Die 104. Datenschutzkonferenz ist vorüber und es gibt erste Informationen über die mit Spannung erwartete Abstimmung zur DS-GVO Konformität von MS365. Noch in der Nacht berichtet Heise am 25.11.2022 unter dem Titel Datenschutzkonferenz: Microsoft 365 ist und bleibt datenschutzwidrig über erste öffentliche Äußerungen zum Ergebnis der Beratungen der Arbeitsgruppe der Datenschutzkonferenz mit Microsoft, die vermutlich von der Pressekonferenz am Ende der Konferenz stammen. Man hat, so viel wird deutlich auch die aktualisierte Fassung des Auftragsverarbeitungsvertrags, des „Microsoft Products and Services Data Protection Addendum“ (DPA) von September 2022, bei der Beurteilung mit berücksichtigt. Allerdings ist man nach wie vor der Meinung, dass die von Microsoft getroffenen Maßnahmen noch nicht ausreichen. Zwar gesteht man Microsoft Fortschritte in einzelnen Punkten zu, doch man bemängelt weiterhin eine nicht ausreichende Transparenz bezüglich der vom Unternehmen für eigene Zwecke verarbeiteten Daten. Dies verhindere die Überprüfung, ob alle Schritte der Datenverarbeitung durch Microsoft rechtmäßig sind. Der Arbeitskreis der Datenschutzkonferenz hat sich allem Anschein nach auch mit dem Software Paket zu Microsoft 365 befasst, denn auch hierzu gibt es eine Aussage des BfDI Kelber, der davon abrät, die Office Suite ohne Schutzmaßnahmen auf einem Rechner zu installieren. Für Heise heißt das Fazit aus den ersten Aussagen: „Am Nein der Datenschützer zu Microsoft Office 365 aus dem Jahr 2020 ändert die neue Bewertung also nichts.“ Auch wenn es so aussieht, als ob eine Nutzung von MS365 weiterhin nicht möglich ist, scheint man von Seiten der Datenschutzkonferenz nicht auszuschließen, dass es Möglichkeiten gibt, die Plattform rechtssicher zu nutzen. Entsprechend heißt es im Beitrag von Heise: „Das Office-Paket Microsoft 365 kann von Unternehmen, Behörden und Schulen nicht rechtskonform eingesetzt werden, jedenfalls nicht ohne zusätzliche technische Maßnahmen. Zu diesem Schluss kommt eine aktuelle Datenschutzbewertung, die die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder auf ihrer 104. Datenschutzkonferenz verabschiedet haben. Anwender müssten auf jeden Fall zusätzliche Schutzvorkehrungen treffen, warnt Bundesdatenschutzbeauftragter Ulrich Kelber.“ Offizielle Dokumente folgen noch, so erfährt man, wenn diese redigiert worden sind und keine Geschäftsgeheimnisse mehr enthalten.
Bewertung
In kleinen Trippelschritten geht es voran, scheint es. Microsoft müht sich, doch es ist zu langsam. Schulen, welche die Plattform weiterhin nutzen wollen, rennt die Zeit davon. Daran ändern auch die Data-Boundary, die bis Ende 2022 verfügbar sein soll, und die bereits von verschiedenen Seiten als unzureichend kritisierte Executive Order des US Präsidenten zu einem neuen EU-US Datenschutzabkommen nichts wie auch der Angemessenheitsbeschluss, welchen die EU auf der Grundlage dieses Abkommens herbeiführen will. Für die Datenschutzkonferenz ist und bleibt das Hauptproblem der Plattform Microsoft 365 die unzureichende Transparenz des Anbieters bezüglich der Nutzung von Daten für eigene Zwecke. Microsoft kennt diese Kritikpunkte genau und hat mit dem Microsoft Products and Services Data Protection Addendum“ (DPA) im September 2022 versucht, die notwendige Transparenz zu schaffen. Warum man bei Microsoft nicht in der Lage ist, die Kritikpunkte der Datenschutzkonferenz zur Gänze auszuräumen und die erforderliche Transparenz vollumfänglich herzustellen, weiß nur der Anbieter selbst.
Die große Frage für Schulen und die mit der Administration betrauten Schulträger und Dienstleister ist, welche zusätzlichen Technischen Maßnahmen in Frage kommen, um das Office-Paket Microsoft 365 kann doch rechtskonform einsetzten zu können.
Im Beitrag werden technische Maßnahmen beschrieben, welche die Datenschutzkonferenz bezüglich der Telemetrie-Daten von Windows 10 empfohlen hatten. Das war der Einsatz von Mikrovirtualisierung oder alternativ zwischengeschalteten Filter-Proxy. Diese technischen Maßnahmen hält man prinzipiell auch für Microsoft 365 für denkbar. Hierbei kann es jedoch nur um die installierbare Version von MS365 gehen, nicht die Cloud Version. Außerdem würden derartige Maßnahmen nur in der Schule greifen, wenn Nutzer über auf Rechnern installierte Versionen von MS365 oder über Apps auf mobilen Endgeräten auf die Plattform zugreifen. Es heißt nun also abwarten bis die Datenschutzkonferenz die Dokumentation zur 104. Konferenz veröffentlicht, ob diese weitere Informationen enthalten, welche Aufschluss geben über mögliche Maßnahmen.
Im Beitrag verlinkt ist ein Artikel zur neuen Microsoft Cloud, welche bis 2024 durch Microsoft und SAP unter Leitung eines ehemaligen Microsoft Managers aufgebaut werden soll. Diese unter dem Namen Delos-Cloud vermarktete Plattform wäre dann von Microsofts globaler Cloud-Infrastruktur entkoppelt. 2024 soll sie dann „vom Bundesamt für Sicherheit in der Informationstechnik (BSI) geprüft und auf Grundlage der dabei erzielten Ergebnisse abgenommen werden.“ Über die Delos-Cloud sollen dann Anwendungen wie Azure und Microsoft 365 für deutsche Behörden DS-GVO konform zur Verfügung stehen. Damit wäre die Nutzung dieser Lösung aus datenschutzrechtlicher Sicht im Prinzip auch für Schulen denkbar. Vermutlich dürfte so etwas jedoch an den Kosten scheitern.
Ergänzende Informationen
Der Fachjurist Stefan Hessel hat über Frag den Staat im Rahmen des Informationsfreiheitsgesetzes eine Anfrage an den BfDI zur Datenschutzbewertung zu Microsoft 365 gestellt. Deren Eingang wurde bereits vom Bundesbeauftragte für den Datenschutz und die Informationsfreiheit bestätigt. Über weitere aktuelle Informationen wird berichtet, sobald verfügbar.
Es liegen mittlerweile auch Unterlagen von der Datenschutzkonferenz selbst vor:
- Zusammenfassung des Berichts der DSK zu Microsoft 365 (PDF, 8 Seiten)
- Festlegung zur Arbeitsgruppe DSK „Microsoft-Onlinedienste (PDF, 1 Seite)
1 thought on “Von der Datenschutzkonferenz keine Entwarnung für MS365”