Datenschutzbedenken wegen M365: Microsoft wehrt sich heftig

30. November 2022, 12:35
image
Foto: Getty / Unsplash

In Deutschland, Frankreich und der Schweiz stehen M365-Anwendungen in der Kritik der Datenschützer. Microsoft erklärt, die Bedenken seien "dogmatischer Selbstzweck".

In Frankreich hat der Bildungsminister Pap Ndiaye kürzlich erklärt, dass die kostenlosen Versionen von Microsoft 365 Edu nicht mehr in den Schulen des Landes eingesetzt werden sollen. Diese seien nicht mit der europäischen Datenschutzverordnung (DSGVO) konform. Weiter hiess es vom Ministerium, dass "die Einführung von Office 365 in den französischen Behörden verboten ist".
Ebenfalls letzte Woche hat sich in Deutschland die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) zu M365 geäussert, nachdem eine interne Arbeitsgruppe einen Bericht (PDF) zu den Onlinediensten von Microsoft vorgelegt hatte. Ausgehend des Berichts schreibt die DSK in einer "Festlegung", dass der Nachweis, "M365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten 'Datenschutznachtrags vom 15. September 2022' nicht geführt werden kann".
"Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmässigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden", so die DSK.

Microsoft: "Ausufernder Aufsichtsansatz"

Microsoft wiederum reagierte auf die Einschätzung der DSK mit einer 7-seitigen Stellungnahme (PDF). Darin heisst es: "Einige Datenschutzbehörden in Deutschland scheinen die DSGVO übermässig risikoscheu auszulegen." Der Konzern wirft den Behörden einen "ausufernden Aufsichtsansatz" vor, der keinen Betroffenenschutz mehr verfolge und "Datenschutz zum dogmatischen Selbstzweck" mache. Dieser überfordere und lähme Verantwortliche wie zum Beispiel Schulleitungen bei der Erstellung einer Datenschutz-Folgenabschätzung.
An verantwortliche Datenverarbeitende dürften "keine übermässigen Anforderungen gestellt werden". Die technische Umsetzung könne durch die Verarbeitenden selbst in gewissem Rahmen bestimmt werden. "Kunden müssen die technische Funktionsweise von Microsoft 365 nicht vollständig verstehen", so der Konzern. Eine ausufernde Erwartung an Verantwortliche sei praxisfern und blockiere technischen Fortschritt, "selbst wenn dieser der Verbesserung der eingesetzten Technologie oder ihrer Sicherheit dient".
Microsoft aggregiere lediglich pseudonymisierte, personenbezogene Daten und berechne Statistiken bezogen auf Kundendaten. "Von 'eigenen Zwecken' Microsofts zu sprechen, ist irreführend. Die Verarbeitung für Geschäftstätigkeiten ist durch die Bereitstellung der Produkte und Dienste an den Kunden veranlasst und erfolgt auch im Interesse der Kunden", so die Stellungnahme. Die vorgesehenen Geschäftstätigkeiten seien "notwendiger Teil der Bereitstellung, Abrechnung und Planung jedes komplexen Cloud-Produktes, nicht nur bei Microsoft".

Bedenken wegen Datenübermittlung in Drittstaaten

Die DSK hatte auch Bedenken wegen Datenübermittlungen in Drittstaaten geäussert. Eine Nutzung von M365 ohne Übermittlungen personenbezogener Daten in die USA sei nicht möglich. Microsoft teile diese Einschätzung der DSK nicht, heisst es dazu. "Es ist rechtlich nicht geboten, jedes theoretische Restrisiko, etwa eines behördlichen Zugriffs im Drittstaat, im Zusammenhang mit einer internationalen Datenübermittlung auszuschliessen." Zudem gehe Microsoft mit vertraglichen Zusagen über die rechtlichen Anforderungen hinaus, um die Daten seiner Kunden zu schützen.
In der Schweiz bietet der Konzern Kunden an, M365-Daten in hiesige Rechenzentren migrieren zu lassen. Doch auch hierzulande sehen Datenschützer den Einsatz von M365 kritisch. So äusserte sich die Konferenz der schweizerischen Datenschutzbeauftragten (Privatim) zu einem Entscheid der Zürcher Kantonsregierung, den Einsatz von M365 zu genehmigen. Dieser sei "kein Freipass für die Einführung von M365 in der Verwaltung". So sei die Begründung des Entscheids der Regierung keinesfalls für die Bewertung einer Cloud-Lösung wie M365 ausreichend. Die Zürcher Datenschützerin Dominika Blonski sagte gegenüer inside-it.ch, M365 sei bestimmt ein guter Weg, aber er müsse nach allen gesetzlichen Vorgaben beschritten werden.

Loading

Mehr zum Thema

image

Cloud-Provider doppeln bei Microsoft-Kritik nach

Der US-Konzern beschränke mit seinen Lizenzbestimmungen den Wettbewerb, kritisiert die Vereinigung CISPE. Eine von ihr in Auftrag gegebene Studie soll dies jetzt belegen.

publiziert am 1.2.2023
image

Basel führt Pflichtfach Medien und Informatik in der Sek ein

Bislang wurden die Themenbereiche Medien und Informatik in anderen Fächern zusammen gebündelt. Ab dem Schuljahr 2024/2025 will Basel-Stadt das ändern.

publiziert am 1.2.2023
image

AMD schlägt sich durch, Intel-CEO muss einbüssen

Trotz der schwierigen Wirtschaftslage kann sich AMD gut behaupten. Beim Konkurrenten sieht es anders aus: Intel spart bei den Löhnen – auch CEO Pat Gelsinger muss einstecken.

publiziert am 1.2.2023
image

AWS und Elca bündeln ihre Kräfte

Der Schweizer IT-Dienstleister glaubt an eine steigende Cloud-Akzeptanz und baut sein AWS-Know-how und Angebot aus.

publiziert am 1.2.2023 1