Microsoft ist Behauptungen entgegengetreten, sein Software-Paket MS 365 erfülle den in Europa geltenden Datenschutz womöglich nicht. „Wir stellen sicher, dass unsere M365-Produkte die strengen EU-Datenschutzgesetze nicht nur erfüllen, sondern oft sogar übertreffen. Unsere Kunden in Deutschland und in der gesamten EU können M365-Produkte weiterhin bedenkenlos und rechtssicher nutzen“, heißt es in einer aktuellen Stellungnahme.
Microsoft sei sich seiner Verantwortung als globaler Technologieanbieter mit mehr als einer Milliarde Nutzern in 140 Ländern bewusst. „Die Cloud muss sicher sein und Datenschutz und digitale Souveränität respektieren“, so schreibt der Konzern. „Deshalb bieten wir Technologielösungen an, die europäischen Gesetzen und Erwartungen (in Bezug auf Sicherheit und Datenlokalisierung) entsprechen.“
Bereits jetzt speichere Microsoft Kundendaten weitgehend regional in Rechenzentren in der EU. „Zusätzlich – über die gesetzlichen Anforderungen hinaus – wird die Microsoft EU-Datengrenze bald in der EU ansässigen Kunden aus dem öffentlichen Sektor und Unternehmenskunden ermöglichen, ihre Daten innerhalb der EU zu speichern und auch zu verarbeiten. Die EU-Datengrenze wird Datenflüsse nach außerhalb der EU maßgeblich reduzieren und noch größere Transparenz mit detaillierter Dokumentation zu verbleibenden, notwendigen Datenflüsse herstellen“, heißt es.
Einige Datenschutzbehörden in Deutschland scheinen laut Microsoft die Datenschutz-Grundverordnung „übermäßig risikoscheu und die Pflichten von Verantwortlichen ausufernd“ auszulegen. Verantwortliche – etwa Schulleitungen – agierten jedoch nicht in einer isolierten oder akademischen Datenschutzwelt. „Die Ziele des Datenschutzes wollen sie praxisgerecht und regelkonform erreichen und gleichzeitig ihre dringlichen Aufgaben zum Wohle von Bürgern, Verbrauchern, Schülern etc. erfolgreich meistern. Ein ausufernder Aufsichtsansatz, der keinen Betroffenenschutz mehr verfolgt, macht Datenschutz zum dogmatischen Selbstzweck. Er überfordert und lähmt Verantwortliche (z. B. Schulleiter bei der Erstellung einer Datenschutz-Folgenabschätzung).“
Microsoft greift nicht auf Inhaltsdaten von Kunden zu
Auch den Verdacht, Microsoft sammele möglicherweise persönliche Daten der Nutzerinnen und Nutzer, weist der Konzern entschieden zurück. „Microsoft aggregiert lediglich pseudonymisierte, personenbezogene Daten und berechnet Statistiken bezogen auf Kundendaten. Dies resultiert in nicht-personenbezogenen Daten, welche Microsoft dann für folgende Geschäftstätigkeiten nutzt: (i) Abrechnungs- und Kontoverwaltung, (ii) Vergütung, (iii) interne Berichterstattung und Geschäftsmodellierung und (iv) Finanzberichterstattung. Die Rechtsgrundlagen, die bereits den Einsatz von Microsoft 365 durch den Verantwortlichen (Kunden) rechtfertigen, decken auch diese Vorgänge ab. Microsoft wird seine Kunden durch geeignete Unterlagen und Dokumentation zu dieser Auffassung unterstützen.“ Betont wird ausdrücklich: „Microsoft greift nicht auf Inhaltsdaten von Kunden zu.“
Mit Blick auf eine immer wieder hochkochende Grundsatz-Debatte darum, ob US-Unternehmen europäischen Datenschutz einhalten, heißt es: „Bei vernünftiger Betrachtung handelt es sich hier um eine rein akademische, den Interessen der Betroffenen und Kunden in keiner Weise dienende Diskussion um hoch standardisierte, industrietypische und datenschutzrechtlich neutrale Verarbeitungen.“
Hintergrund: Die Datenschutzkonferenz von Bund und Ländern hatte unlängst nach der Begutachtung durch eine interne Arbeitsgruppe formal festgestellt, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, nicht geführt werden könne. Andererseits werden aber auch keine konkreten Datenschutzverstöße festgestellt. Konsequenzen aus dem Beschluss: keine.
Hier lässt sich die vollständige Stellungnahme herunterladen.