Microsoft 365 mit seinen Office-Anwendungen ist momentan wieder stark in der Debatte, weil Datenschutzbedenken vorgebracht werden. Laut der deutschen Datenschutzkonferenz (DSK) bleibt Microsoft 365 datenschutzwidrig. Eine rechtskonforme Verwendung in Schulen oder Behörden sei somit nicht möglich. In Frankreich hat das Bildungsministerium sogar den Einsatz der kostenfreien Version in Schulen verboten.
Wie seht ihr die Situation? – Einmal aus Sicht der Beratung zur Datensicherheit der b-pi sec GmbH und einmal aus Sicht der praktischen Umsetzung der Frank Miller GmbH.
Frank Miller GmbH
Grundsätzlich geht es darum, dass Datenschutz und Informationssicherheit Hand in Hand arbeiten müssen. Diese beiden Dinge gehen niemals ganz d’accord und sind immer Kompromissen unterworfen. Um das Ergebnis vorwegzunehmen: Letztendlich geht es darum, was man datenschutzrechtlich bereit ist zu verantworten. Sobald in einer Institution darüber Klarheit herrscht, kann auch mit strittigen Faktenlagen gearbeitet werden.
Vorurteile, die man hört, klingen häufig so: “Hauptsache nicht in die Cloud, denn da hat jemand unsere Daten”. Das darf man aber nicht isoliert betrachten, sondern muss man mit dem Ist-Bestand vergleichen. Was ist sicherer? Ist dies Microsoft 365 mit einer Verschlüsselung, eventuell auch mit meinem eigenen Kundenkey oder die oftmals sichere lokale IT mit veralteten Servern, ungepatchten Mailservern und Authentifizierungen ohne Multifaktor? Das sollte in die Diskussion stärker mit einbezogen werden.
Ist “Hauptsache nicht in die Cloud” wirklich besser, wenn dafür nicht das notwendige Fachpersonal oder die Infrastruktur gegeben ist? Ich vermisse diese Debatte an den Tischen der Datenschutzkonferenz. Alle wollen sich vor der “Krankheit Cloud” schützen, ohne zu merken, dass Ihre IT bereits im Sterben liegt. Das lässt sich sicherlich nicht verallgemeinern, aber dieses Phänomen häuft sich. Die IT „liegt im Sterben“ im Sinne von fehlenden Updates, Fachkräftemangel und Innovationsverdrossenheit, weil die Zeit in vielen IT-Abteilungen fehlt.
b-pi sec GmbH
Da möchten wir als Datenschützer sowie Informationssicherheitsbeauftragte direkt die Lanze für das Arbeiten in der Cloud brechen! Wir arbeiten als Unternehmen selbst in der Cloud. Für uns sowie jedes Unternehmen und jede Behörde gilt es stets, die Risiken einer jeden neuen Technik rechtzeitig vorab zu kalkulieren. Sprich, die Mittel und Wege der Technik bereits vor Vertragsabschluss und vor Einführung einer neuen Technologie konform auszurichten und nicht repressiv zu handeln, wenn das Kind schon in den Brunnen gefallen ist oder, noch schlimmer, sogar technologiefeindlich zu agieren und die Digitalisierung verteufeln zu wollen. Ein Arbeiten nach und mit „Stand der Technik” ist sogar gemäß EU-DSGVO Art. 25 und 32 verpflichtend. Darum sind wir auch mehr als unglücklich über den Negativ-Tenor der aktuellen deutschlandweiten Debatte zur Nutzbarkeit bzw. Nicht-Nutzbarkeit von Microsoft 365.
Gute Datenschützer beherrschen stets das Handwerk der Informationssicherheit und richten ihr datenschutzrechtliches Handeln, sprich die Umsetzungsmöglichkeiten und Spielräume, stets nach dem Stand der Technik aus. Wir sagen immer „Binden Sie uns so früh wie nur möglich in Ihre Planungen mit ein. Dann werden Sie von uns nicht hören, was alles nicht funktioniert, sondern jene Wege aufgezeigt bekommen, durch die es möglich wird”. Dies gilt auch für die Nutzung von Microsoft 365.
Ist das Vorgehen in der Gesetzgebung und -auslegung denn stimmig? Es scheint eine große Unsicherheit zu geben, wie die Regelung aussehen sollte.
FM
Es gibt einen gewissen Widerspruch. Natürlich müssen die Regeln des Datenschutzes eingehalten werden. Dafür müssen alle verfügbaren Lösungen geprüft werden. Allerdings kommt dazu eine gewisse europäische Antipathie gegenüber Microsoft und auch anderen großen Dienstleistern. Der bloße Umstand, dass es sich um ein amerikanisches Unternehmen handelt, scheint häufig ein grundsätzliches Misstrauen auszulösen, das aber ja kein Selbstzweck sein darf.
Wenn eine IT-Infrastruktur ohnehin schon nicht gut gepflegt ist, kann auch der Datenschutz das nicht kaschieren. So ein System ist dann oft unsicherer als eine Cloud-Lösung.
Datenschutz sollte nicht der Prellbock für Themen sein, vor denen man sich scheut, diese umzusetzen.
Ich müsste dann zudem die Frage nach dem DNS des Internets stellen. Jede Anfrage wird auf weltweit verteilten Root-Servern verarbeitet. Kann ich sichergehen das meine Internet-Knoten nur in Deutschland verlaufen? Das Netzwerk ist global und ich kann auch nicht sichergehen, dass meine Pakete nur innerhalb von Europa bleiben. Etwas ketzerisch ausgedrückt: Gerne können wir auch ein Europäisches Internet einführen, um sicherzugehen, dass kein ausländischer Webserver oder auch Load-Balancer jemals angesteuert werden können.
b-pi sec
„Gesetzauslegung ”, Sie sagen es. Fragen Sie einen Juristen, unabhängig dessen Rechtsgebietes, lautet die Antwort stets: „Es kommt darauf an”. Warum sollte dies im Datenschutz anders sein? Genau hier liegt der springende Punkt. Sie werden einen guten Experten bzw. Berater daran erkennen, dass dieser Unsicherheiten ausräumt und Lösungswege aufzeigt. Auf die Gefahr hin, dass wir uns wiederholen, möchten wir an die DSGVO-Grundprinzipien der datenschutzfreundlichen Technikgestaltung durch „Privacy by Design” und „Privacy by Default” erinnern.
Wir dürfen in der aktuellen Debatte um den Einsatz von Microsoft 365 auch nicht vergessen, dass die Bewertungsgrundlage der DSK einzig auf einem Vertragsdokument basiert und nie eine technische Prüfung durch die Behörde stattgefunden hat! Weiterhin ist der Zeitpunkt dieser Bewertung mehr als unglücklich gewählt. Die EU-Kommission steht kurz vor dem Abschluss eines neuen Abkommens zum Datentransfer zwischen der EU und den USA. Die EU-Staaten müssen der Empfehlung der EU-Kommission zum Angemessenheitsbeschluss für den transatlantischen Datenschutzrahmen von Mitte Dezember zwar noch zustimmen, jedoch ist dies sehr wahrscheinlich.
Warum sind die Sanktionsrechte der EU-DSGVO so weitreichend bekannt und gefürchtet, während der Beratungsauftrag in Gänze unbekannt zu sein scheint? Behörden haben gleichwohl den Auftrag sich als Berater und Begleiter der Digitalisierung zu verstehen. Sprich: Lassen Sie uns doch gemeinsam Risiken kalkulieren und die oberste Prämisse, die Datennutzung zum Wohle der Allgemeinheit spürbarer machen als fehl verstandene Datenminimierung oder -vermeidung.
Wie sind die Beschlüsse der Datenschutzkonferenz allgemein zu beurteilen?
FM
Die Datenschutzkonferenz macht es sich anscheinend einfach und will gegen Verantwortliche in Deutschland vorgehen. Das macht eine konforme und vor allem auch praktikable Umsetzung sehr schwierig. Hauptsächlich im europäischen Rahmen besteht die Gefahr eines rechtlichen Flickenteppichs.
b-pi sec
Wir hatten nach der ersten DSK-Bewertung aus 2020 der neuen Bewertung entgegengefiebert. Umso enttäuschter sind wir nun über diese. Bereits in 2020 haben vereinzelte Datenschutzbehörden, wie beispielsweise Hessen oder Bayern, diese als zu undifferenziert bewertet. Im Kern hat sich daran wenig geändert. Die neue Bewertung sagt aus, dass der Einsatz von Microsoft 365 rechtswidrig sei. Das, was wir nun vorfinden, ist nicht nur eine rechtliche Extremposition zu ungeklärten Rechtsfragen, die es sowohl Unternehmen als auch Behörden sowie jedem einzelnen Datenschützer in der Bundesrepublik extrem schwer macht, sondern auch schlichtweg technologiefeindlich. Auch im europäischen Vergleich zu anderen Aufsichtsbehörden geht die DSK mit ihrer Bewertung einen praxisfernen Sonderweg, der seinesgleichen sucht.
Aus unserer Sicht gibt es große Schwachstellen in der Überprüfung der Software. Von der fehlenden technischen Prüfung, über den Zeitpunkt der Bewertung bis hin zu der sehr entscheidenden fehlenden Ermittlung, ob und welche personenbezogenen Daten verarbeitet werden, gibt es etliche weitere berechtige Kritikpunkte an der Bewertung der DSK. Weiterhin sei erwähnt, dass die DSK im Bundesdatenschutzgesetz über keinerlei anerkannte rechtliche Befugnisse verfügt. Somit verfügt die DSK schlicht nicht über die Mittel, Produktwarnungen auszusprechen. Nicht unwichtig zu erwähnen, oder?
Zusammenfassend möchte ich daran appellieren, dass Datenschutz und Technikgestaltung gemeinsam Hand in Hand gehen sollten und müssen. Unser gemeinsames Ziel muss immer der technische Fortschritt sein! Dieses darf nicht aus Gefühlsebenen der Angst vor dem Neuen oder Unbekannten verloren gehen.
Update vom 17.02.2023
Mittlerweile gibt es auch entgegengesetzte Nachrichten: Die Schweizer Bundesverwaltung führt Microsoft 365 ein!
Auch die Schweizer mussten sich, vor allem wegen der Cloud-Anbindung, mit der Frage des Datenschutzes und der Datensicherheit auseinandersetzen. Die Prüfung der Bundesverwaltung ergab grünes Licht, sodass auch die dafür benötigten Gelder zur Verfügung stehen.
Laut rechtlicher, organisatorischer und technischer Abklärungen ist die Nutzung als Update zu den bisherigen Office-Produkten somit möglich.
Die Bundesverwaltung räumt ein, dass diese Entscheidung auch aufgrund von bestehenden Abhängigkeiten getroffen wurde, weil Microsoft-Produkte bereits seit langer Zeit ein Pfeiler der dortigen IT-Infrastruktur sind.
Aber auch abseits davon gehen die Schweizer einen mutigen Schritt und lassen sich offenbar nicht von überbordender Panik aus der Ruhe bringen. Gut so!
Foto: Adobe Stock – Suriyo