Beispiele dafür sind Dokumente, Bilder, E-Mails, Chat-Nachrichten und Videokonferenzen. Im Rahmen dieser Gesetzesgrundlage verpflichten sich US-Dienste dieser Kategorie dazu, Hintertüren für US-Behörden offen zu halten. Auch für die Daten der Kunden aus der EU. Die Regelung steht hierarchisch über jeder anderweitigen vertraglichen Absprache mit den Nutzern des Dienstes. Dementsprechend gibt es keinen Weg diese Hintertüren zu schließen – weder für Sie als Nutzer von Cloud-Diensten wie Dropbox, Slack, OneDrive & Co., noch für diese Unternehmen. In diesem Sinne mag es eher verwundern, dass das Privacy Shield Abkommen 4 Jahre durchgehalten hat – ein angemessenes Schutzniveau nach EU-Maßstäben, war für unsere Daten wohl zu keinem Zeitpunkt vorhanden. US-Rechenzentrum in Deutschland, das ist doch (rechts-)sicher – oder? Ein US-Rechenzentrum mit Standort Deutschland macht noch keinen legalen Verarbeitungs- und Speicherort daraus – wird es auch so bald nicht mehr. Denn die US-Behörden haben auch außerhalb des US-Territoriums besagte Hintertür. Auch hier können sich weder die US Rechenzentren in Europa dagegen wehren noch das Berliner Tech-Unternehmen mit seiner auf AWS gehosteten Personal-Software.   Aber überall steht doch, dass es sicher ist? Was stimmt denn jetzt? Hochgestochene technische Aussagen zu ISO- Standards, Zertifizierungen, Verschlüsselungs-Standards und das Prädikat „Datenschutz made in Germany“ klingen erstmal gut, beruhigend und vertrauenswürdig. Aus rein rechtlicher Sicht sind diese Aspekte aber nach Ende des Privacy Shield Abkommens bei vielen Diensten nicht mehr relevant. Folglich helfen sie Ihnen bei Abmahnungen und anschließend vor Gericht rein gar nichts. Ob Ihre Daten sicher im eigentlichen Wortsinn sind, also nicht im Klartext einsehbar, können wir so pauschal nicht beantworten. Denn auch hinter sehr vielen Verschlüsselungs-Versprechen steckt meist keine vollständige und wahre Ende-zu-Ende Verschlüsselung. Gerade als Laie lässt man sich hier leicht irreführen. Zuletzt hat das die Diskussion um Videokonferenzen sehr deutlich gezeigt. An irgendeinem Punkt sind die Daten meist ungeschützt, zum Beispiel wenn der Schlüssel erst im Rechenzentrum generiert wird oder die Übertragung im Rechenzentrum selbst im Klartext erfolgt. Wir schließen daraus: Sicher – vielleicht in manchen Fällen. Rechtssicher – definitiv nicht, wenn von US Firmen betriebene Rechenzentren oder amerikanische Tools wie Dropbox und Slack dahinterstecken. Denn an dem Punkt, an dem Daten im wahrsten Sinne des Wortes abgreifbar werden, ist ein Schutz der Daten nicht gewährleistet. Wegen FISA 702 muss man hier auch definitiv mit dem Zugriff staatlicher Stellen rechnen. Was bedeutet das für mein Unternehmen? Es gibt genau 2 Karten, die Sie spielen können. Die eine ist ein Glücksspiel – Sie gehen das Risiko ein abgemahnt zu werden, Strafen zu zahlen und verpflichten sich womöglich zur unpassendsten Zeit innerhalb von Wochen Ihre Unternehmens-IT umzustellen. Die legale Karte heißt Bestandsanalyse, Änderungen und bewusstes Entscheiden für echten Datenschutz nach europäischen Überzeugungen. Warum die lokale Cloud für viele Unternehmen die passende Lösung sein wird Der Grund steckt schon im Namen: mit einer lokalen Cloud holen Betriebe ihre Daten und Cloud-Anwendungen zu sich. Sie sind unabhängig von US-Diensten, ohne auf die klassischen Cloud Merkmale, wie Zugriff von überall, Flexibilität, hohe