In einem Blog über Microsoft 365 müssen wir uns natürlich auch mit Fragen zum Datenschutz auseinandersetzen.
Keine Sorge: Ich bin kein Jurist und werde hier keine rechtliche Abhandlung niederschreiben. Eine verständliche Einordnung und ein paar grundlegende Hinweise für die Praxis möchte ich Dir aber trotzdem mitgeben, damit Du Dich möglichst sorgenfrei mit Office, Copilot & Co. an die Arbeit machen kannst.
Bei Bedarf werde ich diesen Blog-Beitrag aktualisieren. Speichere den Link also gerne, um Dich jederzeit auf den aktuellen Stand bringen zu können.
Diskussion um Microsoft 365 – worum geht’s?
Vielleicht hast Du die Diskussion in den Medien oder anderweitig mitbekommen: Der Einsatz von Microsoft 365 ist nicht unumstritten.
Die Position der Gegner
Einige Datenschützer sind der Auffassung, dass das Cloud-basierte Angebot gegen geltendes EU-Recht verstößt, und zwar gegen die Datenschutzgrundverordnung (DSGVO). Es sei unklar, ob und wie Microsoft gespeicherte Daten verarbeite und für weitere Zwecke nutze.
Daher raten sie grundsätzlich von der Nutzung der Software ab. Wenn sie es könnten, würden sie Microsoft 365 am liebsten komplett verbieten.
Die DSGVO gilt für die gesamte Europäische Union. Das Gesetz regelt u. a., wie Unternehmen personenbezogene Daten speichern dürfen und wie sie ihre Kund*innen darüber informieren müssen.
Die Position der Befürworter
Das ist keine Überraschung: Microsoft selbst behauptet, alle Vorgaben der DSGVO zu erfüllen. Man habe dafür in den vergangenen Jahren die Nutzungsbedingungen angepasst und zahlreiche technische Maßnahmen ergriffen.
- Die Inhalte deutscher Kunden speichere man überwiegend auf Servern innerhalb der EU – größtenteils in Deutschland.
- Nutzungsdaten leite man nicht unerlaubt an Drittländer weiter.
- Nur in absoluten Ausnahmefällen und auf klarer Rechtsgrundlage müsse man den US-Behörden Zugriff auf Daten gewähren, etwa zur Verfolgung schwerer Straftaten.
Viele Jurist*innen sind der Meinung, dass man Microsoft 365 datenschutzkonform einsetzen kann – unter bestimmten Voraussetzungen (s. u.).
Zu dieser Einschätzung kamen zuletzt auch der EU-Datenschutzbeauftragte (EU-DSB) sowie der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI).
Zwischenfazit: Kein Verbot in Sicht
Es gibt also weder ein generelles Verbot der Software noch irgendein Gerichtsurteil dazu, dass Microsoft mit seinem Angebot gegen geltendes Recht verstößt.
Tatsächlich wird die Software in vielen großen Unternehmen und Organisationen verwendet. Auch zahlreiche Behörden und offizielle Stellen in Deutschland setzen auf die Online-Dienste inklusive integrierter Cloud-Anbindung – abgesegnet und freigegeben von ihren zuständigen Datenschutzbeauftragten.
Dazu gehören zum Beispiel die Bundesarbeitsagentur und das Land Niedersachsen, viele Kommunen, Teile der Bundesregierung und zahlreiche Abgeordnete im EU-Parlament.
Voraussetzungen für Microsoft 365
Anwender*innen möchten die Apps und Programme sorgenfrei nutzen können. Sie wünschen sich im Arbeitsalltag einfach nur rechtliche Klarheit. Dabei gelten je nach Einsatzbereich (Unternehmen, Verwaltung, Schule) unterschiedliche Vorgaben.
Was sollte man also wissen und beachten, wenn man beruflich mit Microsoft 365 zu tun hat?
- Laut DSGVO liegt die rechtliche Verantwortung bei der Organisation, also bei der Firma, Behörde oder Schule. Die Organisation schließt mit Microsoft einen Vertrag für die Auftragsverarbeitung, bleibt aber selbst Ansprechpartnerin. Das gilt übrigens auch, wenn Du die Software als Freiberufler*in nutzt.
- Die Organisation muss nachvollziehbar dokumentieren, welche Daten sie für welche Zwecke sammelt, speichert und verarbeitet. Im sogenannten Verzeichnis der Verarbeitungstätigkeiten (VVT) muss nicht nur der Einsatz von Microsoft 365 beschrieben sein, sondern jede relevante Datenverarbeitung auf dem Computer sowie im Firmennetzwerk.
- Die Organisation muss technische Vorkehrungen treffen, um die Sicherheit der Daten zu gewährleisten. Microsoft 365 bietet dafür zahlreiche Einstellungen und Funktionen, zum Beispiel Zugriffsbeschränkungen und die Verschlüsselung von Dateien. Um diese Konfiguration sollte sich ein erfahrener IT-Beauftragter bzw. -Dienstleister kümmern.
- Wer besonders sensible Daten verarbeitet, muss mögliche Risiken bewerten und dafür eine Datenschutz-Folgenabschätzung (DSFA) erstellen. Das spielt auch an Schulen eine Rolle, weil Daten von Kindern als besonders schützenswert gelten.
Das sind alle wesentlichen Rahmenbedingungen, um Microsoft 365 rechtssicher einsetzen zu können.
Unsere Verantwortung als Nutzer*innen
Entscheidend ist aber nicht, ob Du die Software verwendest, sondern wie Du die Software nutzt. Im Arbeitsalltag kommt es darauf an, dass Du Dich an die Vorgaben Deiner Organisation hältst. Lerne bewusst zu entscheiden und zu unterscheiden, was Du wann darfst – und was nicht:
- Inhalte ohne personenbezogene Daten sind rechtlich unproblematisch. Solange Du keine schützenswerten Daten nutzt, verletzt Du keinen Datenschutz.
- Nutze darüber hinaus ausschließlich freigegebene Anwendungen und die dafür vorgesehenen Speicherorte, keine anderen Online-Tools oder Cloud-Dienste.
- Hast Du noch Fragen oder Bedenken? Sprich mit IT-Verantwortlichen darüber. Thematisiert und versachlicht das Thema Datenschutz in Eurem Team. Je besser Du informiert bist, desto sicherer wirst Du Dich im Umgang mit den digitalen Tools fühlen.
Microsoft und die Vertrauensfrage
Unabhängig von der rechtlichen Bewertung: Kritiker befürchten, dass wir uns zu sehr von US-Konzernen mit deren gigantischer Marktmacht abhängig machen. Die politischen Entwicklungen in den Vereinigten Staaten stärken das Misstrauen und den Wunsch nach digitaler Souveränität.
Deshalb wächst das Interesse an nicht-kommerziellen Lösungen gerade spürbar – vom freien Betriebssystem Linux über die Office-Software LibreOffice bis zur Open-Source-Plattform Nextcloud. Einige Länder, Kommunen und Organisationen haben sich bereits von Microsoft 365 verabschiedet.
Für den enormen Vertrauensverlust ist nicht nur die US-Regierung verantwortlich, sondern auch Microsoft selbst. Dort hatte man über Jahre wenig Verständnis für die Bedenken aus Europa.
Das habe ich einige Male persönlich erlebt, zum Beispiel in Diskussionen mit den Entwicklern vor Ort in Redmond. Wenn ich dort von unserer Haltung zum Thema Datenschutz berichtet habe, wurde das eher belächelt als ernst genommen.
Aber auch Microsoft Deutschland hat die anhaltende Kritik zu lange ignoriert. Statt die Diskussionen auszusitzen, hätte man als verantwortlicher und relevanter Player selbstbewusster Stellung beziehen und eigeninitiativ mehr Transparenz herstellen sollen.
Beim Marketing des KI-Assistenten Copilot scheint man es besser machen zu wollen und spricht offensiver über Datensicherheit. Was bleibt Microsoft übrig: Man möchte Geld verdienen und muss daher dringend wieder Vertrauen aufbauen.
Was spricht trotzdem für Microsoft 365?
Befürworter kennen die Vorbehalte der Kritiker natürlich auch. Sie argumentieren wiederum damit, dass die Software weltweit verbreitet ist und nicht ohne Grund als Standard für die Berufswelt gilt.
- Mit der Verlässlichkeit, der Vielseitigkeit, dem Funktionsumfang und der intuitiven Bedienung von Microsoft 365 könne keine Alternative mithalten.
- Vor allem die Möglichkeiten zur Zusammenarbeit, das Zusammenspiel der Tools und die geräteübergreifende Integration der Cloud gelten als einzigartig.
- Wer in Zukunft wettbewerbsfähig bleiben wolle, komme zudem nicht um die enthaltenen KI-Funktionen herum. Der Wettbewerb bleibt jedenfalls spannend.
Meine Meinung: Mehr Medienkompetenz wagen
Meines Erachtens sind die Argumente beider Seiten nachvollziehbar. Dass ich von der oft einseitigen, undifferenzierten, teilweise unsachlich geführten Debatte wenig halte, wird Dich vermutlich nicht überraschen.
Wie emotional das Thema diskutiert wird, bekomme ich auch selbst oft zu spüren: Regelmäßig werde ich im Internet angefeindet, bisweilen sogar persönlich beleidigt, weil ich über die Möglichkeiten der Microsoft-Software informiere. Mich erreichen teilweise Nachrichten, die ich hier aus Jugendschutzgründen nicht veröffentlichen dürfte.
Vorsorglich nochmal zur Klarstellung: Natürlich finde ich das Thema Datenschutz wichtig. Ich berücksichtige es in nahezu jeder Schulung für Microsoft 365 sowie in jedem meiner Software-Handbücher. Dabei setze ich als Autor und Medientrainer grundsätzlich auf die Vermittlung von Medienkompetenz. Statt pauschaler Verbote befürworte ich einen bewussten und mündigen Umgang mit digitalen Tools.
Microsoft 365: Schulung für Firmen und Organisationen
Auf einer eigens eingerichteten Themenseite zum Datenschutz mache ich zudem transparent, wie sich sowohl Microsoft als auch die Datenschützer positionieren und dabei oft unglücklich kommunizieren.
Wir sollten uns sorgenfrei in der digitalen Welt bewegen und selbst entscheiden können, wem wir unsere persönlichen Daten und Inhalte anvertrauen. Ich erwarte von allen Betreibern und Dienstleistern, dass sie meine privaten Informationen vor ungewolltem Zugriff schützen und nicht ohne Erlaubnis für andere Zwecke nutzen.
Gleichzeitig hat jeder von uns eine Mitverantwortung. Beim Datenschutz geht es eben nicht nur um eigene Daten, sondern auch um den Schutz personenbezogener Daten Dritter, etwa von Kolleg*innen oder Kund*innen.
Wenn Du also die Daten einer anderen Person speicherst oder anderweitig digital verarbeitest, dann muss diese Person darüber informiert und damit einverstanden sein. Das gilt für jede Software und hat überhaupt nichts speziell mit Anwendungen von Microsoft zu tun.
Das Kultusministerium Bayern hat eine Anleitung veröffentlicht, wie Schulen Microsoft 365 Education sicher nutzen können:
