Ist Microsoft 365 Datenschutz-konform? Was die DSK-Vorwürfe für Unternehmen bedeuten

In der vermeintlich stillen Zeit vor Weihnachten brach eine regelrechte Schlagzeilenflut über Microsoft herein. Der Vorwurf war nicht neu, aber angesichts der medialen Lautstärke doch schwerwiegend: Microsoft 365 entspricht laut der Datenschutzkonferenz (DSK) weiterhin nicht den Erfordernissen des Datenschutzes. Was genau bedeutet diese Beurteilung, und müssen Microsoft-Anwender nun darauf reagieren?

Zunächst einmal möchte ich als Autor festhalten, dass ich kein Jurist bin und die folgenden Einschätzungen nicht auf einer juristischen Qualifikation beruhen. Der Artikel fasst schlicht die vorliegende Faktenlage zusammen und versucht vorläufig die Frage zu beantworten: „Können Microsoft Online Dienste nach der DSGVO datenschutzkonform eingesetzt werden?“

Der Stein des Anstoßes: „Mangel an Transparenz“

Am 24. November teilte Ulrich Kelber, Vorsitzender der Datenschutzkonferenz, auf einer Pressekonferenz mit, dass der Einsatz von Microsoft 365 datenschutzwidrig bleibe. Seine Begründung lautet unter anderem, dass nach wie vor ungeklärt sei, welche Daten erhoben, übertragen und für eigene Zwecke verarbeitet würden.

Für für die DSK ist der Mangel an Transparenz der Stein des Anstoßes. Sie bezweifelt, dass sich Microsoft 365 datenschutzkonform „…einfach mal so auf einem Rechner ohne weitere Schutzmaßnahmen nutzen lässt.“

Die DSK hält Proxyserver für eine Lösung …

Als Schutzmaßnahmen, die die Datenschutzkonformität herstellen, meint die DSK die sogenannte Perimetersicherheit. Dabei könnten Techniken wie Proxyserver oder Mikrovirtualisierung verwendet werden. Denn sobald der komplette Datenverkehr über einen zentralen Proxyserver geleitet wird, lässt sich der Datenfluss im Detail kontrollieren und steuern.

Ein solcher Ansatz ist zwar weder neu noch kompliziert, doch geht der Trend immer stärker in Richtung Zero Trust Architekturen, die die Sicherheit über die Endpunkte realisieren. Außerdem setzen viele Cloudanbieter voraus, dass der Datenverkehr direkt auf die SaaS, IaaS und PaaS Dienste erfolgt. Das schließt Zwischenstationen wie Proxyserver oder Techniken wie Packet Inspection aus.

… doch Cloud-Anbieter empfehlen direkte Anbindungen

Microsoft beispielsweise empfiehlt einen möglichst unmittelbaren Zugriff ohne Restriktionen auf die Microsoft 365-Dienste, um das Anwendererlebnis zu optimieren:

“…Microsoft 365 networking is to optimize the end user experience by enabling the least restrictive access between clients and the closest Microsoft 365 endpoints…“ https://learn.microsoft.com/en-us/microsoft-365/enterprise/microsoft-365-networking-overview

Auch AWS gibt ähnliche Empfehlungen heraus:

…To connect to your WorkSpaces, the network that your WorkSpaces clients are connected to must have certain ports open to the IP address ranges for the various AWS services…https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html

Wie können Microsoft-Kunden Transparenz herstellen?

Grundsätzlich bietet Microsoft seinen Kunden kaum Möglichkeiten, um die von der DSK geforderte Transparenz herzustellen. Es fehlt schlicht an technischer Einflussnahme darauf, welche Daten von den Auftragsdatenverarbeitern wie Microsoft, AWS, Google, Salesforce und anderen verarbeitet werden.

Auf den ersten Blick bietet der Hersteller durchaus gewisse Datenschutzansätze wie etwa die Double Key Encryption. Bei näherer Betrachtung ist dessen Wirkung allerdings beschränkt, weil nicht alle Arten von personenbezogenen Daten berücksichtigt werden. So werden etwa die Benutzerdaten im Azure AD nicht verschlüsselt.

Bei der Option Bring your Own Key, die sich auf die gesamte Tenant-Verschlüsslung auswirkt, wird der eigene Schlüssel in einem Key Vault in Azure hochgeladen. Damit landet der Key dann aber wieder in der Microsoft Cloud, so dass Microsoft zumindest technisch Zugriff darauf hat. (Service encryption with Microsoft Purview Customer Key)

Stellungnahmen der DSK sind rechtlich nicht bindend, aber…

Bleibt unabhängig von solchen technischen Aspekten die Frage, welche Bedeutung die neue Beurteilung der DSK auf den Einsatz von Microsoft 365 in Unternehmen und Behörden hat. Dazu ist zunächst einmal festzustellen, dass die DSK ein Gremium der unabhängigen Datenschutzbehörden des Bundes und der Länder ist. Ihr Fokus liegt auf der Einhaltung des Datenschutzes im nicht-öffentlichen Bereich.

Rein rechtlich sind solche Stellungnahmen und Orientierungshilfen der Konferenz nicht bindend. Allerding muss man aufgrund der fachlichen Kompetenz und der Autorität der Konferenzteilnehmer von faktischen Auswirkungen auf die Entwicklung des Datenschutzes in Deutschland ausgehen.

Das sagt die DSK zum Einsatz von Microsoft 365:

Und so muss man zunächst einmal zur Kenntnis nehmen, was in der Pressekonferenz gesagt wurde:

…Verantwortliche müssen jederzeit in der Lage sein, ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachzukommen. Beim Einsatz von Microsoft 365 lassen sich hierbei auf Grundlage des „Datenschutznachtrags“ weiterhin Schwierigkeiten erwarten, da Microsoft nicht vollumfänglich offenlegt, welche Verarbeitungen im Einzelnen stattfinden. Zudem legt Microsoft weder vollständig dar, welche Verarbeitungen im Auftrag des Kunden noch welche zu eigenen Zwecken stattfinden. Die Vertragsunterlagen sind in der Hinsicht nicht präzise und erlauben im Ergebnis nicht abschließend bewertbare, ggf. sogar umfangreiche Verarbeitungen auch zu eigenen Zwecken…

Zitat aus: AG DSK „Microsoft-Onlinedienste“ Zusammenfassung der Bewertung der aktuellen Vereinbarung zur Auftragsverarbeitung vom 24. November 2022

Microsoft entgegnet: „Unsere Produkte sind weiterhin rechtssicher“

Microsoft hat umgehend darauf reagiert und kommt zu einer anderen Bewertung:

…Wir teilen die Position der DSK nicht. Wir stellen sicher, dass unsere M365-Produkte die strengen EU-Datenschutzgesetze nicht nur erfüllen, sondern oft sogar übertreffen. Unsere Kunden in Deutschland und in der gesamten EU können M365-Produkte weiterhin bedenkenlos und rechtssicher nutzen…

Zitat aus: Stellungnahme zur datenschutzrechtlichen Bewertung von Microsoft 365 durch die DSK vom 25. November 2022

Fazit: Kunden in der Zwickmühle, Microsoft zuversichtlich

In jedem Fall befinden sich die Microsoft-Kunden in einer vertrackten Situation. Einerseits sagte eine Institution, deren Aussagen zwar nicht bindend, aber gewichtig sind, nein zu Microsoft 365 für deutsche Kunden. Auf der anderen Seite sagt der Hersteller Microsoft: „Unsere Kunden in Deutschland und in der gesamten EU können M365-Produkte weiterhin bedenkenlos und rechtssicher nutzen.“

Alles in allem bringt es für den Moment folgende Formulierung auf den Punkt:

Die Stellungnahme der DSK ist nicht mehr und nicht weniger als die rechtliche Auffassung eines Gremiums der Exekutive. Diese ist nicht bindend. Das letzte Wort in dieser Sache hat die Judikative, also die deutschen und europäischen Gerichte.

Oder um es mit den Worten aus dem Microsoft-Artikel zu sagen:

Wir sehen einem positiven Angemessenheitsbeschluss … im Rahmen der DSGVO im Jahr 2023 entgegen.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert