Datenschutz bei Office 365: Kunden müssen Funktionen "nicht vollständig verstehen"

Der US-Softwarekonzern Microsoft reagiert in scharfer Form auf die Einschätzung der deutschen Datenschutzbehörden, wonach der Einsatz des Office-Pakets Microsoft 365 in Behörden, Schulen oder Unternehmen weiterhin nicht rechtskonform ist. Einige Datenschutzbehörden schienen die EU-Datenschutzgrundverordnung (DSGVO) "übermäßig risikoscheu und die Pflichten von Verantwortlichen ausufernd auszulegen", heißt es in einer siebenseitigen Stellungnahme (PDF) des Unternehmens vom 25. November 2022. "Ein ausufernder Aufsichtsansatz, der keinen Betroffenenschutz mehr verfolgt, macht Datenschutz zum dogmatischen Selbstzweck", kritisiert Microsoft.

Die Konferenz der Datenschutzbeauftragten von Bund und Ländern (DSK) hatte in der vergangenen Woche beschlossen, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, derzeit nicht geführt werden könne. Nach wie vor gebe es Mängel in der Transparenz und der Prüfung, ob die Datenverarbeitung zu eigenen Zwecken rechtmäßig sei, hieß es zur Begründung (PDF).

Nach Ansicht von Microsoft gehen die Anforderungen der Datenschützer aber zu weit. So dürften an die Rechenschaftspflicht der verantwortlichen Datenverarbeiter "keine übermäßigen Anforderungen gestellt werden". Microsoft vertritt die Auffassung: "Kunden müssen die technische Funktionsweise von Microsoft 365 nicht vollständig verstehen. Die reine technische Umsetzung kann durch den Auftragsverarbeiter selbst in gewissem Rahmen bestimmt werden."

Microsoft: Datenschutz blockiert technischen Fortschritt

Eine ausufernde Erwartung an die Verantwortlichen sei "praxisfern und blockiert technischen Fortschritt, selbst wenn dieser der Verbesserung der eingesetzten Technologie oder ihrer Sicherheit dient". Nach Auffassung von Microsoft ist die nötige Transparenz bereits gegeben: "Noch mehr technische Details über die bereitgestellte Dokumentation hinaus schaffen keine größere Klarheit für Verantwortliche."

Darüber hinaus weist Microsoft die Einschätzung der Datenschützer zurück, die Kundendaten zu eigenen Zwecken zu verarbeiten. "Von 'eigenen Zwecken' Microsofts zu sprechen, ist irreführend. Die Verarbeitung für Geschäftstätigkeiten ist durch die Bereitstellung der Produkte und Dienste an den Kunden veranlasst und erfolgt auch im Interesse der Kunden", schreibt das Unternehmen. Die vorgesehenen Geschäftstätigkeiten seien "notwendiger Teil der Bereitstellung, Abrechnung und Planung jedes komplexen Cloud-Produktes, nicht nur bei Microsoft".

Mit Blick auf das für ungültig erklärte Datenschutzabkommen Privacy Shield widerspricht Microsoft ebenfalls den Datenschützern. Die zusätzlich getroffenen Schutzmaßnahmen reichten aus. Es sei "rechtlich nicht geboten, jedes theoretische Restrisiko, etwa eines behördlichen Zugriffs im Drittstaat, im Zusammenhang mit einer internationalen Datenübermittlung auszuschließen". Zudem werde der erwartete Angemessenheitsbeschluss der EU-Kommission "die Notwendigkeit von zusätzlichen Schutzmaßnahmen für Datentransfers in die USA komplett entfallen lassen". Die US-Regierung unter Präsident Joe Biden hatte dazu Anfang Oktober 2022 den Geheimdiensten neue Vorgaben gemacht, um die Bedenken des Europäischen Gerichtshofs (EuGH) auszuräumen.