Microsoft 365 & Datenschutz – die Herausforderungen mit der DSGVO

Seit Beginn der Corona Restriktionen zeigen viele Bereiche des gesellschaftlichen Lebens aber auch geschäftlichen Lebens deutlich auf, wie schnell sich die Zeiten  der scheinbar grenzenlosen Möglichkeiten, ändern können. Dennoch wurde als man noch davon ausging, jahrelang die Digitalisierung, besonders in Schulen verschlafen, teils auch schlichtweg verweigert. Doch dann musste alles plötzlich sehr schnell gehen, Hauruckaktionen, Aktionismus, kurze Dienstwegen und schnelle Workarounds waren gefragt. Dabei stellte sich im Alltag immer öfter eine entscheiden Frage: Wie genau und nachhaltig soll der Datenschutz in den Mittelpunkt der zu schaffenden Lösungen rücken? Eine pragmatischer Lösungsansatz ist bei Unsicherheit oft, die Nutzung von Standardsoftware, da man hier davon ausgehen kann, dass schon alles rechtens ist. Ist das so?

Um aufzuzeigen, wie schwierig es im Einzelfall werden kann, schauen wir uns einmal Microsoft 365 (ehemals Microsoft Office und Office 365) an. Hierunter werden Word, Excel, Powerpoint, OneNote, OneDrive, Outlook sowie MS Teams zusammengefasst und gelten als der Goldstandard in Sachen Bürosoftware, Textverarbeitung, Präsentationen und Tabellenkalkulation – es gibt kaum einen Haushalt oder eine Schule bzw. ein Unternehmen welches nicht darauf setzt. Doch erfüllt die Software eigentlich alle Vorgaben der DSGVO?

Microsoft erklärt in den Nutzungsbedingungen nicht konkret bzw. nicht eindeutig, was man mit den erhobenen Daten der Nutzer macht. Das ist insofern kritisch, da diese unterschiedlich ausgelegt und gedeutet werden können – was wiederum die DSGVO eigentlich verhindern wollte.

In der Tat behält sich Microsoft vor, Kundendaten und personenbezogene Daten unter anderem auch zur Verfolgung von legitimen Geschäftstätigkeiten zu verarbeiten. Als legitime Geschäftstätigkeiten werden unter anderem diese Zwecke benannt:

• Abrechnungs- und Kontoverwaltung; Vergütung (z. B. Berechnung von Mitarbeiterprovisionen und Partneranreizen)
• interne Berichterstattung und Modellierung (z. B. Prognose, Umsatz, Kapazitätsplanung, Produktstrategie)
• Bekämpfung von Betrug, Cyberkriminalität oder Cyberangriffen, die Microsoft oder Microsoft-Produkte betreffen könnten
• Verbesserung der Kernfunktionalität in Bezug auf Barrierefreiheit, Datenschutz oder Energieeffizienz
• Finanzberichterstattung und Einhaltung gesetzlicher Verpflichtungen (vorbehaltlich der im Folgenden beschriebenen Offenlegungsbeschränkungen)

Neben der sprachlichen Formulierung der Nutzungsbedingungen, die zwar mehrfach angepasst, jedoch dem Nutzer nicht aktiv vorgelegt wurden, stellt Microsoft 365 schon bei der Installation eine enorme Herausforderung an die Verantwortlichen.

Schon vor der eigentlichen Installation wurde eine umfangreiche Zustimmung zur Datenverarbeitung durch Microsoft verlangt und ist für den Laien kaum zu erfassen. Erschwerend kommt noch hinzu, dass auf Windows 10 bereits umfangreiche Telemetriedaten erhoben und an den Redmond Konzern übermittelt werden. Daraus ergibt sich ein komplexes Geflecht von Verantwortlichkeiten, die sich zwischen dem Anbieter (beispielsweise der Schule) und Microsoft aufteilen.

Erschwerend kommt hinzu, dass die Zustimmung auch zur Datenschutzerklärung von Microsoft auf die Datenschutzoptionen von Microsoft führt und der dortige Link „Online Steuerelemente für Werbung” proaktiv eingestellt ist. Per Default werden also Daten zur Erstellung personalisierter Werbung abgeschöpft – was insbesondere im schulischen Bereich einmal kritisch anzusehen ist.

Dieses Vorgehen zieht sich wie ein roter Faden durch Microsoft 365: So umfasst alleine das PDF zur Datenschutzerklärung von Microsoft 365 insgesamt 459 Seiten und enthält die Bereitstellung von bereits acht- bis zehntausend Diagnosedaten, die bei der Benutzung der Software erhoben werden können.

Stehen einem Unternehmen all diese Daten zur Verfügung, lässt sich ein vollständiges Verhaltensprofil im Zusammenhang der Nutzung erstellen. In Kombination mit der Cloud-Anwendung ist Microsoft sogar in der Lage, sämtliche Tastaturanschläge zu erfassen und geschriebene Texte wiederherzustellen.

Ein Schüler aus der Oberstufe eines Gymnasiums schrieb dazu mal folgenden Anmerkung:

Es kann sein, dass ich in 20 Jahren eine Stelle nicht bekommen, weil eine Software von mir einen politischen Text als gesellschaftlich nicht mehr tragfähig erachtet und mich deshalb ablehnt.

Die vorher geschilderte Sachlage in Kombination mit den in die USA übermittelten Telemetrie-Daten führte sogar dazu, dass die niederländische Regierung vor knapp anderthalb Jahren Microsoft 365 aus sämtlichen Schulen verbannte und Microsoft hier seine Nutzungsbedingungen in erheblichem Umfang nachbessern musste.

Allerdings müssen wir nicht zu unseren Nachbarn schauen, denn auch in Deutschland ist Microsoft 365 und insbesondere die dazugehörige Cloud-Anbindung nicht DSGVO-konform. Konkret bemängeln die Datenschutzbehörden unter anderem auch hier die Übermittlung der Telemetrie-Diagnosedaten, nach deren Auffassung es keine Rechtsgrundlage gibt.

Allerdings, und dies ist entscheidend, gibt es derzeit keine zu erwartenden Bußgelder. Dafür ist die Rechtsgrundlage einfach zu unklar und die beanstandeten Mängel innerhalb der Nutzungsbedingungen lassen sich vergleichsweise einfach beheben.

Nachdem wir nun etwas in die Thematik eingetaucht sind, stellt sich nun die Frage der Quintessenz: Wir können und wollen an dieser Stelle keine Empfehlung aussprechen. So ist eine Deinstallation von Microsoft 365 doch eine zu drastische Maßnahme und unverhältnismäßig.

Es ist aber auf jeden Fall angebracht, sich über zwei Dinge im Klaren zu werden. Da wäre einerseits der Umfang, mit dem selbst eine so standardisierte Software wie Microsoft 365 Daten abschöpft – es ist eben nicht immer nur Facebook – und andererseits, wie viel wir dem Datenschutz Gewicht geben wollen. Klar ist nämlich, dass wir wirtschaftlich und in der Bildung den Anschluss verlieren. Es existieren schlicht keine oder nur wenige vernünftige Alternativen.