Microsoft365 und der Datenschutz – #DSGVO als Verhinderungsmonster? Wie kriegt man die Kuh vom Eis? #9vor9

Glaubt man vielen Kritikern, so verhindert die Datenschutzgrundverordnung DSGVO, verhindern die Datenschützer an allen Ecken und Enden den digitalen Fortschritt. Aktueller Fall: Gerade hat die Datenschutzkonferenz (DSK) erneut bemängelt, dass Microsoft365 nicht datenschutzkonform eingesetzt werden kann. Schon ist der Aufschrei auf beiden Seiten groß.

Datenschutzprotagonisten wie Mike Kuketz fahren schwere Geschütze auf und schreiben von Rechtsberatern, die auf Kundenfang seien. Für ihn ist die Situation klar:

Anstatt nun wieder Unmengen an Zeit und Geld dafür aufzuwenden, um Wege zu suchen, die den Einsatz von MS365 weiter legitimieren sollen bzw. – und das ist noch viel absurder – an der Einführung von MS365 festzuhalten, sollten Verantwortliche der Realität ins Auge blicken: Der Einsatz von MS365 ist datenschutzrechtlich höchst problematisch. Eine Feststellung die nun seit Jahren immer und immer wieder gemacht wird.

Nach DSK-Bewertung zu MS365: Rechtsberater weiterhin auf Kundenfang ⋆ Kuketz IT-Security Blog

Microsoft und gegenüber Microsoft „freundlich“ eingestellte Vertreter sehen das naturgemäß anders. Stefan Hessel und Christina Kiefer kritisieren auf heise online, dass die Datenschützer unverhältnismäßig mauern. Sie dröseln die Gemengelage auf, verweisen darauf, dass die DSGVO keine Herstellerpflichten enthalte und man deshalb keine Lösung mit den Entwicklern der entsprechenden Produkte finde. Stattdessen setze man Behörden und Unternehmen unter druck, die Produkte wie Microsoft365 einsetzen. Auch habe man sich für einen Alleingang entschieden und die Chance verpasst, eine EU-einheitliche Lösung zu finden. Hier nun unser Gespräch:

Gefühlt endlose Liste von Digitalprojekten mit Datenschutzproblemen

In besagtem Fall geht es um Microsoft365 und die DSGVO, doch lässt sich die Liste gefühlt endlos fortsetzen, in denen Datenschutz diskutiert und angeprangert wird. Das reicht vom angedachten europäischen Online-Ausweis über Datenschutz im Gesundheitswesen bis zur Chatkontrolle, die gerade auch in den Medien diskutiert wird. Gefühlt wird der Datenschutz in allen Digitalprojekten, in denen es knirscht, in den Senkel gestellt. „Datenschutzrechtlich hochproblematisch“ wird zum Unwort des Jahres. Der Datenschutz scheint für alles verantwortlich zu sein oder dafür gemacht werden.

In der FAZ haben Kristin Benedikt, Rolf Schwartmann und Thomas Kranig eine Stellungnahme unter dem Titel Microsoft 365 – so sollte Datenschutzaufsicht nicht sei veröffentlicht und fordern, dass der Umgang von Deutschlands Datenschutzbehörden mit dem Datenschutz grundlegend neu justiert werden müsse.

Es ist zunehmend Präventionsarbeit gefordert. Repressives Handeln hilft wenig, denn Ziel muss sein, Datenschutzverstöße im Vorfeld zu verhindern, statt im Nachhinein zu sanktionieren. Das gelingt nur, wenn Behörden ihre Aufgabe als Berater und Begleiter der Digitalisierung verstehen.

Microsoft 365 – so sollte Datenschutzaufsicht nicht sein – F.A.Z.

Sie benennen immerhin in ihrem Text ein Praxisbeispiel – ,den Code of Conduct mit dem Titel „Trusted Data Processor“ aus Baden-Württemberg – wie eine Zusammenarbeit von Datenschutzbehörden, Verwaltung und Unternehmen aussehen könne. Ein Teil des Autorenteams ist Mitherausgeber von Schwartmann/Benedikt/Reif, „Datenschutz im Internet“, einem Rechtshandbuch, das 2023 erscheinen wird.

Erfolgreiche Digitalprojekte mit Datenschutz? Wie kriegt man die Kuh vom Eis?

Doch bleibt ein mehr als fader Beigeschmack. Es scheint so, dass wir uns in einer Sackgasse befinden, weil Datenschutz und digitaler Fortschritt einfach nicht zusammen passen? Oder ist das nur vorgeschoben, um die eigene Monopolstellung zu rechtfertigen – der Fall Microsoft – oder gescheiterte Projekte und Projektanläufe zu „entschuldigen“. Will (oder kann) sich keiner so richtig bewegen. Es entsteht der Eindruck, dass man mehr übereinander und nicht wirklich miteinander redet und Finger-Pointing bevorzugt.

Wo hakt es? Wollen die Datenschutzbehörden nicht helfen und mitarbeiten? Ich habe Aussagen von Ulrich Kelber im Gedächtnis, wo er genau das einfordert und anbietet. Oder fragen Unternehmen wie Microsoft einfach nicht nach Zusammenarbeit und Hilfe? Denen wird oft unterstellt, dass sie sich nicht in die Karten oder in den Code schauen lassen wollen oder gar die gewonnenen Daten vermarkten wollen. Die Situation scheint festgefahren und eine konstruktive Zusammenarbeit nicht möglich. Es benötigt große Leuchtturmprojekte, die man bald, jetzt gemeinsam realisiert, um das Vertrauen aufzubauen, dass Datenschutz und digitaler Fortschritt zusammen passen (können).

Was „droht“ Unternehmen, die Microsoft365 einsetzen?

Zum Abschluss nochmals zurück zum konkreten Fall Microsoft365. In einem Beitrag auf ZDNet – dort ist auch die Argumentation von Microsoft abgebildet – wird Andrea Wörrlein, Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug, zur Situation zitiert

Geschäftsführer und IT-Leiter, die Microsoft 365 in ihren Unternehmen einsetzen, verstoßen demnach nach wie vor gegen die DSGVO, riskieren also hohe Strafzahlungen und stehen mit einem Bein im Gefängnis. Gleiches gilt für Behörden, Organisationen und kritische Infrastrukturen (Kritis). Auch hier verbietet sich der Einsatz von Software, die nachweislich und erklärtermaßen gegen geltendes Recht verstößt, quasi von selbst.

ZDNet / Regulierung Microsoft 365 datenschutzwidrig

Da wird mancher IT-Leiter schlucken. Da tut es gut, dass Ulrich Kelber – seines Zeichens Datenschutzbeauftragter des Bundes – sich auch zu den möglichen nächsten Schritten für Unternehmen die Microsoft365 einsetzen, äußert:

Der Beschluss ist doch gerade erst getroffen werden. Als nächster Schritt wird bei Beschwerden und bei Kontrollen geprüft, wie Verantwortliche zB MS 365 einsetzen. Und erst dann kann Bescheid erlassen werden, der noch gerichtlich angefochten werden kann. Im Rechtsstaat kann (zum Glück) keine Behörde einfach so handeln, außer es ist Gefahr im Verzug

https://bonn.social/@ulrichkelber/109496846499200066

Bild von Jerzy Górecki auf Pixabay

DSGVO-konforme Share-Funktion Shariff Wrapper des c't Magazins

1 Kommentar zu „Microsoft365 und der Datenschutz – #DSGVO als Verhinderungsmonster? Wie kriegt man die Kuh vom Eis? #9vor9“

  1. Habt ihr die letzen 30 Jahre vergessen? Microsoft ist und war noch nie eine vertrauenswürdige Firma. So einen Partner möchte man nicht in Behörden und kritische Infrastruktur haben

    – Monopolmisbrauch (mehrfach verurteilt z.b. 2013 561-Millionen-Strafe an EU)
    – Telemetrie-Datensammlung (welche nur scheinbar anonym sind) können nicht (Privatanwender) oder nur sehr schwer abgeschalten werden und aktivieren sich ggf wieder.
    – Zwangsupgrade auf Windows 10 (inklusive Massiver Einsatz von Darkpatterns)
    – Snowden: Microsoft hat direkt Zugriff durch NSA bestättigt
    – STuxnet (ermöglicht durch 20-30 Jahre alte Sicherheitslücken in Microsoft über alle Betriebsystemvarianten hinweg)

Kommentar verfassen