Microsoft und Datenschutz im Unternehmen – ein Widerspruch?
Auch Microsoft-Produkte sind betroffen: Das sogenannte Schrems-II-Urteil des Europäischen Gerichtshofes hat klargestellt, dass personenbezogene Daten von EU-Bürgern nur in das Nicht-EU-Ausland übertragen werden dürfen, wenn die Betroffenen im Empfängerland einen im Wesentlichen gleichwertigen Datenschutz genießen wie in der EU. Anlässlich aktueller Rügen von Aufsichtsbehörden beleuchten wir für Sie, wie sich die gegenwärtig eingesetzten Produkte beibehalten und Produktivität erhalten lassen, Sie gleichzeitig jedoch die gesetzlichen Vorgaben einhalten können.
Datenübermittlung in die USA
Der EuGH hat für Datenübertragungen in die USA ein angemessenes Schutzniveau verneint. Nachdem das sog. Privacy Shield-Abkommen nun also Datenübermittlungen in die USA nicht mehr per se erlaubt, muss auf Standard-Datenschutzklauseln, verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) und zusätzliche technisch-organisatorische Maßnahmen zurückgegriffen werden. Über die genauen Mittel zur Herstellung eines angemessenen Datenschutzniveaus werden die Nutzer allerdings im Dunkeln gelassen. Behördlich empfohlen wird nur ein Verzicht auf entsprechende Microsoft-Produkte.
Bei einem Marktanteil von 85 %, gleichzeitig auch keinen relevanten europäischen Microsoft-Alternativen, stellt sich also die rein praktische Frage für viele Unternehmen, wie dieser Empfehlung nachgekommen und so jedenfalls mittelfristig ein datenschutzrechtliches Bußgeld umgangen werden soll.
Datenverarbeitung durch Microsoft-Produkte
Fast alle Microsoft-Produkte nutzen Online-Bestandteile, womit auch die Übertragung von personenbezogenen Informationen verbunden sein kann. Anfangs erfolgte bei stationärer Software lediglich eine teilweise abschaltbare Übertragung von Diagnosedaten. Inzwischen haben sich neben Cloud-Services auch dezentrale Softwareprodukte (software as a service) etabliert. Hier werden ständig Nutzer-, Telemetrie- und sogar vollständige Inhaltsdaten an Rechenzentren von Microsoft übertragen. Insbesondere viele Versionen des beliebten „Microsoft 365“ nutzen umfassende Online-Bestandteile.
Microsoft selbst unterwirft alle Datenflüsse den Standardvertragsklauseln der Europäischen Union im Rahmen seines Data Protection Addendums (DPA) und gibt somit an, alle europäischen Datenschutzstandards einzuhalten.
Problematisch ist allerdings, dass insbesondere aufgrund staatlicher Zugriffsmöglichkeiten in den USA keine lückenlose Einhaltung dieser Selbstbindung möglich ist. Ein innereuropäischer Verbleib aller Daten ist auch aktuell nur partiell realisierbar und ohnehin nicht vor dem gerichtlich gerügten allumfassenden Zugriff amerikanischer Behörden sicher. Der US Clarifying Lawful Overseas Use of Data Act (CLOUD-Act) vom 23. März 2018 gibt amerikanischen Behörden nämlich die Möglichkeit, von US-Unternehmen (bzw. deren Töchtern) die Herausgabe von Daten zu verlangen, auch, wenn diese außerhalb der USA gespeichert werden.
Konsequenzen
Die Nutzung von Online-Services innerhalb von Microsoft-Produkten dürfte also gegen europäisches Datenschutzrecht verstoßen. Zwar ist eine Datenschutzverletzung im Einzelfall aufgrund der unternehmensinternen Vorgänge (anders als z. B. bei der öffentlich im Quellcode ersichtlichen Verwendung von ebenso grundsätzlich rechtswidrigen Google-Produkten) nur schwer nachweisbar, Datenschutzbehörden werden Unternehmen aufgrund des Software-Einsatzes jedoch eher in die Pflicht nehmen als dass mit einem neuen Datenschutz-Abkommen zwischen der EU und den USA zu rechnen wäre.
Lösungsmöglichkeiten
Es dürfte sich also für viele Unternehmen die Frage stellen, ob und inwieweit mit vertretbarem Aufwand ein Verzicht auf Microsoft-Produkte überhaupt realisierbar ist.
Neben der Wahl eines alternativen europäischen Softwareanbieters, der zusätzlich zu ähnlicher Funktionalität und erheblicher Kompatibilität auch ein vertretbares Preisgefüge aufweisen müsste, bestünde die Möglichkeit, zumindest bis zu einer erforderlichen zwischenstaatlichen Klärung ein vertretbares datenschutzrechtliches Risiko durch größtmögliche Vermeidung von personenbezogenem Datenverkehr herbeizuführen.
Dies könnte zumindest durch folgende Maßnahmen bewirkt werden:
Wahl eines Offline-Produkts zur Vermeidung der dezentralen Speicherung von Inhaltsdaten
Wahl einer älteren Kauf-Version zur Vermeidung der Übertragung von Nutzerdaten
Deaktivierung des Diagnosedaten-Transfers zur Minimierung des Datenvolumens
Vermeidung von Add-Ons zur Verhinderung des dezentralen Zugriffs auf das Programm
Sicherung besonders schützenswerter Informationen losgelöst von Microsoft-Programmen
Verschlüsselung von Dokumenten mit externen Verschlüsselungsprogrammen