Europaweit haben Datenschützer Probleme mit Microsofts Bürosoftwarepaket Office 365: Jüngst kam die deutsche Datenschutzkonferenz des Bundes und der Länder (DSK) zu dem Schluss, dass ein "datenschutzgerechter Einsatz von Microsoft Office" nicht möglich sei. Zuvor hatte die französische Datenschutzbehörde französische Gesundheitsbehörden dazu aufgefordert, Daten nicht mehr bei Microsofts Cloud-Diensten zu hinterlegen, da ihre Sicherheit nicht gewährleistet werden könne – mit Verweis auf US-amerikanische Überwachungsgesetze. Die niederländische Datenschutzbehörde hatte hingegen dem Unternehmen aufgrund seiner intransparenten Sammlung von Nutzerdaten ein Vorgehen bescheinigt, das gegen die Datenschutzgrundverordnung (DSGVO) verstößt. Damit erreichte sie, dass Microsoft zumindest im Fall von Office 365 einige Vertragsänderungen durchführte.

Keine Kontrolle

Die Datenschützer haben eine Reihe an Punkten bei Microsofts Produktpalette auszusetzen – und dabei ist Office nur eines der Dienste, die infrage gestellt werden. Der Europäische Datenschutzbeauftragte (EDSB) kommt in einem Prüfverfahren, bei dem die Verwendung von Microsoft-Produkten durch EU-Institutionen im Vordergrund stand, zu einem vernichtenden Ergebnis: Demnach seien etwa Microsofts Datenschutzbestimmungen so unpräzise, dass sie dem US-Konzern die Kontrolle über die Datenverarbeitung seiner Nutzer gewähren. Das Unternehmen sei damit ein "nicht transparenter Controller" – daher empfiehlt der EDSB, die Abkommen mit Institutionen der Union umzuwerfen und neu zu verhandeln.

Fraglich sei auch der Umgang mit Telemetriedaten – also Messwerte wie beispielsweise Absturzberichte – und die Frage, US-Behörden Zugriff auf diese haben. Hier habe Microsoft zwar nachgebessert, erklärt der Jurist Romain Robert von der Datenschutzorganisation Noyb im STANDARD-Gespräch. "Jedoch betreffen diese Verbesserung vor allem einige wenige Services, wie zum Beispiel Windows Enterprise, aber nicht alle Microsoft-Produkte."

Untersuchung fand mehrere Defizite

Die DSK, die Microsofts Datenschutz als unzureichend einschätzt, basiert ihre Bewertung auf eine Untersuchung ihres Arbeitskreises Verwaltung vom 15. Juli. Diese verweist unter anderem darauf, dass die Nutzungsbedingungen des Konzerns für Office 365 intransparent seien, wie ein von "Heise" eingesehenes Positionspapier offenbart: So werden wie auch vom EDSB die fehlenden Angaben zu den Formen und dem Zweck der Datenverarbeitung in den Nutzungsbedingungen beanstandet. Außerdem lege das Unternehmen nicht ausreichend offen, inwiefern personenbezogene Daten sicher sind.

Auch gebe es den Kontrolleuren zufolge keine Rechtsgrundlage für das Speichern von Telemetrie-Daten. Dabei handelt es sich um Daten und Informationen, die Microsoft bei der Nutzung seiner Software sammelt. Den Datenschützern reicht Microsofts Angabe nicht aus, dass Nutzerdaten auch weitergegeben werden müssten, wenn das beispielsweise gesetzlich angeordnet wird. Der 2018 erlassene Cloud-Act verpflichtet US-Unternehmen dazu, Nutzerdaten auf Antrag von Gerichten freizugeben. Allerdings ist die Einschätzung innerhalb der DSK umstritten: Acht von 17 Behörden stimmten dagegen, weil sie die Bewertung für "zu undifferenziert" halten.

Sensible Daten

Die von den Datenschützern aufgezeigten Datenschutzverstöße sind dennoch vor allem dann problematisch, wenn die Dienste für sensible Zwecke genutzt werden – so müssen beispielsweise Diplomaten und Politiker sich sicher sein, dass sie nicht überwacht werden. Microsoft müsse daher, wie Robert erklärt, EU-Institutionen versichern, dass ihre Daten nicht weitergegeben werden. "Die EU-Institutionen und Microsoft US haben Standardvertragsklauseln (SCC) unterzeichnet, die vorsehen, den Transfer von Daten in die USA zu ermöglichen. Allerdings gibt das EU-Parlament an, dass keine Daten außerhalb der Union versendet werden. Wir haben daher starke Zweifel daran, dass das stimmt", sagt Robert. Die sogenannten SCC sind Teil der DSGVO und regeln den Datenaustausch mit Drittländern.

Hinzu kommt, dass Privacy-Shield-Urteil des EuGH im Juli, mit dem der Datenschützer Max Schrems das Übereinkommen zwischen der EU und den USA zur Übertragung von Nutzerdaten gemeinsam mit seiner NGO Noyb kippte. Seitdem werden SCC als Alternative genutzt. Europäische Datenschutzgesetze stehen im Konflikt mit der US-Judikatur – Erstere schreiben einen sensiblen Umgang mit Daten vor, die Weitergabe an einen Drittstaat ist nur gestattet, wenn auch dort ein bestimmtes Schutzniveau erreicht wird. Vorrausichtlich werden die EU und die Vereinigten Staaten nach den US-Wahlen eine neue Vereinbarung treffen. (Muzayen Al-Youssef, 25.10.2020)