Office 365: Warum Microsoft die Datenschützer spaltet

Lassen sich cloudbasierte Produkte von Microsoft datenschutzkonform betreiben? Über diese Frage streiten sich die Datenschutzbehörden von Bund und Ländern derzeit ungewöhnlich offen. Hintergrund ist eine Abstimmung innerhalb der Deutschen Datenschutzkonferenz (DSK), bei der eine knappe Mehrheit von neun zu acht Stimmen ein Papier unterstützte, wonach kein "kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich ist". Doch vier Bundesländer halten die Bewertung für "zu undifferenziert" und veröffentlichten eine eigene Erklärung (PDF).

Um die Frage der Datenschutzkonformität zu beantworten, hatte die DSK ihren Arbeitskreis Verwaltung mit einer Prüfung beauftragt. Dieser untersuchte anschließend "die dem Einsatz des Produktes Microsoft Office 365 zu Grunde liegenden Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft-Onlinedienste (Data Processing Addendum / DPA) - jeweils Stand: Januar 2020". Der Abschlussbericht wurde demnach am 15. Juli 2020 fertiggestellt.

Widerstand gegen Veröffentlichung des Papiers

Seitdem streiten sich die Mitglieder der DSK, die Datenschutzbeauftragten von Bund und Ländern, über dessen Bewertung. Einem Bericht des Spiegel zufolge bezeichnete die bayerischen Datenschützer, die für Microsoft zuständig sind, die Schlussfolgerung des Arbeitskreises als "rechtlich fragwürdig". Dies würde die "naheliegende Frage nach konkreten Maßnahmen zur Aussetzung von MS 365 aufwerfen", zitierte das Blatt Mitte September aus einer Rundmail vom August. Zudem wandten sich die Bayern demnach gegen eine Veröffentlichung des Papiers und wünschten "eine ausdrückliche Kennzeichnung seiner Gegenstimme".

Der besagte Bericht ist im Gegensatz zu der "Gegenstimme" jedoch immer noch nicht auf der Internetseite der DSK veröffentlicht worden. Ein entsprechender Beschluss wird ebenfalls nicht erwähnt. Lediglich der rheinland-pfälzische Datenschutzbeauftragte Dieter Kugelmann teilte in der vergangenen Woche mit, die DSK habe das Papier "mehrheitlich zustimmend zur Kenntnis genommen". Zudem sei eine Arbeitsgruppe eingerichtet worden, die "auf Grundlage dieser Bewertungen Gespräche mit Microsoft aufnehmen soll, um zeitnah datenschutzgerechte Nachbesserungen zu erreichen".

Bewertung "zu undifferenziert"

Die Gegenerklärung wird von den Datenschutzbeauftragen aus Bayern, Baden-Württemberg, Hessen und dem Saarland unterstützt. Auch der Präsident des Bayerischen Landesamts für Datenschutzaufsicht, das für die Microsoft Deutschland GmbH zuständig ist, unterzeichnete die zweiseitige Stellungnahme. Die Behörden stellen darin klar, "dass auch sie bei Microsoft Office 365 erhebliche datenschutzrechtliche Verbesserungspotenziale sehen, gerade auch mit Blick auf die jüngste Entscheidung des Europäischen Gerichtshofs zu internationalen Datentransfers vom 16. Juli 2020".

Die Gesamtbewertung des Arbeitskreises könne jedoch nicht geteilt werden, "weil sie zu undifferenziert ausfällt". Zudem habe der Arbeitskreis die Bewertung "auf der Grundlage von Vertragsbestimmungen getroffen, die Microsoft zwischenzeitlich bereits zweimal überarbeitet hat". Auch habe das erwähnte EuGH-Urteil zum Privacy Shield nicht berücksichtigt werden können.

Microsoft 365 Family | 6 Nutzer | Mehrere PCs/Macs, Tablets und mobile Geräte | 1 Jahresabonnement | Download Code

Das Papier vom 15. Juli 2020 sei als "noch nicht entscheidungsreif" angesehen worden. Der DSK wird außerdem vorgeworfen, Microsoft zu den Bewertungen des Arbeitskreises nicht angehört zu haben, "wie es zu einem fairen, rechtsstaatlichen Verfahren gehört". Die Einsetzung der Arbeitsgruppe wird begrüßt. Abschließend fordern die Behördenleiter: "Es wäre gut, wenn die neu eingesetzte Arbeitsgruppe der Konferenz unter Wahrung rechtsstaatlicher Grundsätze erreicht, dass der Hersteller sein Produkt Microsoft Office 365 bald und nachhaltig datenschutzrechtlich nachbessern wird."

Was steckt eigentlich hinter den Vorwürfen gegen Microsoft?