Für die meisten Menschen sind die Dienste von Microsoft nicht mehr aus dem Alltag wegzudenken. Seit 2015 verfolgt Microsoft das Ziel seine Kundinnen und Kunden von lokalen Installationen ihrer Produkte auf cloudbasierte Services umzusatteln. Durch den Umstieg auf Microsoft 365 könnten Kundinnen und Kunden flexibel auf ihre Daten zugreifen und würden immer von der neuesten Version profitieren. Der Umstieg von einer lokalen Installation auf einen cloudbasierten Service hat aber auch eine Kehrseite. Durch das Speichern von Daten auf der Cloud gibt der Kunde absolute Kontrolle über diese Daten auf.

Microsoft 365 und Datenschutz

Für die meisten Menschen sind die Dienste von Microsoft nicht mehr aus dem Alltag wegzudenken. Seit 2015 verfolgt Microsoft das Ziel seine Kundinnen und Kunden von lokalen Installationen ihrer Produkte auf cloudbasierte Services umzusatteln. Durch den Umstieg auf Microsoft 365 könnten Kundinnen und Kunden flexibel auf ihre Daten zugreifen und würden immer von der neuesten Version profitieren. Der Umstieg von einer lokalen Installation auf einen cloudbasierten Service hat aber auch eine Kehrseite. Durch das Speichern von Daten auf der Cloud gibt der Kunde absolute Kontrolle über diese Daten auf.

Am 22. September 2020 war die Datenschutzkonferenz (DSK) zu dem Schluss gekommen war, dass ein datenschutzgerechter Einsatz von Microsoft 365 nicht möglich wäre. Erörtert wurde diese Entscheidung damals in einem separaten Beitrag.

Kritisiert an dem Beschluss der DSK wurde einiges. Zum einen wird aufgeführt, dass unklar sei für welche Produktvarianten und Konfigurationen von Microsoft 365 diese Aussage gelte. Ebenfalls kritisiert wird, dass die Entscheidung der DSK mit gerade mal 9 von 17 Stimmen ergangen sei. Die Bewertung der DSK sei einigen Parteien zu undifferenziert gewesen und hätte die Implikationen des Schrems-II-Urteils nicht ausreichend berücksichtigt.

Der Beschluss der DSK war jedoch nicht der einzige. Im Mai 2021 hat sich der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg gegen eine Nutzung von Microsoft Office 365 an Schulen ausgesprochen. Begründet wird die Entscheidung unter anderem damit, dass keine Kontrolle über das Gesamtsystem und den US-Amerikanischen Auftragsverarbeiter besteht. Des Weiteren sei es nicht nachvollziehbar genug, welche personenbezogenen Daten zu welchen Zwecken verarbeitet werden würden. Aufgrund dessen wäre es auch nicht belegbar, dass die Verarbeitung von personenbezogenen Daten auf ein nötiges Minimum begrenzt ist. Microsoft wäre folglich seiner Rechenschaftspflicht nach Art. 5 II DSGVO nicht gerecht geworden. Für manche Datenübermittlungen sei auch keine Rechtsgrundlage erkennbar gewesen, obwohl diese gemäß DSGVO explizit erforderlich ist.

Nach Ansicht des LfDI Baden-Württemberg bestand im Ergebnis ein zu hohes Risiko der Verletzung von Rechten und Freiheiten von Lehrern, Schülern und Eltern.

Eingegangen auf die Problematik des Einsatzes von Microsoft 365 an Schulen sind die Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) bereits in ihrem Jahresbericht von 2019. Bereits hier wurde die rechtsgrundlagenfreie Verarbeitung von personenbezogenen Daten zu persönlichen Zwecken kritisiert. Während in dem Jahresbericht 2019 bereits versichert wurde, dass mit Hochdruck an einer gemeinsamen Lösung zwischen den Datenschutzbehörden gearbeitet werde, musste die BlnBDI im Jahresbericht 2020 feststellen, dass die Probleme fortbestehen. Es sei zu keiner Einigung zwischen den Datenschutzbehörden des Bundes und der Länder gekommen, wie der Einsatz von Microsoft 365 zu bewerten ist. Während zwar grundsätzlich ein mehrheitlicher Beschluss der DSK am 22. September 2020 ergangen ist, möchte die DSK weitere Gespräche mit dem Unternehmen führen, um Nachbesserungen zu erreichen. Dieser Prozess habe allerdings keine Auswirkungen auf die Bewertung des sich derzeit auf dem Markt befindenden Produkts.

Eine Einwilligung der Eltern in die Nutzung von Microsoft, die vielerorts durch Schulen eingeholt wurden, stellen keine Lösung des Problems dar. Es ist nämlich grundsätzlich nicht möglich in eine rechtswidrige Datenverarbeitung einzuwilligen. Selbst wenn eine Verarbeitung nicht rechtswidrig erfolgt, muss die Einwilligung laut DSGVO dennoch freiwillig und informiert erfolgen. Aufgrund der Über-/Unterordnungsverhältnisse an einer Schule könnte laut der BlnBDI aber eine Einwilligung nicht freiwillig erfolgen.

Auch eine informierte Einwilligung wäre laut BlnBDI nicht möglich. Dies würde sich daraus ergeben, dass die Schule als Auftraggeberin aufgrund der unklaren und widersprüchlichen Regelungen im Auftragsverarbeitungsvertrag nicht in der Lage die mit der Nutzung der Software verbundenen Datenverarbeitungen auf ihre Datenschutzkonformität zu überprüfen. Somit kann die Schule nicht ihrer Rechenschaftspflicht nach DSGVO nachkommen. Eine informierte Aufklärung der Eltern seitens der Schule ist nach Ansicht der BlnBDI folglich auch nicht möglich. Auch nach Ansicht der BlnBDI wäre ein datenschutzkonformer Einsatz von Microsoft 365 an Schulen somit nicht möglich.

Ebenfalls bemängelt wird der Datenschutz von Microsoft 365 von dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) im Tätigkeitsbericht 2020. Hier wird vor allem die Sammlung von Telemetriedaten als Problembereich für den Datenschutz identifiziert. Microsoft erhebt nach eigenen Angaben Telemetriedaten, um die Stabilität des Systems zu überprüfen, um die Quellen von Fehlern leichter zu ermitteln und um die Funktionalität des Systems zu verbessern.

Verhindern werden kann die Erhebung von Telemetriedaten nur eingeschränkt. Während Microsoft behauptet, dass eine Erhebung von Telemetriedaten durch die Nutzung der Telemetriestufe „Security“ komplett ausgeschlossen wäre, ist diese Option nur bei Windows 10 Enterprise und Education möglich und würde nach Ansicht der DSK und des Bundesamts für Sicherheit in der Informationstechnik (BSI) nicht zu einem kompletten und dauerhaften Ausschluss der Datenübermittlung führen. Es käme nach wie vor zu Datenübermittlungen an Microsoft, die in ihrem genauen Umfang nicht analysiert werden könnten. Verantwortliche müssten somit nach wie vor durch zusätzliche vertragliche, technische und organisatorische Maßnahmen sicherstellen, dass keine Übermittlung von Telemetriedaten stattfindet.

Eine ganz andere Sorge stellt der CLOUD-Act für die Datenschutzbehörden dar. Dieser ermöglicht es US-Geheimdiensten Zugriff auf gespeicherte Daten zu erhalten, wenn diese von einem amerikanischen Unternehmen außerhalb der Vereinigten Staaten gespeichert werden.

In der Schweiz haben kantonale Datenschützer bedenken bei der Anwendung von Microsoft 365 in Behörden und anderen öffentlichen Organen geäußert. Microsoft könne durch Microsoft 365 Zugriff auf sensible Daten erhalten, wenn diese nicht nur im verwaltungsinternen Netz abgespeichert werden, sondern auch in der Cloud. Während ein Einsatz dieser Produkte während der Corona-Krise grundsätzlich geduldet wird, seien die Voraussetzungen für einen Einsatz nach der Corona-Krise nicht gegeben.

In den Standardvertragsklauseln von Microsoft wurden laut eigenen Angaben bereits Änderungen vorgenommen, um den Schutz des Kunden gegenüber dem CLOUD-Act so umfangreich wie möglich zu gestalten. So würde zum einen ein Kunde kontaktiert werden, wenn Microsoft durch eine staatliche Anordnung dazu verpflichtet werden sollte Daten dieses Kunden an die US-Sicherheitsbehörden herauszugeben. Des Weiteren hat Microsoft sich dazu verpflichtet den Rechtsweg gegenüber solchen Anordnungen zu beschreiten und US-Gerichte anzurufen, um die behördliche Anordnung zur Herausgabe der Daten anzufechten. Ebenfalls integriert wurde ein Anspruch auf Schadensersatz für betroffene Personen, deren Daten unrechtmäßig verarbeitet wurden und dadurch einen materiellen oder immateriellen Schaden erlitten haben.

Microsoft selbst verweist auch auf die Möglichkeit durch die Verschlüsselung der eignen Daten das Zugriffsrecht von US-Geheimdiensten technisch auszuhebeln. So wäre man nach Ansicht von Microsoft auch dann abgesichert, wenn die US-Behörden Zugriff auf die Daten erlangen, da Microsoft selbst keine Möglichkeit hat diese Daten zu entschlüsseln. Ebenfalls angebracht wird die Tatsache, dass Zugriffe mittels des CLOUD-Acts bis jetzt kaum erfolgt seien, was nach der Ansicht mancher Literatur ebenfalls zu berücksichtigen wäre. Microsoft nimmt zunehmend mehr Rechenzentren in der EU und in der Schweiz in Betrieb und eröffnet Unternehmen die Möglichkeit ihre Daten ausschließlich in diesen Rechenzentren zu speichern. Dem Zugriff durch US-Geheimdiensten kann damit aber nicht entgangen werden.

Ein Einsatz von Microsoft 365 ist somit nicht risikofrei, dieses Risiko kann aber durch spezifische Anpassungen auf Grundlage kompetenter Beratung minimiert werden.