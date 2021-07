Frau Thiel, Sie haben als Datenschutzbeauftragte vernehmlich vor der Nutzung von Onlinediensten und Bürosoftware wie Microsoft 365 gewarnt. Was haben Sie gegen Microsoft?

Ich habe überhaupt nichts gegen dieses Unternehmen, ganz und gar nicht. Ich habe aber etwas gegen Produkte, die nicht datenschutzkonform eingesetzt werden können. Dazu gehören nun einmal Produkte wie Microsoft 365.

„Für Nutzerinnen und Nutzer gibt es keine ausreichende Transparenz darüber, welche Daten gesammelt werden“

Nun ist Microsoft 365 eine gängige Software, die in Unternehmen, Schulen und auch Privathaushalten zum Einsatz kommt. Man kann mit ihr etwa Dokumente verfassen, den gesamten elektronischen Briefverkehr abwickeln und Videokonferenzen veranstalten. Was ist denn gegen diese höchst praktische Verwendung einzuwenden?

Der Trend geht heute zu Produkten, die auf die Speicherung von Daten in sogenannten Clouds setzen. Mit Microsoft 365 bietet auch Microsoft eine cloudbasierte Lösung an, die immer komplexer und differenzierter zu bewerten ist. Wir bemängeln, dass es für die Nutzerinnen und Nutzer keine ausreichende Transparenz darüber gibt, welche Daten gesammelt werden. Es besteht auch keine Transparenz, für welche Zwecke diese Daten gesammelt werden, wo sie gesammelt werden und in welche Hände sie gelangen könnten.

Welche Befürchtungen haben Sie denn? Wohin könnten diese Daten gelangen?

Das ist völlig unklar. Wir haben als Datenschützer derzeit zwei konkrete Probleme mit Microsoft 365. Da geht es zum einen um die Allgemeinen Geschäftsbedingungen. Microsoft nennt diese Online Service Terms. Die haben wir in der Datenschutzkonferenz eingehend unter die Lupe genommen, und dabei sind diverse Unzulänglichkeiten festgestellt worden. Das zweite, komplexe Problem bei Microsoft 365 ist, dass permanent Telemetriedaten gesammelt werden, die sich längst nicht nur auf technische Daten beschränken, sondern auch personenbezogene Informationen enthalten. Diese Daten, die Auskunft über die Nutzerinnen und Nutzer enthalten, werden dann in die Vereinigten Staaten übermittelt, wo sie ganz anderen Bedingungen unterliegen als bei einer Cloud, die in Europa betrieben wird.

Zur Person Barbara Thiel, geboren 1955 in Salzgitter, ist seit Januar 2015 Datenschutzbeauftragte des Landes Niedersachsen. Sie ist vom Landtag für acht Jahre gewählt worden. Die Juristin war zuvor im Innenministerium, beim Landesrechnungshof und beim Landkreis Wolfenbüttel tätig. Zuletzt arbeitete die Christdemokratin in der Region Hannover als Dezernentin für öffentliche Gesundheit und IT- Koordination.

Weil in den USA durch die Sicherheitsgesetze auch Nachrichtendienste an Daten von deutschen Microsoft-365-Kunden heranrankommen könnten?

Zum Beispiel. Aber das Problem besteht nicht nur bei den Telemetriedaten. In der Cloud befindet sich ja auch das von Ihnen geschriebene Dokument. Sie müssen auch berücksichtigen, dass sich die Rolle des Microsoft-Konzerns erheblich verändert hat. Der Konzern ist von einem Lieferanten von Produkten zu einem Auftragsverarbeiter für zum Beispiel Büros, Schulen oder Behörden geworden. Heute wird eine richtige Plattform betrieben mit Diensten und Angeboten in der Cloud. Wir müssen als Datenschutzbehörde den Anspruch haben, dass die Nutzung von Daten sauber geregelt ist. Das ist derzeit aber in den Allgemeinen Geschäftsbedingungen nicht der Fall.

Es herrscht in der Wirtschaft die Sorge, dass durch zu viel Datenschutz bewährte Systeme nicht mehr angewendet werden können.

Nun ersetzt die Anwendung in der tatsächlichen Praxis nicht die Frage nach der Legalität und der Einhaltung der Datenschutzbestimmungen. Ich habe den Eindruck, dass in manchen Unternehmen die nötige Sensibilität dafür fehlt. Denn sie müssen sich schon damit auseinandersetzen, ob bestimmte Produkte unter Datenschutzaspekten zu benutzen sind oder eben nicht.

„Die Unternehmen ihrerseits sind verpflichtet, den Datenschutz einzuhalten“

Handeln Unternehmen, die Microsoft 365 benutzen, denn illegal?

So weit würde ich im Moment nicht gehen. Wir sagen, dass wir Bedenken haben hinsichtlich des Datenschutzes bei bestimmten Produkten. Die Unternehmen ihrerseits sind verpflichtet, den Datenschutz einzuhalten. Ich kann momentan nicht sagen, ob Unternehmen diese Anforderungen erfüllen oder nicht. Wir können im Augenblick nur Hinweise geben, dass wir den Einsatz von Microsoft 365 für bedenklich befinden.

Wie würde denn ein Lösungsweg aussehen?

Indem sich der Konzern Microsoft bewegt. Wir haben Mitte vergangenen Jahres als Datenschutzkonferenz unsere Bedenken geäußert. Seitdem sind Schriftsätze hin und her gegangen, ohne dass eine konsequente Nachbesserung vonseiten des Konzerns erfolgte. Es gibt immer noch Unklarheiten bei den Online Service Terms, die der Konzern nur beseitigen müsste. Dann wären wir weiter.

Während der Pandemie haben etwa berufsbildende Schulen Microsoft 365 und andere Plattformen benutzt, die wichtig waren für den Distanzunterricht. Sie haben die Benutzung dieser Plattformen erst geduldet, jetzt aber nicht mehr. Warum?

Wir haben sie anfangs geduldet, weil wir ganz pragmatisch die Nöte in den Schulen und in anderen öffentlichen Stellen gesehen haben. Aber wir haben das im Oktober vergangenen Jahres widerrufen. Seit dem ersten halben Jahr der Pandemie ist genug Zeit verflossen, um auf eine andere Lösung umzusteigen. Man kann Videokonferenzen auch mit anderen Produkten nutzen. Keiner ist gezwungen, unbedingt auf die Microsoft-Produkte, die wir bedenklich finden, auszuweichen. Im Schulbereich gibt es sogar eine eigene Bildungscloud, an die allerdings noch nicht alle Schulen angeschlossen sind.

„Es gibt für Videokonferenzen auch andere Lösungen, die gar nicht so kompliziert sind“

Die Berufsschulen, die sich mit Protest meldeten, weisen darauf hin, dass sich vor allem Betriebe auf Microsoft 365 stützen – also Betriebe, für die man Berufsschüler ausbildet.

Das ist kein starkes Argument. Denn auch als Unternehmen sollte man sich nicht von einem einzigen Konzern abhängig machen und sich nicht auf ein einziges Produkt fokussieren. Es gibt für Videokonferenzen auch andere Lösungen, die gar nicht so kompliziert sind. Wir fanden es merkwürdig, dass jetzt plötzlich wie Kai aus der Kiste Proteste von den berufsbildenden Schulen kommen, obwohl wir uns gerade ganz konkret in Beratungen mit dem Kultusministerium befinden.

Bei der Wirtschaft hätten Sie die Möglichkeit, sogar mit Bußgeldern zu verhindern, dass mit Microsoft 365 ein Produkt genutzt wird, das Sie für höchst bedenklich halten. Warum greifen Sie nicht zur Keule?

Wir beschäftigen uns hier mit einem wirklich komplexen Thema, und weil es so komplex ist, setzen wir zunächst darauf, dass sich Microsoft bewegt. Aber jeder Betrieb, der Microsoft Office 365 einsetzt, ist selbst dafür verantwortlich, den Datenschutz einzuhalten.

Die Unternehmerverbände haben ein Moratorium gefordert.

Das nützt wenig und ist für uns als Aufsichtsbehörde gleichsam die Aufforderung, die Füße stillzuhalten und nichts zu tun. Das geht nicht. Ich hoffe, dass Microsoft die Gesprächsangebote der Datenschutzkonferenz weiter nutzt und die erforderlichen Nachbesserungen umsetzt, um seinen Kundinnen und Kunden einen rechtskonformen Betrieb seines Produktes zu ermöglichen.

