Microsoft vs. DSK: (Nichts) Neues von der „Arbeitsgruppe“

Seit ein paar Tagen drücke ich mich davor, über den Stand der ewigen Datenschutz-Diskussion rund um Microsoft 365 zu berichten. Das Thema gewinnt ja seit der vergangenen Woche wieder an Fahrt, weil die Datenschutzkonferenz (DSK) einen Bericht veröffentlicht hat. Microsoft hat darauf ausführlich reagiert. Einige Online-Medien heizen den Konflikt zusätzlich an.

Mein Problem als Journalist: Es gibt eigentlich keine neuen Erkenntnisse – und damit keinen echten Nachrichtenwert. Gleichzeitig weiß ich, dass Euer Informationsbedürfnis als Leser*innen sehr groß ist: Wie geht’s denn nun weiter mit Microsoft 365 in Job und Schule?

Ich will zumindest meiner Chronistenpflicht nachkommen und die aktuellen Ereignisse hier im Blog aus meiner Sicht einordnen – unabhängig kommentiert und ohne Anspruch auf Vollständigkeit. Natürlich freue ich mich wie immer über Eure Meinung zum Thema, aber bitte sachlich und ohne persönliche Angriffe.

Zwei Stellungnahmen: Wer sagt was?

Microsoft sagt:

„Microsoft 365 ist datenschutzkonform einsetzbar.“

„Wir stellen sicher, dass unsere M365-Produkte die strengen EU-Datenschutzgesetze nicht nur erfüllen, sondern oft sogar übertreffen. Unsere Kunden in Deutschland und in der gesamten EU können M365-Produkte weiterhin bedenkenlos und rechtssicher nutzen.“

Die Datenschutzkonferenz (DSK) sieht das nicht so – oder will das nicht so sehen. Zwei Jahre lang hat sich eine eigens eingerichtete „Arbeitsgruppe“ mit den Online-Diensten von Microsoft beschäftigt, u. a. wohl in 14 mehrstündigen Videokonferenzen. In der vergangenen Woche hat man nun einen 8-seitigen Bericht veröffentlicht …

… und was ist laut Bericht der DSK dabei herausgekommen?

„keine vollständige datenschutzrechtliche Bewertung des Cloud-Dienstes Microsoft 365“

Danach wird auf einer halben Seite eindrucksvoll beschrieben, was die „Arbeitsgruppe“ ebenfalls alles nicht gemacht hat:

  • „keine eigenständigen technischen Untersuchungen durch die Arbeitsgruppe und damit keine Prüfung der tatsächlich stattfindenden Datenflüsse und Verarbeitungen“
  • „keine Untersuchung der Umsetzung der vertraglich festgelegten Verarbeitungen bzw. der tatsächlich stattfindenden Verarbeitungen“
  • „keine Prüfung der Einzelkomponenten des Cloud-Dienstes, insbesondere keine Prüfung einzelner Funktionalitäten auf ihre Datenschutzkonformität“
  • „keine Prüfung der einzelnen Verarbeitungstätigkeiten“
  • „keine Prüfung des gesamten einschlägigen Vertragswerks von Microsoft sowie keine Prüfung der datenschutzrechtlichen Anforderungen aus dem TTDSG und der Fragen, die sich aus dem Telekommunikationsrecht und des Fernmeldegeheimnisses ergeben.“

Unmissverständlich folgt das Nicht-Fazit der DSK auf derselben Seite:

„Damit bietet der Bericht keine abschließenden Untersuchungen und kann anderweitige aufsichtliche Feststellungen weder ausschließen noch diesen vorgreifen.“

Zusammengefasst: Zwei Jahre lang veranstaltet die „Arbeitsgruppe“ quasi ein rechtstheoretisches Seminar mit zugeschalteten Gästen. Auf Basis von Dokumenten und Gesprächen kommt man dann erneut zu der unverbindlichen Meinung, es sei „kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich“.

Darüber hinaus enthält der Bericht vor allem die übliche Argumentations-Jonglage: Man beharrt darauf, dass Microsoft die Verarbeitung personenbezogener Daten nicht ausreichend beschreibt. Es geht um grundsätzliche Vorbehalte gegenüber der Cloud-Lösung sowie um theoretische Formulierungen im Vertrag.

Tatsächlich nachgewiesene Rechtsverstöße in der Praxis kommen im Bericht der DSK nicht vor.


Meine Meinung: Chance verpasst – mal wieder!

Wieder hat die Datenschutzkonferenz es verpasst, ihre Hausaufgaben zu machen und handfeste Beweise für angeblich illegale Aktivitäten innerhalb von Microsoft 365 zu liefern.

In der langen Zeit hätte man ja endlich mal die Software und ihre Datenströme in allen Variationen prüfen können, um Futter für einen gepfefferten Gerichtsprozess gegen den US-Konzern zu sammeln.

Stattdessen gibt’s diese halbgare Veröffentlichung ohne Hand und Fuß. Darin ringt man um Begrifflichkeiten und vermutet weiterhin verbotene Aktivitäten. Microsoft soll wie üblich vorab beweisen, sich in Zukunft an geltende Gesetze gehalten zu haben.

Diese ziemlich unmögliche Aufgabe verstärkt den Eindruck, dass die DSK ein politisch motiviertes Machtspielchen gegen den US-Konzern führt. Geht’s hier wirklich noch um die Sache, also einen verbraucherfreundlichen Datenschutz?

Ich finde: Mit so einem Gebaren schadet die „Arbeitsgruppe“ ein weiteres Mal der eigenen Glaubwürdigkeit. Man hat inhaltlich nichts Neues zu bieten und holt sich höchstens den Applaus der feixenden Mastodon-Bubble ab, die ein Komplettverbot von Microsoft-Software in Deutschland herbeisehnt. Jedem seinen Fan-Club!

Dass der aktuelle Bericht wieder einige Schlagzeilen generiert und Verunsicherung streut, kommt der DSK sicher auch gelegen. Auf ähnliche Weise hat man bereits Schulen in Baden-Württemberg unter Druck gesetzt, die zuvor erfolgreich Microsoft 365 Education im Einsatz hatten.

Doch die Strategie der Datenschützer ist mittlerweile durchschaubar und nutzt sich ab. Wären sie wirklich der Überzeugung, dass der Einsatz von Microsoft 365 illegal ist, müssten sie auf ein Verbot der Software hinwirken und dafür auch bereit sein, vor Gericht ziehen. Dann gäbe es wenigstens mal eine Klärung!

Wie reagiert Microsoft auf die DSK?

In den vergangenen Jahren habe ich mir oft gewünscht, dass Microsoft klarer Stellung bezieht. Das Thema so lange auszusitzen und sich nicht öffentlich zu den Vorwürfen zu äußern, hat den Konzern nach meinem Empfinden viel Vertrauen gekostet.

Aus Gesprächen mit Mitarbeitenden bei Microsoft weiß ich, dass diese seit Jahren auf eine Reaktion der Führungsebene gewartet haben.

Immerhin scheint man jetzt aufgewacht zu sein: In einer ausführlichen Stellungnahme reagiert Microsoft im Detail auf die konkreten Vorbehalte der Datenschützer:

„Wir nehmen die Bedenken der DSK ernst. Jedoch halten wir viele der datenschutzrechtlichen Einschätzungen sowie die Schlussfolgerungen der DSK für grundlegend falsch.“

Microsoft greift nicht auf Inhaltsdaten von Kunden zu. […] Microsoft aggregiert lediglich pseudonymisierte, personenbezogene Daten und berechnet Statistiken bezogen auf Kundendaten. Dies resultiert in nicht-personenbezogenen Daten„.

Gleichzeitig spricht man von einem „ausufernden Aufsichtsansatz“ und „Datenschutz zum dogmatischen Selbstzweck“, der die Digitalisierung Deutschlands bremsen würde. Solche Spitzen dienen vermutlich nicht der Sache. Microsoft gibt sich damit aber selbstbewusst und scheint angriffslustiger zu sein als in der Vergangenheit.

Du kannst das komplette Statement hier herunterladen und nachlesen.


Reaktionen von Experten und Medien

Ich finde ja immer auch den Blick über den Tellerrand spannend. Wie gehen Experten und Medien mit dem Bericht der DSK um, auch wenn er keine nennenswerte neue Nachricht oder Erkenntnis enthält?

Einschätzung von reuschlaw.de

Die IT-Fachanwälte Christina Kiefer und Stefan Hessel sind spezialisiert auf Datenschutzrecht. Sie haben sich die Mühe gemacht, beide Stellungnahmen gegenüberzustellen und eine Einschätzung abzugeben:

„Wir kommen darin zu dem Ergebnis, dass weiterhin ein datenschutzkonformer Einsatz von Microsoft 365 möglich ist. […] Dies folgt insbesondere daraus, dass die DSK in nahezu allen Punkten rechtliche Extrempositionen zu bisher ungeklärten Rechtsfragen vertritt“.

Kommentar auf heise.de

Das Online-Portal heise.de gibt sich meist Microsoft-kritisch. Ein aktueller Kommentar fordert die DSK aber auf, „über die Verhältnismäßigkeit ihrer eigenen Prüfkriterien nachzudenken“.

„Das jetzige Ergebnis steht jedenfalls in keinem Verhältnis mit der praktischen Relevanz von Microsoft 365 für Unternehmen und öffentliche Stellen. Die Bewertung der DSK bezieht sich auf minimale Teilaspekte, ohne das große Ganze zu beachten. Angesichts vielfältiger gravierender Bedrohungen für den Datenschutz wirkt der Fokus auf Microsoft 365 verfehlt.“

Kommentar auf DrWindows.de

Fachjournalist Martin Geuß (DrWindows.de) hinterfragt wie üblich beide Seiten und kritisiert die Datenschützer offensiv:

„Die Strategie lautet ‚Wasch mich, aber mach mich nicht nass‘. Man suhlt sich in Bedenken, handfeste Fakten landen aber auch dieses Mal wieder nicht auf dem Tisch.“

Kommentare der Frankfurter Allgemeine

Unter dem Titel „Lebensfremder Datenschutz“ kommentiert FAZ-Autorin Corinna Budras lapidar, „wie sehr sich der Datenschutz von der Lebenswirklichkeit entkoppelt hat“:

„Solch einen Datenschutz versteht niemand mehr.“

In einem ausführlicheren Gastbeitrag nehmen gleich drei Experten die „Produktwarnung“ der DSK auseinander und kritisieren die unzureichende Vorgehensweise der Datenschutzaufsicht.

„Eine technische Prüfung der Behörde, die Datenflüsse und technische Maßnahmen wie Verschlüsselung oder Pseudonymisierung hätte berücksichtigen müssen, gibt es hingegen nicht. Ebenso wenig wurde ermittelt, ob und welche personenbezogenen Daten durch wen verarbeitet werden. Auch in rechtlicher Hinsicht haben sich die Aufsichtsbehörden nur mit ausgewählten Themen befasst.“

Ihr Fazit:

„In diesem Kontext drängt sich die Frage auf, ob die DSK rechtsstaatliche Grundsätze einhält. […] Solange das Bundesdatenschutzgesetz keine Regelungen zur Datenschutzkonferenz enthält, hat der lose Zusammenschluss keinerlei rechtlich anerkannte Befugnisse.“

Kommentar auf vowe.net

Volker Weber ist Autor bei heise und Spiegel. Er kommt in seinem Blog zu dem Schluss, man könne „als Microsoft-Kunde die Bewertung der Datenschutzkonferenz schlicht ignorieren“.

„Wer etwas erreichen will, findet Wege. Wer etwas verhindern will, findet Gründe. Daran kann jeder seinen Datenschutzbeauftragen messen.“

Bericht vom Bayerischen Rundfunk

Kurios, beinahe absurd: Bei BR24 kommt Thomas Petri zu Wort, Bayerns Landesbeauftragter für den Datenschutz. Im Kontext wird explizit auf die kostenlose Education-Version von Microsoft 365 hingewiesen:

„Auf unsere konkrete Frage, ob Schulen die Software anwenden dürfen, antwortet Petri: ‚Was nicht geht, ist, es einfach von der Stange zu nehmen und anzuwenden.‘ – So könne man sich auf eine für den öffentlichen Sektor zugeschnittene Version konzentrieren und man solle diese Version datenschutzfreundlich konfigurieren, so Petri weiter.Wer sich als Lehrer an Microsoft wendet und nach einem passenden Office-Paket fragt, bekommt die sogenannte Standard Education Version empfohlen, die ist für Bildungseinrichtungen in der Grundversion A1 kostenlos.“

Zusammenfassung auf datenschutz-schule.info

Dirk Thiede dokumentiert den Stand der Dinge ausführlich, ausgewogen, kompetent und differenziert in seinem Blog – vor allem mit Blick auf Nordrhein-Westfalen:

„Viele Schulen werden sich nicht von Microsoft 365 trennen wollen, denn es läuft gut und man hat sich in den vergangenen zwei Jahren eingearbeitet. Hinzu kommt, dass die Landeslösungen, Logineo NRW und Logineo NRW Messenger, im Umfang von Funktionen und Leistung nicht einmal ansatzweise an das herankommen, was Schulen mit der Microsoft Lösung im schulischen Alltag umsetzen. Und die Landeslösungen stehen aktuell auf dem Prüfstand. Wie es weitergeht weiß niemand.“

Ich beobachte die laufende Diskussion natürlich weiter für Euch und werde weitere Berichte hier gerne ergänzen. Toi toi toi, dass alle Beteiligten bald die Klarheit haben, die sie in Job und Schule brauchen!

Über den Autor

Ich bin Stefan Malter, Autor und Medientrainer aus Dortmund. In meinen Büchern und Schulungen lernst Du, digitale Tools produktiv und kreativ einzusetzen.

Weitere Tipps für Microsoft 365 sowie die enthaltenen Apps findest Du hier auf Malter365.de.

1 Gedanke zu „Microsoft vs. DSK: (Nichts) Neues von der „Arbeitsgruppe““

Schreibe einen Kommentar

Einführung von Microsoft 365

Praxis-Leitfaden für Firmen und Schulen

Die wichtigsten Tipps, bevor Du Microsoft 365 als Software-Paket für Deine Organisation anschaffst:

Einführung von Microsoft 365 - Leitfaden