Andrea Wörrlein, Geschäftsführerin von VNC in Berlin und Verwaltungsrätin der VNC AG in Zug, sieht für VNC die jüngste Entscheidung der Datenschutzkonferenz die eigene Einschätzung bestätigt: „Herstellerexklusiv gehostete Closed-Source-Software ist prinzipiell nicht konform mit deutschem und europäischem Datenschutzrecht.
Das Ziel ist verfehlt, die Unsicherheit bleibt. Trotz umfangreicher Änderungen an den Nutzungsbedingungen („Products and Services Data Protection Addendum“) ist Microsoft 365 weiterhin nicht datenschutzkonform. Zu diesem ebenso richtigen wie vernichtenden Urteil kommt die aktuelle 104. Datenschutzkonferenz, in der die Datenschutzaufsichtsbehörden des Bundes und der Länder vertreten sind. Geschäftsführer und IT-Leiter, die Microsoft 365 in ihren Unternehmen einsetzen, verstoßen demnach nach wie vor gegen die DSGVO, riskieren also hohe Strafzahlungen und stehen mit einem Bein im Gefängnis. Gleiches gilt für Behörden, Organisationen und kritische Infrastrukturen (Kritis). Auch hier verbietet sich der Einsatz von Software, die nachweislich und erklärtermaßen gegen geltendes Recht verstößt, quasi von selbst.
Fast könnte man Mitleid haben mit einem Konzern, der verzweifelt versucht, aus seinem notorisch löchrigen Flaggschiff mit allerlei juristischem Flickzeug ein vermeintlich sicheres Datenvehikel zu machen – oder ihm zumindest diesen Anschein zu geben. Allein, mit sicherer, datenschutzkonformer Software hat dieser Schritt ebenso wenig zu tun wie mit der digitalen Souveränität der Nutzer. Das liegt an dem Grundproblem von Closed Source: Niemand weiß, was in der hermetischen Black Box tatsächlich passiert.
Keiner außer Microsoft selbst und einigen amerikanischen Behörden hat Zugriff oder Einblick. Was dort passiert, welche Daten wie, wann und von wem analysiert, genutzt und weitergegeben werden, bleibt exklusives Herrschaftswissen. Die Unvereinbarkeit von Microsoft 365 mit Datenschutzgesetzen ist also kein handwerklicher Fehler, sondern prinzipbedingt und unverzichtbarer Teil des Geschäftsmodells.
Wie es anders geht, zeigt Open-Source-Software: individuell adaptierbar, eigenständig kontrollierbar, unabhängig auditierbar und auf vielen Plattformen verfügbar. Statt blauäugig auf vollmundige, aber unkontrollierbare Versprechen vertrauen zu müssen, bleiben Nutzer mit Open Source die Herren ihrer eigenen Daten und werden nicht in eine rechtliche Grauzone mit alternativlosem Vendor-Lock-in gezwungen. Wer Vertrauen nicht mit Naivität verwechselt, liegt mit Open Source richtig.“
Elmar Eperiesi-Beck, Geschäftsführer von eperi, sieht es etwas anders: „Ich begrüße es ausdrücklich, dass die Datenschutzkonferenz (DSK) festgestellt hat, dass der Einsatz des Cloud-Dienstes Microsoft 365 datenschutzwidrig ist. Damit hat die DSK ihr Urteil aus dem Jahr 2020 zu Recht bestätigt, denn Microsoft hat in den vergangenen zwei Jahren lediglich bei einigen Details nachgebessert, die grundlegende Anforderung der DSGVO (gem. Schrems II) aber nicht erfüllt. Insbesondere beanstandet die DSK, dass Microsoft nicht klar genug angibt, welche Daten von dem Unternehmen „für eigene Zwecke verwendet werden können.“
Der große Irrtum
Mit der folgenden Einschätzung liegt die DSK allerdings daneben: „Die naheliegende Möglichkeit der Verschlüsselung der verarbeiteten Daten ist regelmäßig nicht möglich, beispielsweise wenn die Daten im Browser angezeigt werden müssen. Microsoft hat somit regelmäßig und letztlich schon zur Erfüllung vertraglicher Leistungspflichten die Möglichkeit, Daten im Klartext zu lesen.“ Angesichts der Tatsache, dass die DSK aus Datenschutzexperten besteht, die auch über ein grundlegendes Verständnis von IT verfügen sollten, überrascht diese Feststellung ebenso wie der technische Offenbarungseid „Für diesen Anwendungsfall ist es den Aufsichtsbehörden bislang nicht gelungen, ergänzende Schutzmaßnahmen zu identifizieren, die zu einer Rechtmäßigkeit des Datenexports führen könnten.“
Für genau diesen Anwendungsfall (und prinzipiell jede Cloud-Anwendung) existiert eine Schutzmaßnahme, die zu einer Rechtmäßigkeit des Datenexports führt: der Einsatz eines Verschlüsselungs-Gateways, das die Daten codiert, bevor sie in die Cloud übertragen werden. Kurz gesagt sind Organisationen mit einem solchen Gateway selbst in der Lage, den unbefugten Zugriff auf Daten in der Cloud mit höchsten Sicherheitsstandards abzuwehren. Die Lösung gewährleistet, dass alle sensiblen Informationen sicher verschlüsselt werden, bevor sie an die Microsoft 365 Cloud übertragen werden. Nur autorisierte Personen in einer Organisation haben Zugriff auf die unverschlüsselten Daten. Auch Administratoren oder Mitarbeiter in externen Rechenzentren oder bei Microsoft können nicht im Klartext auf die Daten zugreifen. Das gilt insbesondere auch dann, wenn ein Browser für die Anzeige der Informationen genutzt wird.
Die Verschlüsselung erfolgt ausschließlich innerhalb eines Unternehmens oder einer Behörde. Kritische Daten werden damit für Unbefugte wertlos, sobald sie in die Cloud übertragen werden. Beim Einsatz eines Verschlüsselungs-Gateways auf dem aktuellen Stand der Technik merken Endanwender keinen Unterschied und können die wichtigen Microsoft Office 365-Funktionalitäten innerhalb der Cloud DSGVO-konform nutzen.
Die Fälle Schrems I und Schrems II des EU-Gerichtshofs (EuGH) haben ebenso wie die Beurteilungen durch die DSK wieder und wieder belegt, dass von US-amerikanischen Cloud-Dienst-Anbietern keine DSGVO-konformen Angebote zu erwarten sind. Dazu sind sie schon rechtlich gar nicht in der Lage, weil die US-Regierung immer einen Zugriff auf Daten einfordern wird, wenn sie diesen als „verhältnismäßig“ betrachtet. So gerade wieder geschehen in Joe Bidens Executive Order zum Datenschutz-Abkommen mit der EU. Wie Max Schrems bereits feststellte, haben die EU und die USA unterschiedliche Auffassungen darüber, was verhältnismäßig ist. Darum gilt es für Unternehmen und Behörden, das Menschenrecht auf Datenschutz jetzt ernst zu nehmen und die Sicherung sensibler Daten in der Cloud durch die Nutzung eines Verschlüsselungs-Gateways selbst in die Hand zu nehmen.“
Stellungnahme von Microsoft Deutschland zur datenschutzrechtlichen Bewertung von Microsoft 365 durch die DSK:
Mit ihrem am 25.11.2022 veröffentlichten Bericht haben die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) Bedenken in Bezug auf die Datenschutzkonformität von Microsoft 365 geäußert. Wir nehmen die Bedenken der DSK ernst. Jedoch halten wir viele der datenschutzrechtlichen Einschätzungen sowie die Schlussfolgerungen der DSK für grundlegend falsch.
Microsoft 365 ist datenschutzkonform einsetzbar. Bereits mit unserer Stellungnahme vom 17.08.2022 haben wir auf Bedenken von Datenschutzbehörden reagiert und erläutert, warum Microsoft Produkte und Dienste in der Privatwirtschaft und im öffentlichen Sektor (z. B. an Schulen) datenschutzkonform eingesetzt werden können. Wir haben Anregungen der DSK aufgenommen und am 15.09.2022 Verbesserungen an unserem Auftragsverarbeitungsvertrag (DPA) umgesetzt.
Dies unterstreicht, dass Microsoft auch weiterhin an einem konstruktiven und lösungsorientierten Austausch mit Datenschutzbehörden interessiert ist. Im Interesse der Transparenz befürwortet Microsoft die Veröffentlichung des detaillierten Berichts der DSK zum DPA vom 19.09.2022 (abzüglich gezielter Auslassungen zur Wahrung von Geschäftsgeheimnissen) zusammen mit den damaligen detaillierten Anmerkungen von Microsoft.
Technologie für Europa
Microsoft ist sich seiner Verantwortung als globaler Technologieanbieter mit mehr als einer Milliarde Nutzern in 140 Ländern bewusst. Die Cloud muss sicher sein und Datenschutz und digitale Souveränität respektieren. Dazu gehört, Europa bei der Umsetzung seiner digitalen Ambitionen zu unterstützen. Deshalb bieten wir Technologielösungen an, die europäischen Gesetzen und Erwartungen (in Bezug auf Sicherheit und Datenlokalisierung) entsprechen.
Bereits jetzt speichert Microsoft Kundendaten weitgehend regional in Rechenzentren in der EU. Zusätzlich – über die gesetzlichen Anforderungen hinaus – wird die Microsoft EU Datengrenze bald in der EU ansässigen Kunden aus dem öffentlichen Sektor und Unternehmenskunden ermöglichen, ihre Daten innerhalb der EU zu speichern und auch zu verarbeiten.
Die EU-Datengrenze wird Datenflüsse nach außerhalb der EU maßgeblich reduzieren und noch größere Transparenz mit detaillierter Dokumentation zu verbleibenden, notwendigen Datenflüsse herstellen.
MICROSOFTS ANTWORTEN AUF DIE BEDENKEN DER DSK
(1) Welcher Auslegungsmaßstab für die DS-GVO?
(2) Anforderungen an die Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO
Bedenken der DSK: Microsoft legt nicht vollumfänglich offen, welche Verarbeitungen im Einzelnen stattfinden. Verantwortliche können auf dieser Grundlage ihren Rechenschaftspflichten nach Art. 5 Abs. 2 DS-GVO nur schwer nachkommen.
Antwort von Microsoft:
(a) Ausufernde Erwartungen an die Rechenschaftspflicht
(b) Detailgrad der von Microsoft bereitgestellten Dokumentation
siehe z.B. den Europäische Datenschutzausschuss und seine „Guidelines 07/2020 on the concepts of controller and processor in the GDPR”, Rn. 40: „Essential means” are traditionally and inherently reserved to the controller. While non-essential means can also be determined by the processor, essential means are to be determined by the controller. […] “Non-essential means” concern more practical aspects of implementation, such as the choice for a particular type of hard- or software or the detailed security measures which may be left to the processor to decide on.”).
(3) Festlegen des Vertragsgegenstandes
Bedenken der DSK: Microsoft sieht programmatisch im DPA keine ausreichende Konkretisierung der durch den Kunden intendierten Verarbeitungstätigkeiten vor, und dies genügt nicht Art. 28 Abs. 3 Satz 1 DS-GVO.
Antwort von Microsoft:
(4) Verarbeitungen für Geschäftstätigkeiten von Microsoft
Bedenken der DSK: Das DPA enthält unzureichend eingegrenzte Verarbeitungsbefugnisse der möglichen Geschäftstätigkeiten, und dies stellt öffentliche Stellen bei der Erfüllung ihrer Rechenschaftspflichten vor erhebliche Hindernisse.
Antwort von Microsoft:
(a) Widersprüchliche Auslegung der DS-GVO seitens der Behörden in Europa
(b) Rechtsgrundlage
(c) Keine „eigenen Zwecke“ losgelöst von Kundeninteressen
Abrechnung und Planung jedes komplexen Cloud-Produktes, nicht nur bei Microsoft. Microsoft hebt sich durch seine Transparenz in dieser Frage hervor.
(d) Rein akademische Diskussion
o Microsoft greift nicht auf Inhaltsdaten von Kunden zu;
o Wie oben dargestellt, ist zum Zeitpunkt der Nutzung der nicht-personenbezogenen Daten für die Geschäftstätigkeiten von Microsoft der Anwendungsbereich der DSGVO bereits verlassen; und
o Microsoft sagt Kunden im DPA zu, dass (i) die Datennutzung minimiert wird (etwa durch die Pseudonymisierung bereits bei der Erhebung) und (ii) keine Nutzung für sonstige (etwas Werbe- oder Profilierungszwecke) erfolgt.
zumindest in dieser Pauschalität diametral im Gegensatz zur gesellschaftlich und politisch geforderten Digitalisierung der öffentlichen Hand.
(5) Mutmaßlicher Konflikt zwischen Weisungsbindung des Auftragsverarbeiters und Offenlegungs-Verpflichtungen drittstaatlichen Rechts (CLOUD Act, FISA 702)
Bedenken der DSK: Das DPA schränkt das Weisungsrecht des Kunden in Bezug auf Offenlegungen der im Auftrag verarbeiteten Daten ein.
Antwort von Microsoft:
Weisungen sowie Modalitäten für weitere Weisungen des Kunden an Microsoft.
(b) CLOUD Act, FISA 702 etc.
Neben anderen amerikanischen Technologieanbietern können auch Anbieter mit Stammsitz innerhalb der EU (z. B. Unternehmen des DAX-Index) USÜberwachungsgesetzen unterliegen, etwa durch eine Präsenz in oder minimalen Kontakt mit den USA.
(6) Umsetzung technischer und organisatorischer Maßnahmen nach Art. 32 DS-GVO
Bedenken der DSK: Es bleiben Rechtsunsicherheiten, da die Garantien über „Sicherheitsmaßnahmen“ formal nur eine Teilmenge der vertragsgegenständlichen personenbezogenen Daten erfassen.
Antwort von Microsoft:
Weitere Details dazu finden Kunden im Service Trust Portal.8
(7) Löschung und Rückgabe personenbezogener Daten
Bedenken der DSK: Rückgabe- und Löschverpflichtung entsprechen nicht in jedem Fall den gesetzlichen Anforderungen aus Art. 28 Abs. 3 UAbs. 1 Satz 2 Buchstabe g DS-GVO.
Antwort von Microsoft: Das DPA ermöglicht dem Kunden sehr wohl in datenschutzkonformer Weise die Löschung sowie die Extraktion von Daten (die bei Cloud-Diensten die einzige einer Rückgabe entsprechende sinnvolle Option ist).
(8) Informationen über Unterauftragsverarbeiter
Bedenken der DSK: Microsoft informiert nur darüber, dass Änderungen an Unterauftragsverarbeitern geplant sind, nicht jedoch welche Änderungen konkret beabsichtigt sind. Die bereitgestellten Informationen sind nicht detailliert genug.
Antwort von Microsoft:
(9) Datenübermittlungen in Drittstaaten: Zusätzliche Schutzmaßnahmen entsprechend der Schrems II-Rechtsprechung
Bedenken der DSK: Die zusätzlichen Schutzmaßnahmen im DPA mit Bezug auf Datentransfers reichen nicht aus.
Antwort von Microsoft:
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…