Office 365 in der Kritik

Microsoft im Clinch mit Datenschützern

15.07.2020 von Michael Rath, Markus Heins und Christian Kuss

Datenschutz-Spezialisten haben cloudbasierte Microsoft-Produkte unabhängig voneinander auf ihre datenschutzrechtliche Ausgestaltung hin untersucht. Es gibt Vieles zu bemängeln.

Laut deutschen und europäischen Datenschutzbehörden sind viele cloudbasierte Microsoft-Produkte nicht DSGVO-konform nutzbar.
Foto: Alberto Garcia Guillen - shutterstock.com

Videokonferenzsysteme wie Microsoft Teams oder Zoom boomen dank Corona. Dadurch geraten sie auch in den Fokus der datenschutzrechtlichen Aufsichtsbehörden. Die Berliner Aufsichtsbehörde hat nun die Ergebnisse (PDF) ihrer Kurzprüfung von Videokonferenzdiensten veröffentlicht, die sich vor allem auf die Ausgestaltung der Auftragsverarbeitungsverträge konzentrierte. Das Fazit: Kaum einer der geprüften Videokonferenzdienste kann nach Ansicht der Behörde datenschutzkonform eingesetzt werden. Insbesondere bei Microsoft Teams hat die Behörde zahlreiche Mängel im Auftragsverarbeitungsvertrag von Microsoft identifiziert.
Erschwerend hinzu kommt nun auch das Schrems II Urteil des EUGH, welches das EU-U.S. Privacy Shield für ungültig erklärt.

Lesetipp: EuGH zerstört EU-US Privacy Shield

Konsequenzen für Microsoft 365

Microsoft Teams ist fester Bestandteil von Microsoft 365 (ehemals Office 365) und unterliegt deren Bestimmungen hinsichtlich Online Services Terms und Auftragsverarbeitungsvertrag (Data Processing Agreement, DPA). Das führt dazu, dass es zum jetzigen Zeitpunkt laut der Behörde nicht möglich ist, die cloudbasierten Versionen von Word, PowerPoint und weiteren Produkten sowie Microsoft Azure rechtskonform zu nutzen.

Obwohl Microsoft die Nutzungsbedingungen erst kürzlich überarbeitet hatte, enthalte der Auftragsverarbeitungsvertrag noch immer unklare und widersprüchliche Regelungen und weiche damit von den gesetzlichen Mindestanforderungen ab. In diesem Zusammenhang kündigte die Behörde auch an, die bemängelten Punkte besonders berücksichtigen zu wollen, wenn sie Unternehmen überprüfe. Vor diesem Hintergrund sollten vor allem Unternehmen mit Sitz in Berlin, die cloudbasierte Videokonferenzsysteme und Microsoft 365 einsetzen, untersuchen, inwiefern sie selbst nachbessern oder vorerst auf den Einsatz verzichten können.

Die besten kostenlosen Tools für Videokonferenzen

Google Meet
Google Meet ermöglicht web-basierte Video- und Telefonkonferenzen. In der ab Mai verfügbaren Gratisversion erlaubt der Dienst Konferenzen mit bis zu 100 Teilnehmern mit einer Dauer von maximal 60 Minuten - diese Einschränkung tritt aber erst ab Oktober 2020 in Kraft. Wie die meisten Google-Dienste ist Meet für Google Chrome und andere Browser auf Chromium-Basis konzipiert und funktioniert hier ohne Plugins. Daneben sind mobile Anwendungen für Android und iOS verfügbar.

Facebook Messenger Rooms
Mit Messenger Rooms können Nutzer direkt von Messenger oder Facebook aus einen Konferenzraum einrichten und bis zu 20 - später 50 - Teilnehmer zu einem Videotelefonat einladen - auch wenn sie kein Facebook-Konto haben. Eine zeitliche Begrenzung gibt es nicht. Die Teilnahme ist via Smartphone oder PC über den Browser möglich und erfordert laut Facebook keine Downloads. Nutzer der Messenger-App haben allerdings Zugriff auf diverse AR-Effekte (z.B. Hasenohren) und neue KI-gestützte Funktionen wie immersive 360-Grad-Hintergründe und stimmungsvolle Beleuchtung.

Skype
Als wohl bekanntester VoIP-Dienst bietet Sype auch eine Reihe von Video-Chat- sowie Videokonferenz-Funktionen. Skype for Business wurde inzwischen von Microsoft durch die Teams-Plattform ersetzt.

Teams
Der Nachfolger von Lync und Skype for Business ist kein alleinstehendes Produkt, sondern ein Teil der Microsoft Office 365 Suite. Allerdings ist Teams kostenlos verfügbar und eignet sich mit bis zu 300 Mitgliedern für kleine Unternehmen. Auch Gastzugang sowie Einzel- und Gruppen-Videotelefonate, Bildschirmfreigabe sind an Bord.

Google Duo
Google Duo ist als kostenloses Videotelefonie-Tool in erster Linie für Privatanwender konzipiert. Die maximale Anzahl der Teilnehmer wurde in der Android- und iOS-App erst vor kurzem von acht auf zwölf Personen erhöht und soll laut Google weiter steigen. Duo steht als Web-Applikation für PC, Mac und Chromebook sowie als Mobile App für Android- und iOS-Geräte zur Verfügung.

Jitsi Meet
Eine einfach nutzbare Lösung für Videokonferenzen, die aber dennoch viele Funktionen anbietet, ist Jitsi Meet. Die kostenlose Lösung basiert auf dem offenen WebRTC-Standard und kann auf dem PC direkt und ohne Registrierung im Browser (Chrome) genutzt werden. Für Smartphones und Tablets stehen Apps (Android, iOS) bereit.

Whereby
Kostenlos für Videokonferenzen mit bis zu vier Teilnehmern ist der norwegische Dienst Whereby (früher appear.in). . Die Lösung ist WebRTC-basiert, das heißt, die Gäste können sich einfach und ohne Registrierung über den Browser zuschalten. Optional stehen Apps für Android und iOS zur Verfügung.

Tinychat
Nach erfolgter Registrierung bietet das kostenlose Tinychat die Möglichkeit schnell und bequem eine neue Video-Konfernez zu eröffnen. Hierzu muss lediglich einen neuer "Room" erstellt und die generierte URL an die Konferenzteilnehmer verschickt werden.

Lifesize
Lifesize bietet Unternehmen, die von der Coronavirus-Epidemie betroffen sind über einen Zeitraum von sechs Monaten kostenlose Lizenzen an. Meetings und Anrufdauer sind unbegrenzt - dabei steht die Lifesize-Lösung sowohl für Desktops, als auch für Mobilgeräte zur Verfügung.

Zoom
Zoom positioniert sich als einer der führenden Anbieter für Videokonferenzen. Das Tool zeichnet sich in erster Linie durch die einfache Nutzung und ein attraktives Freemium-Angebot aus: Bereits mit der kostenlosen Version sind Videokonferenzen mit bis zu 100 Teilnehmern möglich.

GoToMeeting
LogMeIn hat seine Videokonferenzsoftware GoToMeeting Ende 2019 komplett überarbeitet und neue Funktionen implementiert. Unter anderem funktioniert die Lösung nun im Browser via WebRTC sowie über Desktop- und Mobile-Apps. Die Abopläne beginnen bei 10,75 Euro pro Monat und Host für die Professional-Version.

WebEx
Cisco bietet WebEx im Zuge der Coronavirus-Pandemie bis auf weiteres kostenlos an. Zeitlich unbegrenzte Meetings mit bis zu 100 Teilnehmern, HD-Video, Audio-Einwahl, persönlicher Konferenzraum, Bildschirmfreigabe auf Desktop- und Mobilgeräten, sowie 1GB Cloud-Speicher und Aufzeichnungen sind inklusive.

Stellungnahme von Microsoft

In einer Stellungnahme von Microsoft zu dem Urteil der Datenschützer widerspricht der Konzern der Behörde deutlich. Microsoft sei überzeugt, dass die Produkte im Allgemeinen und auch Microsoft Teams im Speziellen datenschutzkonform eingesetzt werden könnten. Dabei geht Microsoft im Detail auf die einzelnen Kritikpunkte ein. Insbesondere die Mängel im Auftragsverarbeitungsvertrag seien hauptsächlich auf Übersetzungsfehler zurückzuführen.

Dabei kritisiert Microsoft auch, dass sich die Behörde nicht mit den von Microsoft zur Verfügung gestellten Informationen beschäftigt hätte und daher zu einem falschen Ergebnis gekommen sei. Gleichzeitig scheint Microsoft auf der eigenen Einschätzung zu beharren und die von der Aufsichtsbehörde bemängelten Punkte nicht nachbessern zu wollen.

Bei diesem Streit trägt letztendlich der Microsoft-Kunde das Risiko. Er ist datenschutzrechtlich dafür verantwortlich, wenn der Auftragsverarbeitungsvertrag nicht den gesetzlichen Anforderungen genügt. Einen ausreichenden Nachweis zur Datenschutzkonformität wird der Kunde wohl nicht erbringen können.

EU-Datenschutzbeauftragter kritisiert Microsoft

Parallel zur Berliner Aufsichtsbehörde hat auch der europäische Datenschutzbeauftragte Microsoft-Produkte und -Dienste überprüft, die von EU-Institutionen genutzt werden. Das Ergebnis veröffentlichte er nun in einem knapp 30 Seiten langen Bericht (PDF), der auch für Unternehmen interessant ist. Er kritisiert im Wesentlichen die folgenden fünf Punkte:

Eigenständige Verarbeitung durch Microsoft: Microsoft behalte sich nach den eigenen Bestimmungen für Online-Dienste das Recht vor, die Parameter der Auftragsverarbeitung und deren vertraglichen Verpflichtungen zu ändern und selbst zu definieren. Hiermit verlasse Microsoft in unangemessener Weise die Rolle als Auftragsverarbeiter und werde selbst zum Verantwortlichen.
Fehlende Kontrollmöglichkeit über Unterauftragsverarbeiter: Die Microsoft-Kunden hätten weder die Kontrolle darüber, wer als Subunternehmer in Bezug auf die Auftragsverarbeitung eingesetzt wird, noch bestünden entsprechende Prüfungsrechte gegenüber den Unterauftragsverarbeitern.
Internationaler Datentransfer: Die Microsoft-Kunden könnten nicht vollständig nachvollziehen, wo die eigenen Daten gespeichert werden. Damit verbunden sei das Risiko einer unrechtmäßigen Offenlegung der Daten. Teilweise fehle es ferner an geeigneten Garantien, die den internationalen Datentransfer DSGVO-konform absicherten.
Datenerhebung durch Microsoft (Diagnosedaten): Indem die Cloud-Produkte teilweise eigenständig Daten erheben und an Microsoft übermitteln, fehle es an der notwendigen Transparenz der Dienste. Dies hatte im vergangenen Jahr auch das niederländische Ministerium für Justiz und Sicherheit im Rahmen seiner Datenschutz-Folgenabschätzung für Microsoft Office 365 festgestellt.
Intransparente Verarbeitung: Es gebe keine ausreichende Klarheit über Art, Umfang und Zweck der Verarbeitung sowie über die Risiken für die betroffenen Personen. Somit könnten die Kunden ihren Transparenzverpflichtungen gegenüber den Betroffenen nicht vollständig nachkommen.

Für diese Punkte gab der Datenschutzbeauftragte den europäischen Institutionen Handlungs- und Lösungsempfehlungen an die Hand, um sie zu beseitigen. Bestimmte Mängel könnten durch entsprechende Konfiguration der Produkte behoben werden. Andere wiederum sollten mit Microsoft ausgehandelt werden.

Bitkom zieht DSGVO-Bilanz

Konsequenzen des Schrems II Urteils des EUGH

In seinem Schrems II Urteil erklärt der EUGH den EU-U.S. Privacy Shield für ungültig, da US-Geheimdienste anlasslos, zeitlich unbegrenzt und ohne wirksame Zweckbindung Daten von Europäern bei US-Unternehmen abgreifen können. Dies hat zur Folge, dass US-Unternehmen personenbezogene Daten von EU-Bürgerinnen und -Bürgern auf dieser Basis nicht mehr verarbeiten können. Als erste Datenschutzbehörde hat nun der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg eine Orientierungshilfe für die Verwendung von US-amerikanischen Produkten herausgegeben. Diese ist auch insbesondere bei der Verwendung von Microsoft 365 relevant.

In der Orientierungshilfe wird empfohlen nur unter den nachfolgenden Bedingungen eine Übermittlung von Daten in die USA vorzunehmen.

Keine Übermittlung der Daten allein auf der Grundlage des Privacy Shields, da dieser keine gültige Rechtslage mehr darstellt.
Eine Übermittlung von Daten auf Grundlage von Standardvertragsklauseln ist nur zu empfehlen, wenn der Verantwortliche zusätzliche Garantien bietet, die einen Zugriff durch die US-amerikanischen Geheimdienste effektiv verhindern und so die Rechte der betroffenen Personen schützen.
Diese Garantien können derart ausgestaltet sein, dass Verschlüsselungen eingesetzt werden, bei denen nur der Datenexporteur über den Schlüssel verfügt und die Verschlüsselung auch nicht von US-Diensten gebrochen werden kann. Dazu bieten Anonymisierungen oder Pseudonymisierungen, die nur dem Datenexporteur die Zuordnung ermöglichen, einen weitergehenden Schutz
Ebenfalls wäre eine Übermittlung nach Art. 49 DSGVO denkbar, hier muss jedoch der restriktive Charakter des Paragrafen berücksichtigt werden.

Was Microsoft-Kunden jetzt tun können

Was können Microsoft-Kunden also tun? Es wäre möglich darauf zu verzichten, Microsoft-Produkte einzusetzen. Dabei handelt es sich allerdings um eine theoretische Lösung, denn die Produkte sind in vielen Fällen Marktstandard. Alternativ können Microsoft-Kunden versuchen, Anpassungen an den Vertragsbedingungen von Microsoft zu erreichen. Inwiefern für den Großteil der Kunden überhaupt Verhandlungsspielraum hinsichtlich der Ausgestaltung der vertraglichen Grundlagen besteht, ist allerdings fraglich. Diese Option besteht aber wohl nur, wenn der jeweilige Kunde eine ausreichende Marktmacht hat, um Anpassungen mit Microsoft verhandeln zu können.

Als weitere Option könnte der Kunde versuchen, anstelle einer Auftragsverarbeitung eine andere Rechtsgrundlage für die Datenübermittlung an Microsoft fruchtbar zu machen. Dies läuft allerdings auf eine Einzelfallprüfung hinaus, die in der Praxis kaum zu leisten sein wird. Schließlich kann der Kunde stellvertretend für Microsoft einen Rechtstreit führen. Dann wird sich zeigen, ob die von Microsoft vorgebrachten Punkte ein Gericht überzeugen.

Die Einschätzung der Berliner Datenschutzbehörde und des europäischen Datenschutzbeauftragten mag sachlich richtig sein. Auch die Orientierungshilfen des Landesbeauftragten für Datenschutz und Informationssicherheit Baden-Württemberg ermöglichen einen ersten Überblick über die Auswirkungen des Schrems II Urteils und geben Handlungsmöglichkeiten an die Hand.
Tatsächlich hilft diese Erkenntnis dem einzelnen Unternehmen jedoch nicht. Wie Betriebe sich verhalten können, um die Anforderungen der DSGVO umzusetzen, bleibt völlig offen. Zu hoffen bleibt, dass Microsoft Anpassungen an den Vertragsbedingungen vornimmt und die kritisierten Punkte schnell behebt. Um weitestgehend datenschutzkonform zu handeln, sollten Unternehmen bis dahin beim Einsatz von Microsoft 365 jedenfalls die in dieser Checkliste aufgeführten Punkte beachten. (jd/bw)