Mit Datum vom 11.08.2022 veröffentlichte Microsoft Deutschland eine dreiseitige Stellungnahme zur Datenschutzkonformität von Microsoft 365 und Microsoft Teams. Mit der Stellungnahme reagiert Microsoft Deutschland auf die Stellungnahmen öffentlicher Stellen und von einigen Aufsichtsbehörden und möchte damit dem Eindruck, der daraus entstanden sein könnte, dass sowohl Microsoft 365 als auch MS Teams nicht datenschutzkonform im öffentlichen Sektor und im Bildungsbereich nutzbar seien, entgegentreten. Dazu stellt man die Stärken von Microsoft in Bezug auf Datenschutz und -sicherheit heraus und widerlegt gängige Aussagen der Gegner von Microsoft Cloud Produkten wie „Die Cloud ist unsicher,“ „Die US-Regierung liest alles mit,“ „Datentransfers in Drittstaaten wie die USA sind unzulässig,“ „Diagnosedaten sind nicht notwendig und schädlich,“ „Microsoft überwacht die Nutzer seiner Produkte und Dienste“ und „Einen Dienst darf nur einsetzen, wer die technische Funktionsweise des Diensts voll versteht.“
Bewertung
An Microsoft scheiden sich, zumindest in Deutschland, die Geister. Dass Microsoft in Sachen Cybersecurity sehr stark aufgestellt ist, zweifelt vermutlich niemand an. Entsprechend ist es für Microsoft auch unproblematisch entsprechende ISO/IEC Standards einzuhalten und die dazugehörigen Zertifizierungen zu erhalten bis einschließlich dies C5 Testats des BSI. Microsoft speichert aktuell die Daten von Kunden „weitgehend regional in Rechenzentren in der EU“ und wird Kunden aus dem öffentlichen Sektor künftig anbieten, Daten ausschließlich innerhalb der EU nicht nur zu speichern, sondern auch zu verarbeiten. Damit liegen die Daten von EU Kunden dann nicht mehr im unmittelbaren Zugriff von US Behörden. Leider besteht aber weiterhin die Zugriffsmöglichkeit im Rahmen des CLOUD-Acts. Und hier argumentiert Microsoft, nachvollziehbar, indem man aktuelle Veröffentlichungen, wie etwa die des LfDI Baden Württemberg aufgreift, dass es nicht erforderlich ist, jegliches Restrisiko eines Zugriffs von US-Behörden auszuschließen. Wie in einem Gutachten für die Datenschutzkonferenz und jüngst auch in einem niederländischen Memo beschrieben, unterliegen theoretisch auch EU Unternehmen dem CLOUD-Act, wenn sie geschäftliche Beziehungen in die USA unterhalten. Dass Gegner einer Nutzung von Microsoft Cloud Produkten mit zweierlei Maß messen, wenn sie den CLOUD-Act nur im Zusammenhang mit der Nutzung von Microsoft Produkten kritisch sehen, nicht jedoch wenn es um EU Unternehmen geht, die ebenfalls betroffen sein könnten, ist ein Argument, welches plausibel erscheint. Gleiches gilt auch für den Hinweis, dass die Anfragen von US Ermittlungsbehörden Schulen nicht betreffen, was von Microsoft Gegnern ebenfalls ins Feld geführt wird.
Microsoft sieht seine Cloud Produkte als datenschutzkonform nutzbar an deutschen Schulen. Das wird aus der Argumentation deutlich, und klar ist, der Anbieter tut eine Menge, um Schutz und Sicherheit der Daten zu gewährleisten. Kritikpunkte, auf die das Statement nicht eingeht, sind aber etwa formalrechtliche Fragen zur Nutzung von Daten für eigene Zwecke. Hier sieht man von Seiten der Datenschutzbehörden eine Unvereinbarkeit mit Vorgaben der DS-GVO. Gleiches gilt für Telemetriedaten im Allgemeinen. Bei diesen bemängeln Datenschutzbehörden die mangelnde Transparenz bezüglich dieser Daten, zumal die Messpunkte sich hier immer wieder ändern. Eine Aussage wie im Statement „Diagnosedaten sind notwendig, um Produkte und Dienste sicher und stabil zu betreiben.“ reichen den Aufsichtsbehörden nicht aus. Sie wollen genau wissen, um welche Daten es sich handelt und wie sie genutzt werden.