Microsoft365 und DSGVO

Fronten zwischen Microsoft und Datenschützern verhärten sich

29. November 2022, 15:38 Uhr | Martin Fryba
AdobeStock/Imaginis
© AdobeStock/Imaginis

Der Streit zwischen Microsoft und der Datenschutzkonferenz (DSK) nimmt an Schärfe zu. Der Hersteller reagiert unwirsch, wirft der DSK vor, sich längst von der Realität entfernt zu haben. Kommt am Ende aber wieder Teams in die Schulen? Und wie erklärt man die Posse der vergessenen jungen Generation?

Homeschooling ist längst vorbei, Teams in Schulen von einigen Landesdatenschützern verbannt. Muss man es verstehen, dass just auch in jenen Ländern Behörden Microsoft365 einsetzen, an deren Schulen Landesdatenschützer den Einsatz verbieten? In Hinsicht auf die Auslegung der DSGVO ist Deutschland ein Flickenteppich, und auch innerhalb der EU gibt es unter Datenschutzbehörden keine einheitliche Auffassung, ob Microsoft-Cloudprodukte nun dem EU-Datenschutz entsprechen oder nicht. Das Ringen um Antworten auf teils komplizierte Details mag richtig sein, es geht ja um den Schutz persönlicher Daten. Doch mittlerweile haben sich Microsoft und die Mitglieder aus Bund und Ländern in der Datenschutzkonferenz (DSK) in ihrem jahrelangen Streit nun regelrecht ineinander verbissen.

Microsoft: Datenschutz wird zum dogmatischen Selbstzweck
So schnell hat Microsoft noch nie auf eine für den Konzern negative Stellungnahme reagiert. Noch am selben Tag der Veröffentlichung des DSK-Berichts hinsichtlich der datenschutzkonformen Nutzung von Microsoft365 hat der US-Softwareriese mit einer längeren Replik auf einzelne Punkte der DSK-Stellungnahme reagiert. Der Tenor von Microsoft lässt sich so zusammenfassen: Microsoft habe eine verantwortungsbewusste Cloud für Europa gebaut, die sich datenschutzkonform einsetzen lasse. „Die Cloud muss sicher sein und Datenschutz und digitale Souveränität respektieren“, heißt es in der Stellungnahme von Microsoft. Das tue sie auch, denn man setze Technologielösungen ein, die europäischen Gesetzen und Erwartungen entsprechen würden.

Also nichts anderes, als Microsoft Deutschland schon seit Jahren sagt. Doch langsam verliert der Konzern die Geduld mit der DSK. In ungewöhnlich scharfer Form ist in der Gegendarstellung davon die Rede, dass „Datenschutz zum dogmatischen Selbstzweck“ werde. Dieser sei „ein ausufernder Aufsichtsansatz, der keinen Betroffenheitsschutz mehr verfolgt“. Leidtragen seien die für den IT-Einsatz Verantwortlichen.  Schulleiter etwa. Sie würden gelähmt und überfordert bei der Erstellung einer Datenschutz-Folgeabschätzung.

DSGVO gut, aber Auslegung bremst Digitalisierung
Nicht alle, aber einige Datenschutzbehörden in Deutschland würden Microsoft zufolge die DSGVO „übermäßig risikoscheu“ auslegen, so dass die Pflichten von Verantwortlichen „ausufern“ würden. Diese aber, im Gegensatz zu einigen Datenschützern, lebten nicht „isoliert“ oder in einer „akademischen Datenschutzwelt“. Ihre Aufgabe sollte sein: Digitalisierung datenschutzkonform zum Wohle von Bürgern, Verbrauchern oder Schülern erfolgreich zu meistern. Die DKS, so lässt sich aus Microsofts Kritik herauslesen, bremst mit ihrer Auslegung der DSGVO die Digitalisierung in Deutschland und gefährdet den digitalen Aufbruch, den sich die Bundesregierung zum Ziel gesetzt hat.

Längst geht es in der Auslegung der DSGVO hinsichtlich der Nutzung von Microsoft365 nicht mehr nur um den Schutz personenbezogener Daten, sondern ganz allgemein um „pseudonymisierte Daten“, wie Microsoft sie nennt, um beispielsweise seine Produkt benutzerfreundlicher weiterentwickeln zu können. Diese „Verarbeitung von Geschäftstätigkeiten von Microsoft“ wird datenschutzrechtlich von europäischen Aufsichtsbehörden sehr unterschiedlich interpretiert, was der DSK sehr wohl bekannt ist. Microsofts Problem: Europa und die Kakophonie der Datenschützer.

„Dieser unaufgelöste Dissens der nationalen Behörden stellt international agierende Unternehmen vor eine faktisch unüberwindbare Hürde“, so Microsoft.

Angemessenheitsbeschluss naht
Wie also wird es weitergehen? Zumal nach dem spektakulären sogenannten Schrems-II-Urteil des Europäischen Gerichtshofes gegen Facebook die Auslegung der DSGVO bei Datentransfers von der EU in Drittstaaten noch komplizierter geworden. Die EU hat mit einem gemeinsamen Datenschutzgesetz die Rechtsunsicherheit  im Cloud Computing herbeigeführt - wenn auch so nicht gewollt. Nur kann die EU Rechtssicherheit wieder herstellen. Und das will die EU-Kommission auch. Laut Microsoft arbeite sie an einem Angemessenheitsbeschluss, wonach das Datenschutzniveau in den USA als angemessen bewertet werden soll. Kommt dieser Beschluss zustande, wäre der ganze Streit mit der DSK um DSGVO-konformen Einsatz von Microsoft365 begraben.

Schulen haben Teams in ihrer Pandemienot angeschafft, später auf Druck von Datenschützern abgeschafft und könnten dann wieder auf Teams umsteigen. Wie soll man eigentlich eine solche "Digitalstrategie" der in der Pandemie und nun auch in der Energiekrise vergessenen jungen Generation erklären?

Anbieter zum Thema

zu Matchmaker+

Verwandte Artikel

Microsoft

Datenschutz

Matchmaker+