Microsoft365 nicht DSGVO (nDSG) -kompatibel
Die diesjährige Datenschutzkonferenz (DSK) – (Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder – Deutschland) stuft Microsoft365 weiterhin als nicht DSGVO konform ein, sowie auch der Einsatz von Windows 10 und 11. Dazu kommt, dass seit langem bekannt ist, dass US Behörden und der Konzern selbst Zugriff auf Daten haben, resp. technische Zugriffsmöglichkeiten besitzen. Insbesondere in Cloud Umgebungen, die von Microsoft geführt werden. In jüngster Zeit belegen auch die Twitter Files und Aussagen von Marc Zuckerberg, dass die US-Internetkonzerne, sowie Microsoft und andere Produktanbieter im Softwarebereich keine wirtschaftlich handelnden Konzerne, sondern Instrumente der US-Geheimdienste sind.
Die diesjährige 104. Datenschutzkonferenz beschäftigte sich somit der Fragestellung nur auf die aktuelle Bewertung (ohne den technischen Hintergrund zu beleuchten) und zogen den Schluss, dass die Produkte nicht DSGVO-konform eingesetzt werden können, da es hauptsächlich auch an der Transparenz der Offenlegung fehle.
Zitat aus der Zusammenfassung:
Zentrale und wiederkehrende Fragestellung der Gesprächsreihe war es, in welchen Fällen Microsoft als Auftragsverarbeiter tätig ist und in welchen als Verantwortlicher. Dies konnte nicht abschließend geklärt werden. Verantwortliche müssen jederzeit in der Lage sein, ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachzukommen.
Beim Einsatz von Microsoft365 lassen sich hierbei auf Grundlage des “Datenschutznachtrags” weiterhin Schwierigkeiten erwarten, da Microsoft nicht vollumfänglich offenlegt, welche Verarbeitungen im Einzelnen stattfinden.
Zudem legt Microsoft weder vollständig dar, welche Verarbeitungen im Auftrag des Kunden noch welche zu eigenen Zwecken stattfinden. Die Vertragsunterlagen sind in der Hinsicht nicht präzise und erlauben im Ergebnis nicht abschließend bewertbare, ggf. sogar umfangreiche Verarbeitungen auch zu eigenen Zwecken.
Durch die Kündigung von Safe Harbor und die EU-US Datenschutzvereinbarung Privacy Shield haben US Konzerne meist kein Interesse daran, sich der DSGVO / GDPR / nDSG zu beugen. Das wird auch dargelegt, dass Microsoft seit 2 Jahren vor dem Thema steht, die Datenschutzvereinbarungen so anzupassen, dass diese konform sind. Was viele nicht wissen, US-Behörden können jederzeit Zugriff auf Daten erlangen, die von nationalem Interesse sind. Es stellt sich dann auch die Frage, was alles in nationalem Interesse ist.
Schlussfolgerung zum Einsatz von Microsoft365
Wer seine Daten sicher und konform betreiben möchte, der sollte erstens seine Daten selbst verwalten und zweitens zusätzlich davon absehen in komplexen Cloudstrukturen zu arbeiten, wo nicht gewiss ist, wo sich die Daten tatsächlich befinden und wie und wer darauf Zugriff erlangen könnte. Wer sich bereit erklärt etwas umzudenken, der hat die Möglichkeit auf alternative Technologien zu wechseln. Im Office Bereich bietet sich dazu zum Beispiel LibreOffice an und wer es lieber hat per Browser zu arbeiten und dazu ebenso auf Cloud nicht verzichten möchte, kann CollaboraOffice einsetzen. Branchensoftware ist sehr oft nur für Windows und Windows Server erhältlich. Wer keine Möglichkeit hat, auf MAC oder Linux zu wechseln, sollte technische Möglichkeiten schaffen, die Systeme so zu sichern, dass er den Maximum Schutz vor dem Abgreifen von Daten und Werten erlangt.