Können Microsoft 365 und Microsoft Teams in Unternehmen und im öffentlichen Sektor – insbesondere im Bildungsbereich – datenschutzkonform eingesetzt werden? Fragen wie diese waren zuletzt Gegenstand von Debatten. Microsoft stellt nun unmissverständlich klar: „Die Antwort lautet eindeutig ja.“ Warum Microsoft-Produkte datenschutzkonform sind, warum Diagnosedaten in den Produkten und Services zum Einsatz kommen und was es mit dem Datentransfer in Drittstaaten auf sich hat, beantwortet der Konzern in einer umfassenden Stellungnahme.
„Alle Microsoft Produkte und Dienste können in der Privatwirtschaft und im öffentlichen Sektor (z.B. an Schulen) datenschutzkonform eingesetzt werden und sind auch selbst datenschutzkonform. Microsoft hält die Anforderungen des geltenden Datenschutzrechts ein“, so erklärt Wolfgang Döring, Leiter der Rechtsabteilung bei Microsoft Deutschland. Er betont weiter: „Microsoft bietet Kunden vertragliche Zusagen und technische Mittel, um Microsoft Produkte und Dienste datenschutzkonform nutzen zu können, insbesondere vertragliche Zusagen: z.B. verwendet Microsoft Kundendaten nicht für sachfremde Zwecke wie Werbung und ergreift rechtliche Schutzmaßnahmen gegen unrechtmäßige Herausgabeverlangen von Behörden oder Dritten.“
Darüber hinaus stellt er fest: „Microsoft speichert Daten weitgehend regional in Rechenzentren in der EU. Zusätzlich wird die Microsoft EU Data Boundary es künftig in der EU ansässigen Kunden aus dem öffentlichen Sektor und Unternehmenskunden ermöglichen, ihre Daten innerhalb der EU zu verarbeiten und zu speichern.“
In einer schriftlichen Mitteilung wendet sich der Konzern gegen Behauptungen, die Microsoft-Lösungen betreffen – wie die: „Die Cloud ist unsicher.“ Richtig sei vielmehr:
„Die Cloud-Nutzung führt zu einer erhöhten Sicherheit und Verfügbarkeit von Daten im Vergleich zu On-Premise-Lösungen. Der aktuelle Krieg in der Ukraine zeigt, dass Länder, die eine Cloud-Strategie verfolgen, weniger von Cyber-Angriffen betroffen sind.“ Vorschriften zum technologischen Schutz von Daten (z. B. Art. 32 DS-GVO) machten es zudem erforderlich, den Schutz an die technischen Gegebenheiten fortwährend anzupassen und weiterzuentwickeln. „Cloud-Lösungen bilden fortlaufend die aktuellen Sicherheitsanforderungen ab.“
„Diagnosedaten sind notwendig, um Produkte und Dienste sicher und stabil zu betreiben.
Falsch sei auch die Behauptung, „die US-Regierung liest alles mit“. Richtig dagegen sei: „Ein Interesse von US-Behörden z.B. an Daten aus einem Schulunterricht in Deutschland kann nicht ernsthaft behauptet werden.“ Die US-Regierung nutzte ihre rechtlichen Möglichkeiten, die Herausgabe von Daten zu verlangen, im Wesentlichen zur Sammlung von Informationen für Ermittlungen zu schwerwiegenden Bedrohungen der nationalen Sicherheit, wie Terrorismus, Cybersecurity-Angriffe und Waffenproliferation.
„Microsoft überwacht die Nutzer seiner Produkte und Dienste“ – auch diese Behauptung sei falsch. „Richtig ist vielmehr: Die technische Verbindung zwischen Nutzer und Microsoft (z.B. über Server und Rechenzentren) ist in vielen Fällen zwingende Voraussetzung für die vertraglich geschuldete Diensterbringung. Nichts davon kann als ein Ausspähen von Kunden angesehen werden.“ Und: „Cloud-Dienste funktionieren nur, wenn Nutzeraktionen übermittelt werden, damit die jeweilige Reaktion der Applikation ausgeführt werden kann (z.B. eine Übersetzung). Das ist technisch mit Verarbeitungen bei On-Premise-Lösungen vergleichbar.“
Ähnliches gilt laut Microsoft für Diagnosedaten. Der Konzern stellt klar: „Diagnosedaten sind notwendig, um Produkte und Dienste sicher und stabil zu betreiben. Unsere Kunden erwarten zurecht, dass sie unsere Produkte und Dienste vertragsgemäß und sicher nutzen können. Die verantwortungsvolle Nutzung von Diagnosedaten trägt dazu bei. Kunden nutzen viele verschiedene technische Infrastrukturen. Die Verarbeitung von Diagnosedaten ist daher sehr nützlich, um die Anfälligkeit für Fehler und die Wahrscheinlichkeit von Sicherheitsrisiken zu verringern.“ Für die vertraglich vereinbarte und daher vom Kunden auch zurecht erwartete Stabilität und Sicherheit der jeweiligen Anwendung (und damit für deren ordnungsgemäßes Funktionieren) müssten bestimmte Daten erfasst werden – schlicht um die gewünschte Aktion des Nutzers auszuführen.
Hier geht es zu der vollständigen Stellungnahme von Microsoft: https://news.microsoft.com/de-de/sind-microsoft-365-und-microsoft-teams-datenschutzkonform-die-antwort-lautet-ja/