Microsoft und Datenschutz

|   DSGVO-Auslegung

Der Kommentar eines führenden Datenschutzspezialisten macht klar, warum aktuelle Software von Microsoft innerhalb der EU nicht rechtskonform eingesetzt werden kann. Matthias Bergt, Referatsleiter im Berliner BDI, spricht von Nebelkerzen bei den Verträgen

Wer aktuelle netzbasierte Microsoft-Produkte einsetzen will, muss davon ausgehen, dass Microsoft auf alles und jedes Zugriff haben kann, was mit diesem Produkt verarbeitet wird. Das gilt grundsätzlich, wenn Microsoft auf diese Produkte Zugriff gewährt wird, aber ganz besonders für persönliche Daten, wenn auch die Anwendungen und Daten mit der Microsoft-Cloud genutzt werden.

Denn mit dem Schrems-II-Urteil, das das US Privacy Shield obsolet gemacht hat, sind alle Abflüsse persönlicher Daten in die USA de facto rechtswidrig und verletzen die Bestimmungen der DSGVO sehr grundsätzlich. Microsoft versucht dies mit neuen Verträgen und Datenschutzerklärungen zu reparieren. Liest man aber die neuen Verträge und Erklärungen genauer, so stehen dort viele Absichtserklärungen und Wunschvorstellungen, aber keine einzige wirksame Maßnahme, wie der Datenschutz gegenüber der US-Administration durchgesetzt werden kann. Denn das geltende US-Recht verlangt nicht nur die jederzeitige Offenlegung von persönlichen Daten, die in den USA gespeichert, verarbeitet oder übermittelt werden, sondern verhindert zudem, dass in diesem Fall die Betroffenen unterrichtet werden. Diese Rahmenbdingungen sind derzeit auch nicht abdingbar, da dies nur durch eine entsprechende Gesetzesänderung in den USA möglich wäre.

Genau das aber ist der Dreh- und Angelpunkt jeglichen Einsatzes US-amerikanischer Lösungen, die persönliche Daten in die USA transferieren: dieser Transfer ist nicht rechtskonform, wie Matthias Bergt am Ende anmerkt: "es wird bei Cloud Services in den meisten Fällen auch keine Maßnahmen geben, die Datenexporte in die USA legal machen könnten." Dabei bezieht er sich auf das EuGH-Urteil selbst und auf die Empfehlungen der Europäischen Datenschutzkommission. Und die Kritik an den Datenschutzbehörden in Baden-Württemberg und Bayern ist mehr als berechtigt, was deren wachsweiche Haltung dazu angeht, denn die baden-württembergischen Datenschützer sind intern zu einem vernichtenden Ergebnis gekommen, wie ein zufällig bekannt gewordenes Papier zeigt. Offensichtlich ist aber der politische Druck durch die Landesregierung so groß, dass diese Erkenntnisse offiziell negiert werden.

Unser Fazit: wir können unseren Mitgliedern so wie allen europäischen Firmen und Organisationen nur empfehlen, auf den Einsatz der Produkte von Microsoft zu verzichten, sobald diese eine Verbindung mit Servern von Microsoft herstellen. In Anbetracht der Tatsache, dass die US-Administration auch schon Ansprüche auf die Daten erhoben hat, die US-Unternehmen auf europäischen Servern speichern und dabei besonders Microsoft im Visier ist, sollte das Risiko des Einsatzes von US-Software in der Cloud vermieden werden.