Auslegungssache 156: Datenschutz-Dauerbrenner Microsoft 365

Datenschutz-Dauerbrenner Microsoft 365

Im aktuellen c't-Datenschutz-Podcast wird die Thematik rund um Microsoft 365 eingehend analysiert. Die Hosts, Redakteur Holger Bleich und Jurist Joerg Heidrich, haben Kai Korte, einen Experten für IT- und Datenschutzrecht, eingeladen, um die aktuellen Herausforderungen im Datenschutz zu diskutieren.

Anstieg der Datenschutzbeschwerden

Eine besorgniserregende Entwicklung zeigt sich in den jüngsten Tätigkeitsberichten der Datenschutzbehörden. Die Zahl der eingereichten Beschwerden hat sich in einigen Bundesländern nahezu verdoppelt.

• **Baden-Württemberg:** Anstieg von 4.000 auf über 7.600 Beschwerden.
• **Hamburg:** Steigerung von 2.600 auf 4.200 Beschwerden.

Ein erheblicher Teil dieser Beschwerden wird auf KI-generierte Anfragen zurückgeführt, bei denen Betroffene mithilfe von Chatbots vorgefertigte Texte erstellen und an die Aufsichtsbehörden senden. Dies führt dazu, dass die Behörden an ihre Kapazitätsgrenzen stoßen.

EuGH-Urteil und Auskunftsrecht

Ein weiteres Thema im Podcast ist ein jüngstes Urteil des Europäischen Gerichtshofs (EuGH) zum Auskunftsrecht. In dem Fall „Brillen Rottler“ wurde entschieden, dass bereits ein erster Auskunftsantrag als missbräuchlich eingestuft werden kann. Der EuGH setzt hohe Anforderungen an den Nachweis der missbräuchlichen Absicht seitens des Antragstellers.

Wichtige Punkte des Urteils:

• Der Verantwortliche muss objektiv nachweisen, dass der Antragsteller die Ziele des Datenschutzrechts nicht verfolgt.
• Eine missbräuchliche Absicht muss zudem belegt werden.

Es wird darauf hingewiesen, dass dieses Urteil ein Ausnahmefall bleibt und nicht vorschnell verallgemeinert werden sollte.

Komplexität von Microsoft 365

Das Produktportfolio von Microsoft 365 ist äußerst vielfältig und reicht von Office-Anwendungen bis hin zu Kommunikationsplattformen wie Teams und SharePoint. Die Preisgestaltung variiert stark, von etwa 11 Euro pro Nutzer und Monat für kleinere Unternehmen bis über 55 Euro für umfassende Enterprise-Pakete.

Sicherheitsfunktionen und Datenverarbeitung

Die Datenschutzlage rund um Microsoft 365 ist komplex. Obwohl Microsoft am Transatlantic Data Privacy Framework teilnimmt, was den Datentransfer in die USA formal absichert, bleiben Probleme bestehen. Der **Cloud Act** und die weitreichenden Zugriffsbefugnisse US-amerikanischer Behörden werfen Fragen auf.

Microsoft hat vertraglich zugesichert, dass Daten europäischer Unternehmen innerhalb der EU gespeichert werden. Dennoch gibt es Bedenken hinsichtlich Wartungszugriffen aus den USA, die unter bestimmten Umständen möglich sind. Ein Microsoft-Chefjustiziar hat öffentlich zugegeben, dass es schwierig wäre, einem US-Herausgabebeschluss zu widersprechen.

Telemetrie- und Diagnosedaten

Ein zentraler Kritikpunkt ist die umfassende Erfassung von Telemetrie- und Diagnosedaten durch Microsoft. Diese Daten umfassen unter anderem:

• Anmeldezeiten
• Gesprächsdauern
• Teilnehmerlisten
• Nutzeraktivitäten

Die genaue Art der erfassten Daten und deren Verarbeitung bleibt weitgehend intransparent. Der Datenschutzbeauftragte aus Hessen hat einen Bericht veröffentlicht, der den Einsatz von Microsoft 365 unter bestimmten Bedingungen in öffentlichen Stellen erlaubt, jedoch ohne technische Überprüfung der Datenflüsse.

Sicherheitswerkzeuge und Monitoring

Zusätzlich bietet Microsoft Produkte wie Sentinel und Purview an, die Unternehmen bei der Analyse des Verhaltens ihrer Mitarbeiter unterstützen.

• **Purview:** Ein mächtiges Sicherheitswerkzeug, das jedoch auch Risiken birgt, insbesondere im Hinblick auf unzulässiges Profiling.

Datenschutz-Folgenabschätzung

Die Frage, ob Unternehmen vor dem Einsatz von Microsoft 365 eine Datenschutz-Folgenabschätzung durchführen müssen, wird differenziert betrachtet. Während Aufsichtsbehörden dies fordern, ist es für kleinere Unternehmen ohne besondere Datenkategorien nicht zwingend erforderlich. Dennoch wird geraten, einen Überblick über die verarbeiteten Daten zu behalten.

Alternativen zu Microsoft 365

Die Diskussion über Alternativen zu Microsoft 365 wird ebenfalls angesprochen. Bleich verweist auf Lösungen, die auf Nextcloud basieren. Diese Produkte sind jedoch für größere Unternehmen in der alltäglichen Arbeit oft nicht konkurrenzfähig.

Eine neue Initiative, „Euro-Office“, die von Ionos und Nextcloud ins Leben gerufen wurde, soll im Sommer starten. Ob diese Initiative den Rückstand zu Microsoft 365 aufholen kann, bleibt abzuwarten.

Auch das OpenDesk-Projekt für die öffentliche Verwaltung wird als Schritt in Richtung digitale Souveränität betrachtet.

Dringender Bedarf an europäischen Alternativen

Die Experten sind sich einig, dass es dringend notwendige europäische Alternativen gibt, jedoch sind diese noch nicht in der Lage, mit Microsoft 365 zu konkurrieren. Die Abhängigkeit von Microsoft bleibt bestehen, ebenso wie die datenschutzrechtlichen Bedenken, die damit einhergehen.