Microsofts Datenschutzpraktiken und ihre Vereinbarkeit mit der DSGVO
In Deutschland gibt es nach wie vor erhebliche Bedenken, ob Microsofts Datenschutzpraktiken vollständig mit der Datenschutz-Grundverordnung (DSGVO) vereinbar sind. Insbesondere die Datenübertragung in die USA bleibt ein zentraler Streitpunkt. Seit dem Schrems II-Urteil des Europäischen Gerichtshofs (EuGH) im Juli 2020, das den Privacy Shield für ungültig erklärte, sind Unternehmen verpflichtet, strengere Maßnahmen zu ergreifen, um den Datenschutz bei grenzüberschreitenden Datenflüssen zu gewährleisten. Microsoft stützt sich vor allem auf Standardvertragsklauseln (SCCs), um Daten aus der EU in die USA zu übertragen, doch Datenschützer sehen dies als problematisch an.
1. Datenübertragung in die USA und Zugriff durch US-Behörden
Das größte Bedenken vieler deutscher Datenschutzbehörden liegt in der Datenübertragung in die USA. US-Gesetze wie der Cloud Act und Programme der Überwachung durch US-Behörden ermöglichen es, auf Daten von in den USA ansässigen Unternehmen zuzugreifen, selbst wenn diese Daten auf Servern außerhalb der USA gespeichert werden. Trotz der Verwendung von Standardvertragsklauseln bietet Microsoft nach Ansicht vieler Datenschützer nicht ausreichende Garantien, dass personenbezogene Daten vor dem Zugriff durch US-Behörden geschützt sind. Der EuGH forderte im Schrems II-Urteil ausdrücklich, dass Unternehmen zusätzliche Schutzmaßnahmen einführen, um den DSGVO-Standard auch bei Übertragungen in Drittstaaten zu wahren. Microsoft setzt zwar auf Verschlüsselung und andere Sicherheitsmechanismen, doch wird kritisiert, dass diese Maßnahmen nicht ausreichen, um den Anforderungen der DSGVO gerecht zu werden, insbesondere was den Zugang von Dritten betrifft.
2. Mangelnde Kontrolle über die Daten
Ein weiteres zentrales Thema ist die Datenkontrolle. Datenschützer argumentieren, dass Microsofts Cloud-Dienste – wie etwa Microsoft 365 – den Kunden nur begrenzte Kontrolle über ihre Daten bieten. Dies könnte gegen die Grundsätze der Datenminimierung und Zweckbindung der DSGVO verstoßen. Die DSGVO verlangt, dass Unternehmen personenbezogene Daten nur so lange speichern und verarbeiten, wie es für den ursprünglich vorgesehenen Zweck notwendig ist. In der Praxis ist es für viele Unternehmen jedoch schwierig nachzuvollziehen, wo ihre Daten in der Microsoft Cloud gespeichert und verarbeitet werden. Zwar gibt Microsoft einige Kontrollwerkzeuge an die Hand, doch diese werden oft als unzureichend betrachtet, um eine vollständige Einhaltung der DSGVO zu gewährleisten.
3. Standardvertragsklauseln und rechtliche Unsicherheit
Microsoft verwendet in vielen Fällen Standardvertragsklauseln (SCCs), um die Datenübertragung aus der EU in Drittstaaten, einschließlich der USA, rechtlich abzusichern. Diese Klauseln sind eine der von der Europäischen Kommission anerkannten Maßnahmen, um einen Datentransfer auf eine rechtliche Grundlage zu stellen. Dennoch haben deutsche Datenschutzbehörden mehrfach darauf hingewiesen, dass SCCs allein nicht ausreichen, um die Anforderungen des EuGH-Urteils im Schrems II-Fall zu erfüllen. Der EuGH stellte klar, dass zusätzliche technische und organisatorische Maßnahmen erforderlich sind, um sicherzustellen, dass Daten vor unbefugtem Zugriff geschützt sind. Microsoft hat zwar betont, dass sie zusätzliche Maßnahmen implementieren, wie etwa die Verschlüsselung von Daten, jedoch kritisieren Datenschützer, dass diese Schutzvorkehrungen im Kontext der weitreichenden Befugnisse von US-Überwachungsbehörden nicht ausreichen.
4. Stellungnahme der deutschen Datenschutzbehörden
Mehrere deutsche Datenschutzbehörden, darunter der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), haben Microsofts Datenschutzpraktiken in der Vergangenheit geprüft und teils scharf kritisiert. Besonders die Nutzung von Microsoft 365 in Schulen und im öffentlichen Sektor wurde in Frage gestellt. Im November 2022 gab es beispielsweise eine Warnung des HBDI, dass die Nutzung von Microsoft 365 in Schulen nicht DSGVO-konform sei. Die Datenschützer bemängelten, dass nicht klar sei, ob und in welchem Umfang personenbezogene Daten in Drittländer wie die USA übertragen werden und ob diese Übertragungen durch ausreichend strenge Schutzmechanismen abgesichert seien.
5. Mögliche Lösungen und Forderungen
Um die Bedenken der deutschen Datenschutzbehörden zu adressieren, müssten Unternehmen, die Microsoft-Dienste nutzen, zusätzliche Maßnahmen ergreifen, um sicherzustellen, dass die Datenverarbeitung vollständig DSGVO-konform ist. Dazu gehört unter anderem:
• Die Nutzung von lokalen Rechenzentren in der EU, um sicherzustellen, dass personenbezogene Daten ausschließlich innerhalb der EU verarbeitet und gespeichert werden.
• Die Implementierung von Ende-zu-Ende-Verschlüsselung, bei der die Daten verschlüsselt werden, bevor sie in die Cloud geladen werden, sodass auch Microsoft selbst keinen Zugriff auf die Daten hat.
• Regelmäßige Audits und Datenschutz-Folgenabschätzungen (DPIAs), um sicherzustellen, dass alle Datenverarbeitungsprozesse den Anforderungen der DSGVO entsprechen.
Fazit
Obwohl Microsoft erhebliche Fortschritte gemacht hat, um die Anforderungen der DSGVO zu erfüllen, bleiben insbesondere in Deutschland erhebliche Zweifel an der DSGVO-Konformität der Microsoft-Dienste, insbesondere im Hinblick auf die Datenübertragung in die USA. Für Unternehmen und Organisationen, die Microsoft-Cloud-Dienste nutzen, ist es wichtig, sich der Risiken bewusst zu sein und sicherzustellen, dass sie die notwendigen Maßnahmen ergreifen, um ihre eigene DSGVO-Konformität zu gewährleisten. Dies könnte bedeuten, zusätzliche Schutzmaßnahmen zu implementieren oder gegebenenfalls alternative Anbieter zu prüfen, die strengere Datenschutzanforderungen erfüllen.