Kennen Sie das Gefühl von Ungewissheit, welche sich über einen so langen Zeitraum hinzieht bis man sich daran gewöhnt hat? Gemeint ist nicht das Gewöhnen an eine FFP2-Maske in Bus und Bahn, den leidigen Nasenabstrich für den Corona-Test und ja, auch nicht die Jogginghose zu Hemd und Krawatte im Videocall.
Gewöhnt haben sich Unternehmen, und zwar an die oft angeprangerten Datenschutzrisiken, die mit dem Einsatz von Microsoft 365-Diensten einhergehen … Schrems II? – Ja komm. – Default Settings übernehmen? – Das passt. – Diagnosedaten? – Why not?
So bildete sich in den letzten zwei Jahren innerhalb Microsoft Cloud eine Masse risikobereiter Unternehmen, die so gewaltig ist, dass sich alle anderen gezwungen fühlen, diesen doch so wichtigen Schritt in die Digitalisierung nicht zu verpassen. Es ist ein Dilemma.
Too Big To Fail?
Nicht zuletzt das geschickte Taktieren von Microsoft in der Preisgestaltung und Werbung für beliebte Softwareinnovationen sorgte dafür, dass vielerorts die Microsoft 365-Dienste unverzichtbar geworden sind. Das liegt natürlich auch daran, dass Microsoft nicht weniger als das Ziel verfolgt, die lokale Serverfarm der Kunden ganzheitlich zu ersetzen. IMHO: Wir haben den point of no return längst erreicht und weit überschritten.
Die DSK legt nach (zwei Jahren nach)
Angesichts dieser womöglich fatalen Entwicklung recht spät – aber besser spät als nie – veröffentlichte eine Arbeitsgruppe der Datenschutzkonferenz (DSK) nun am 25. November 2022 ihre langersehnten Ergebnisse (hier und hier). Jene Arbeitsgruppe wurde von der DSK im September 2020 als Arbeitsgruppe für Microsoft-Onlinedienste geschaffen. Die Erwartungshaltung vieler war groß, durch diese Arbeitsgruppe bald schon praxistaugliche, haltbare Antworten zu erhalten, um endlich sicher in die Microsoft 365-Welt migrieren zu können.
Nun, der Leser der Ergebnisse staunt nicht schlecht, dass in 14 mehrstündigen Terminen zwischen der DSK Arbeitsgruppe und Microsoft Vertretern ausschließlich die Vertragsinhalte der Microsoft-Terms (speziell das Microsoft Products and Services Data Protection Addendum (DPA)) untersucht werden konnten. Doch halten Sie Ihre Kaffeetasse fest, denn dieses Ergebnis ist um Längen besser als die bisherige uneinheitliche Linie der DSK.
Unter Berücksichtigung der aktuellen Fassung des Microsoft-DPA vom 15. September 2022 sind viele Kritikpunkte bekannt, einige hingegen sind neu:
- Hauptkritikpunkt: Microsoft verarbeite personenbezogene Daten der eigenen Kunden zu eigenen und nicht legitimen Zwecken. Auch würde Microsoft diese Daten nicht korrekt löschen.
- Es fehle an einer Klarstellung der Arten und Zwecke der Datenverarbeitung und der verarbeiteten Datenarten in den Verträgen mit den Kunden.
- Microsoft treffe keine angemessenen Maßnahmen zum Schutz internationaler Datentransfers, die im Rahmen der Schrems II-Entscheidung erforderlich wären.
- Microsoft würde keine angemessenen technischen und organisatorischen Maßnahmen für Services anbieten, die nicht in die Professional Services fielen.
- Die derzeitige vertragliche Regelung zur Anzeige neuer Unterauftragnehmer gegenüber den Kunden würde nicht genügen.
Microsoft veröffentlichte am 25. November 2022 zeitgleich mit den Ergebnissen der DSK eine Gegendarstellung unter dem recht selbstbewussten Titel: „Microsoft erfüllt und übertrifft europäische Datenschutzgesetze“
Verhärtete Fronten
Doch, wer hat Recht? Ist das Microsoft-DPA schlicht nicht ausreichend und wird von Microsoft zum Nachteil der eigenen Kundschaft einfach nicht angepasst? Oder hat die DSK jedes Maß überschritten und der Digitalisierung von Europa den Kampf angesagt?
Wohl kaum! Vielmehr sehen wir hier den Beginn der dringend erforderlichen Debatte zu bislang ungeklärten Datenschutz-Fragen für Cloud-Provider und Cloud-Anwendungen. Und naturgemäß braucht jede gute Debatte auch immer zwei konträre Auffassungen, um dann eine Einigung auf einen Kompromiss überhaupt erst möglich zu machen.
Schon jetzt haben sich erste Stimmen in die Debatte eingeschaltet und kritisieren die Arbeitsweise der DSK. Es wird vor allem bemängelt, dass eine (von der DSGVO vorgesehene) grenzüberschreitende Abstimmung im Kohärenzverfahren unter Mitwirkung des Europäischen Datenschutzausschusses (EDSA) zu besseren Ergebnissen geführt hätte.
In einem Interview zwischen Golem.de und Stefan Brink, dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg, erhalten wir einen wertvollen Blick hinter die Kulissen der DSK. Ihre Feststellungen sind als Appell an die Verantwortlichen zu verstehen, sich mehr inhaltlich mit ihren Datenschutzpflichten im Einsatz von Microsoft 365 zu befassen und mit den Risiken auseinanderzusetzen. Gleichzeitig besteht dann auch Hoffnung, dass sich die Kritikpunkte durch insbesondere Microsoft erledigen oder zumindest reduzieren lassen. Am 13. Dezember 2022 hat die EU-Kommission den ersten Entwurf für den neuen Angemessenheitsbeschluss für die USA veröffentlicht, der (wenn alles gut läuft) im Laufe des Jahres 2023 zustande kommen wird.
Aufsichtsbehörden hielten bisher die Füße still
Tatsächlich sind bislang kaum Kontrollen der Aufsichtsstellen in Bezug auf Microsoft 365 erfolgt. Sucht man etwa Bußgelder aufgrund von Microsoft 365 über diese (sehr empfehlenswerte) Bußgeld-Datenbank, erhält man genau 0 Treffer. Nach eigenen Angaben der Aufsichtsbehörden will man das nun ändern. So will sich laut Ankündigung des LfDI Baden-Württemberg um öffentliche Stellen kümmern und einen Fokus auf besonders sensible Daten und die Sozialverwaltung legen. Auch Thüringens Landesdatenschutzbeauftragter Lutz Hasse meldete sich bereits zu Wort. Dort wird zunächst eine Untersuchung dazu geplant, wie stark Microsoft 365 in der Unternehmerschaft verbreitet sei.
Don’t Panic!
Um sich auf die künftige Entwicklung und womöglich die eine oder andere Prüfung vorzubereiten, sollten die Verantwortlichen (sofern nicht bereits geschehen) mit genug Zeit und Ressourcen und (so vorhanden) der Unterstützung des Datenschutzbeauftragten eine Analyse der bestehenden Risiken zum Gebrauch von Microsoft 365 machen. Da ein Nachweis der Datenschutzkonformität von Microsoft 365-Diensten allein mittels Microsoft-Terms laut DSK nicht erbracht werden kann, ist hier Handarbeit gefragt. Es gilt die Kritikalität der Microsoft 365-Cloud-Anwendungen auf Basis der tatsächlichen Nutzung zu hinterfragen und die bestehenden Risiken in einer Risikoanalyse abzuwägen.
Anhand dieser Risikoanalyse werden die Verantwortlichen gegenüber Anfragen von Aufsichtsbehörden sprachfähig und können die eigene Risikobereitschaft in geordnete und nachvollziehbare Bahnen lenken.
Wünsch Dir was
Doch bis dahin bleibt die Sehnsucht nach einem unbedenklichen Microsoft 365-Paket unterm Tannenbaum vorerst auch in diesem Jahr ein frommer Wunsch. Schreiben Sie lieber jetzt schon die Risikoanalyse mit auf Ihre neue Jahresagenda, dann klappts vielleicht Weihnachten 2023!
Bis dahin wünschen wir Ihnen eine ruhige Weihnachtszeit.
15. Dezember 2022 @ 15:49
Nicht nur der NACHWEIS eines datenschutzkonformen Einsatzes von Microsoft 365 ist unmöglich, sondern der Einsatz selbst! Das wissen alle, die es wissen WOLLEN.
M$ 365 ist ähnlich wie WhatsApp „der Elefant im Raum“. Alle sehen ihn, alle wissen über ihn, aber niemand spricht das Thema an. Seit Jahren! Wer das leugnen will, muss sich fragen lassen, unter welchem Stein er bisher gelebt hat.
Jetzt ist also die DSK aufgewacht und hat das Thema tatsächlich auf der Gabel. Jetzt reiben sich die Verantwortlichen verwundert die Augen. „Wie, da ist ein Elefant? Das wussten wir ja gar nicht!“
Point of no return? Nein, den gibt es nicht. Allerdings werden die Hürden für einen Kurswechsel zu FOSS Lösungen immer größer, die erforderliche Migration immer schmerzhafter. Es ist wie der Ritt auf dem Rücken des Tigers, der immer hungriger wird …
Wer über die Jahre die Semantik seiner Geschäftsprozesse an die M$-Logik angepasst hat, wird erst mal etliche Grundsatzfragen stellen und beantworten müssen. Es ist möglich, aber es wird Anstrengung kosten – finanziell und mental. Die finanziellen Anstrengungen werden sich perspektivisch auszahlen: durch Wegfall der laufenden Lizenzkosten, und durch Wegfall von Angriffen und Datenlecks.
15. Dezember 2022 @ 12:12
Super Bearbeitung dieses Themas.
Es gibt gesetzliche Anforderungen, deren Erfüllung durch die Verantwortlichen von der DSK erwartet wird. (Und durch Microsoft, um sich als Auftragsverarbeiter zu qualifizieren.) Auf der anderen Seite gibt es beim Einsatz von 365 vielfältige Anwendungen mit Zwecken, die mit Erlaubnistatbeständen unterlegt werden wollen. Angaben von Microsoft müssten erst mal zugeordnet werden; bisher lückenhaft.
D., der seit einigen Jahren darauf wartet, dass Microsoft Produkte und Texte hinbekommt, die Kunden einsetzen (einsetzbar machen) können. Ohne alles einzeln hinterfragen zu müssen. Nicht erst im Hinblick auf ihre Szenarien und Daten, sondern alle haben dasselbe Problem, indem sie bereits das Produkt nicht verstehen können.