Organisationen können Microsoft 365 nicht verwenden und das Europäische Datenschutzgesetz DSGVO (AVG auf Niederländisch) einhalten. Das ist die harte Schlussfolgerung, die jetzt in Deutschland gezogen wurde. Vor kurzem hat die französische Regierung bereits die Führung bei der Ablehnung des Cloud-Angebots von Microsoft für die Bildungswelt übernommen. Möglicher Datenzugriff der US-Regierung ist nur einer der Stolpersteine.
Eine Arbeitsgruppe aus Datenschutzaufsichtsbehörden von Bund und Ländern in Deutschland hat eine vernichtende Stellungnahme zum 365-Angebot des Cloud-Anbieters Microsoft abgegeben. Die Nutzung dieser Dienste verstößt gegen die gesetzlichen Bestimmungen der DSGVO (Datenschutzgrundverordnung). Dies liegt zum Teil an der theoretischen Möglichkeit, dass die US-Regierung Daten von europäischen Nutzern anfordern könnte. Zum Teil rührt die deutsche Ablehnung auch von der Feststellung her, dass die Datenverarbeitungserklärung von Microsoft nicht ordnungsgemäß erklärt, wie das Unternehmen selbst Daten für seine eigenen Zwecke verwendet.
Die Microsoft 365-Benutzervereinbarung enthält Bestimmungen, die dem Anbieter das Recht einräumen, Endbenutzerdaten für verschiedene Geschäftszwecke zu verwenden. Ein Beispiel hierfür ist das generisch formulierte Ziel der ‚Verbesserung der erbrachten Leistungen‘. Neben Telemetriedaten (zum Betrieb und zur Nutzung von Software und Hardwarekonfiguration) können dies auch personenbezogene Daten sein. Telemetrie- und Diagnosedaten werden von Microsoft in großem Umfang gesammelt, weiß die Arbeitsgruppe.
Die kritische Aussage, Microsoft 365 für illegal zu erklären, ist formal nur eine Einschätzung und keine tatsächliche Entscheidung, die direkt zur Durchsetzung führt. Es mag sein, aber die Frage ist wann, wie und von wem. Diese Art von Fällen kann viel Zeit in Anspruch nehmen, die Umsetzung von Korrekturmaßnahmen ist komplex und aufgrund des EU-weiten Charakters der DSGVO kann die Durchsetzung über die Länderebene hinausgehen.
In der Praxis ist die Nutzung der Cloud-Dienste von Microsoft – wie die anderer US-Anbieter – tief in den Regierungssektor, die Wirtschaft, das Bildungswesen und die Gesellschaft vorgedrungen. Es zu verbieten und loszuwerden wäre schwierig oder sogar praktisch unmöglich. Es ist sowieso eine kostbare Sache.
Das harte Fazit, das jetzt eine spezielle Arbeitsgruppe der deutschen Datenschutzkonferenz (DSK) gezogen hat, folgt auf mehr als zwei Jahre Forschung. Es gab auch umfangreiche Konsultationen mit Microsoft. Die Recherche zu Office 365 (wie das Cloud-Angebot damals hieß) begann am 22.September 2020. Microsoft wurde Ende des Jahres von der eingesetzten Arbeitsgruppe zitiert. Bis dahin wurde der Cloud-Anbieter zu gewissen Anpassungen überredet. Diese haben sich jedoch als unzureichend erwiesen, um die harsche Ablehnung durch die deutschen Regulierungsbehörden abzuwenden.
Der Autor: Karl Mayer
Karl Mayer arbeitete als freiberuflicher Journalist beim Wirtschaftsblatt Hamburg. Er liebt Makroökonomie und Geopolitik
