Datenschutzkonferenz: Microsoft 365 ist nicht rechtskonform

Im April dieses Jahres sorgte der Ausschluss von Microsoft 365-Produkten (MS 365) aus baden-württembergischen Schulen für Aufsehen. Nach den damaligen Bedenken wegen Datenschutz setzte sich der Schulverband mit Microsoft zusammen. Das Fazit der diesjährigen Datenschutzkonferenz lautet allerdings: „Es wurden zwar Fortschritte gemacht, aber sie reichen nicht aus und MS 365 verstößt weiterhin gegen die DSGVO“.

Die Datenschutzkonferenz veröffentlichte ihre Bewertung am 24. November. Die Datenschutz-Grundverordnung (DSGVO) ist eine EU-Verordnung, die die Regeln für die Verarbeitung personenbezogener Daten in der EU harmonisiert.

Schulleiter in der Zwickmühle

Schulleiter haben nun ein Problem. „Sie können MS 365 nicht datenschutzrechtskonform verwenden, weil sie nicht nachweisen können, dass MS 365 transparent und rechtmäßig einsetzbar ist“, erläuterte Lutz Hasse gegenüber dem Bildungsportal „Bildung Table„. Hasse ist Thüringens Landesdatenschutzbeauftragter und Sprecher der Datenschutzkonferenz (DSK).

„Nunmehr haben die Aufsichtsbehörden den nötigen DSK-Rückenwind, um den Verantwortlichen die Nutzung von MS 365 zu untersagen. Das muss natürlich verhältnismäßig geschehen“, erklärt Hasse.

Diejenigen, die verpflichtet sind, Informationen über die Datennutzung offenzulegen, befinden sich nun in einer Zwickmühle. Laut dem Bildungsportal ist es bei der Nutzung von MS-365-Produkten derzeit nicht möglich, die gesetzlichen Pflichten zu erfüllen. Schulen sollten die einwilligenden Eltern darüber informieren, ob Daten ihrer Kinder verarbeitet werden oder nicht. Gleichzeitig wissen die Schulleiter nicht, wie Microsoft die Daten verwendet. Bei der derzeitigen Vorgehensweise von Microsoft können sie keine Auskunft geben, wie es die DSGVO verlangt.

Dr. Stefan Brink, Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg, schlug wegen Sicherheitsbedenken bereits im April vor, dass die Schulen anstelle von Microsoft auch alternative Tools verwenden. Dazu gehören zum Beispiel Lernmanagementsysteme wie Moodle oder itslearning, die für Schulen kostenfrei sind. Viele Schulen haben bereits Microsoft aus ihren Klassenzimmern verbannt und setzen auf Libre Office und andere Programme.

Die Datenschutzkonferenz kann die Verwendung von Microsoft-Produkten offiziell nicht verbieten. Brink wies jedoch darauf hin, dass „die IT-Verantwortlichen in den Unternehmen in Zukunft sicherstellen müssen, dass die Privatsphäre von Beschäftigten und Kunden bei der Nutzung dieser Produkte nicht gefährdet wird“. Brink warnte, dass dies „schwierig sein wird“.

Tech-Riese widerspricht, will aber kooperieren

Einen Tag später reagierte Microsoft mit einem längeren Statement: „Die von der DSK geäußerten Bedenken berücksichtigen die von uns bereits vorgenommenen Änderungen nicht angemessen und beruhen auf mehreren Missverständnissen hinsichtlich der Funktionsweise unserer Dienste und der von uns bereits ergriffenen Maßnahmen.“

In der Erklärung steht jedoch bereits eine Zusage für die weitere Verbesserung: „Obwohl wir mit der Bewertung der DSK nicht einverstanden sind, möchten wir verbleibende Bedenken ausräumen.“

Microsoft hat vor, „im Sinne der Transparenz weitere Dokumentationen über die Datenströme der Kunden und die Zwecke der Verarbeitung bereit[zu]stellen“. Sie werden laut Erklärung auch „mehr Transparenz über die Standorte und die Verarbeitung durch Unterauftragsverarbeiter und Microsoft-Mitarbeiter außerhalb der EU schaffen.“

Die Rechtsanwälte von „reusch law“ analysierten die Streitpunkte und stellen die Position der DSK und von Microsoft gegenüber. In ihrer Einschätzung schreiben sie: „In dem Dokument jedoch gesteht Microsoft implizit seine Intransparenz: ‘Kunden müssen die technische Funktionsweise von Microsoft 365 nicht vollständig verstehen‘“.

Wesentliche Kritikpunkte seien „unter anderem die aus Sicht der DSK intransparente Verarbeitung von Daten durch Microsoft zu eigenen Zwecken sowie die Datenübermittlung in die USA, wobei hier die neue Executive Order des US-Präsidenten vom 07.10.2022 ausdrücklich noch keinen Eingang in die Bewertung gefunden hat.“

Nutzung von MS 365 nur mit Datenübermittlung in die USA möglich

Im Bericht der Datenschutzkonferenz steht, dass Microsoft im September 2022 einen aktualisierten „Datenschutznachtrag zu den Produkten und Services von Microsoft“ (Microsoft Products and Services Data Protection Addendum; DPA) vorgestellt hat. Diese neue Version bringt vor allem Änderungen im Bereich der vertraglichen Formulierung der Verantwortlichkeit Microsofts im Rahmen der Verarbeitung „für legitime Geschäftszwecke“ mit sich.

Die deutschen Datenschutzbeauftragten stellten laut „Heise Online“ dabei fest, dass das Unternehmen mit dem DPA die von der EU-Kommission geforderten Standardvertragsklauseln berücksichtigt hat.

Es bleibt dem Bericht zufolge aber weiterhin unklar, „welche personenbezogenen Daten im Rahmen der von Microsoft so genannten ‚legitimen‘ Geschäftszwecke bzw. nun ‚Geschäftstätigkeiten‘ verarbeitet werden.“

Der Datenschutznachtrag vom September 2022 enthält außerdem die Regelung, dass der Kunde Microsoft „beauftragt […], personenbezogene Daten in die Vereinigten Staaten von Amerika oder in jedes andere Land zu übermitteln, in dem Microsoft oder ihre Unterauftragsverarbeiter tätig sind.“ Die Datenschutzkonferenz konstatiert:

Eine Nutzung von MS 365 ohne Übermittlungen personenbezogener Daten in die USA ist nicht möglich.“

Wie problematisch diese Behauptung ist, beschreibt eine frühere Analyse der österreichischen Nichtregierungsorganisation „epicenter.works“. Die Daten der Schüler landen möglicherweise in den USA bei Geheimdiensten, sodass komplexe Rückschlüsse auf jeden Einzelnen möglich sind. Bei der Datenweitergabe geht es nicht nur um US-Geheimdienste. Werbung „im großen Stil“ ist ebenfalls ein wichtiges Thema.