Wie Anfang dieser Woche bekannt wurde, warnt ein Arbeitskreis der Datenschutzkonferenz von Bund und Ländern vor dem Einsatz der Produkte, die im Rahmen von Microsoft 365 angeboten werden. Laut Der Spiegel bemängelte die Fachgruppe, dass bei Verwendung in Behörden und staatlichen Institutionen wie zum Beispiel Schulen die datenschutzrechtlich konforme Nutzung nicht möglich sei.

Das bedeutet, dass diese Organisationen gängige Office-Programme wie Excel oder Word nicht verwenden sollten, um Compliance mit Datenschutzgesetzen sicherzustellen. Zu diesem Schluss kam die DSK offenbar nach einer Untersuchung, die mehrere Monate andauerte und in deren Rahmen Verträge und Unterlagen intensiv geprüft wurden.

Selbst veröffentlicht hat der Arbeitskreis diese Erkenntnisse noch nicht, denn hier gibt es noch Uneinigkeiten bei den Datenschutzbeauftragten der Bundesländer.

Die Tatsache, dass Datenschützer Microsoft kritisieren, ist nicht besonders überraschend, so wurde das US-Unternehmen schließlich schon öfter in diesem Hinblick gerügt – so wie auch andere amerikanische Tech-Konzerne. Der Umstand, dass die Verantwortlichen hierzulande einen besonders kritischen Blick auf die behördliche Verwendung gängiger Programme in Hinblick auf den Datenschutz werfen, ist zunächst einmal sehr erfreulich.

Denn genau das zeigt, dass dem Thema – zusätzlich zum Thema IT-Sicherheit – eine angemessene Wichtigkeit eingeräumt wird. Denn schließlich funktioniert die Digitalisierung, sei es im Unternehmen, im Behördenumfeld oder in der Schule, nur, wenn Security oberste Priorität hat. Diese Sicherheit muss durch organisatorische und technische Maßnahmen gewährleistet und konstant hinterfragt und überprüft werden.

Allerdings ist die Aussage des Arbeitskreises der Datenschutzkonferenz in diesem Falle zu weit über das Ziel hinausgeschossen, denn eine datenschutzkonforme Nutzung von Microsoft 365 ist durchaus möglich, wenn bestimmte Kriterien erfüllt werden.

Was bei der Nutzung von gängigen Office-Anwendungen zu Problemen hinsichtlich des Datenschutzes führen kann, ist vor allem der Aspekt der Speicherung. Werden Informationen in Cloud-Umgebungen amerikanischer Anbieter gespeichert, unterliegen die Daten dem sogenannten CLOUD (Clarifying Lawful Overseas Use of Data) Act. Dadurch können US-Regierungsbehörden prinzipiell Zugriff auf diese erhalten, auch wenn sie außerhalb der Vereinigten Staaten liegen.

Alleine die Tatsache, dass eine amerikanische Firma die Daten speichert, reicht für diese Berechtigung aus. Damit verpflichtet der CLOUD Act US-Unternehmen sogar dann zur Herausgabe der Informationen, wenn lokale Gesetze am Ort des Datenspeichers dies verbieten. Diese Regelung steht ganz klar im Konflikt mit dem EU-Recht und der DSGVO.

Denn ohne Rechtshilfeabkommen dürfen personenbezogene Daten alleine schon aufgrund der DSGVO nicht an amerikanische Behörden übergeben werden. Somit betrifft dies alle Informationen, die über Microsoft-Tools wie auch Teams und OneDrive gespeichert werden.

Das Gute ist, dass eine datenschutzkonforme Nutzung gängiger Microsoft-Anwendungen dennoch möglich ist – Voraussetzung ist hier, dass die Informationen bei einem nicht-amerikanischen, am besten europäischen Cloud Service gespeichert werden – anstatt in OneDrive.

Idealerweise können neben allen Office Produkten auch innerhalb von Microsof-Teams Dateien aus dem jeweiligen Cloud Service, etwa aus dem Bereich Enterprise Filesharing, direkt via Link kommuniziert, geladen und genutzt werden.

Verfügt der europäische, beziehungsweise deutsche Anbieter über eine entsprechende Integration, können außerdem alle Dateien, die über MS Teams versendet werden, direkt sicher und DSGVO-konform in der Cloud hochgeladen werden, ohne dass diese in Teams gespeichert werden.

Dadurch können Betriebe die gängigen Office-Anwendungen weiterhin nutzen, nur dass die Speicherung der Daten anders geregelt ist und diese dadurch nicht dem CLOUD Act unterliegen. Gleichzeitig ist also die DSGVO-Compliance möglich.

Idealerweise verfügt der Enterprise File Service über eine clientseitige Verschlüsselung, sodass Informationen auch unabhängig von außereuropäischen Gesetzen nicht von Dritten abgefangen und eingesehen werden können. Durch diese Technologie liegt die Datenhoheit beim Anwender selbst.

Insgesamt ist die Sorgfalt, mit der Datenschutzbehörden hierzulande agieren, zu begrüßen. Allerdings ist die Aussage des Arbeitskreises der Datenschutzkonferenz von Bund und Ländern, die Nutzung der Microsoft 365-Dienste sei für Behörden aus datenschutzrechtlicher Sicht nicht möglich, so nicht ganz richtig.

Durch die intelligente Zusammenarbeit amerikanischer Hersteller mit europäischen Anbietern von Cloud Services kann der CLOUD Act umgangen werden – und damit die Nachteile, die dieser in Hinblick auf die DSGVO-Compliance bedeutet.

Grundsätzlich gesagt ist erfreulich, dass immer mehr US-Anbieter wie Microsoft den Bedarf europäischer Unternehmen nach einem Maximum an Datenschutz und -sicherheit erkennen und schließlich durch Technologiepartnerschaften reagieren. Auf diese Weise steht der behördlichen Nutzung von Microsoft 365-Anwendungen nichts im Wege, denn die Daten sind durch solche Kooperationen maximal geschützt.

Weitere Beiträge....