Der DSGVO-konforme Einsatz von Microsofts Produkten stellt Unternehmen immer wieder vor Herausforderungen. Microsoft hat im November 2020 ein neues Maßnahmenpaket vorgestellt, mit dem erneut eine Verbesserung der Situation erreicht werden soll. Derweil hat die Datenschutzkonferenz (DSK) beschlossen, dass bei der Verwendung von Windows 10 Enterprise die Übermittlung von Telemetriedaten an Microsoft unterbunden werden kann – ein wichtiger Schritt in Richtung DSGVO-Compliance.
Bestehende datenschutzrechtliche Probleme
Ein erhebliches Problem für viele Unternehmen ist der Datentransfer von EU-Staaten in sogenannte Drittländer, also Nicht-EU-Staaten. Die Datenschutzgrundverordnung (DSGVO) stellt an solche Datenübermittlungen in ihren Art. 44 ff. sehr hohe Ansprüche. Daten von EU-Bürgern in den Drittländern sollen dabei so wie in der EU geschützt werden.
Nachdem das EU-US-Privacy-Shield im vergangenen Jahr durch den EuGH für unwirksam erklärt wurde, fehlt es vielen Unternehmen an entsprechenden Rechtsgrundlagen für die Drittlandübermittlung. Vermehrt setzen Unternehmen auf die Standardvertragsklauseln der EU-Kommission. Ob dies wirklich ausreicht, um Daten in die USA zu übertragen, ist momentan unklar. Besondere Bedenken bestehen in Hinblick auf die Zugriffsmöglichkeiten US-amerikanischer Geheimdienste nach dem sog. FISA-Act. Dieser ermöglicht es staatlichen US-amerikanischen Stellen, zur Gefahrenabwehr auf die Daten von Nicht-US-Bürgern unter sehr weiten Voraussetzungen zuzugreifen.
Diese Anforderungen waren für Microsoft und seine Dienste in der Vergangenheit ein doppeltes Problem:
Microsofts Dienste in Europa übermitteln selbst Daten über Ihre Nutzer in die USA. Betroffen sind insbesondere die sogenannten Telemetriedaten, die umfassende Rückschlüsse auf das Nutzungsverhalten des Users zulassen.
Unternehmen, die Microsofts Dienste nutzen, übermitteln regelmäßig Daten in Drittländer.
DSK vereinfacht Verantwortlichen den Einsatz von Windows 10
Die DSK, in der alle deutschen Aufsichtsbehörden vertreten sind, hat nun in einem Beschluss festgestellt, dass Verantwortliche beim Einsatz der Enterprise-Edition von Windows 10 die Übermittlung personenbezogener Telemetriedaten unterbinden können, wenn sie die Telemetriestufe „Security“ nutzen. Getestet wurde dies im IT-Labor der Landesbeauftragten für den Datenschutz (LfD) Niedersachsen. Die DSK betont dabei, dass dies nur eine Momentaufnahme sei, und künftige Updates hieran etwas ändern könnten. Das Verbleiben auf der aktuellen Softwareversion stelle jedoch keine Lösung dar, da es die technisch-organisatorischen Maßnahmen den Verantwortlichen abverlangen, personenbezogene Daten auch durch aktuelle Software entsprechend zu schützen.
Auch Microsoft bessert weiter nach
Microsoft hat im November im Wesentlichen zwei Änderungen eingeführt, die datenschutzrechtliche Bedenken ausräumen sollen:
Microsoft verpflichtet sich, sämtliche Anfragen staatlicher Stellen nach Daten der Unternehmenskunden anzufechten, sofern hierfür eine rechtliche Grundlage besteht.
Microsoft will Kunden finanziell entschädigen, wenn sie aufgrund einer Anfrage staatlicher Stellen DSGVO-widrig Daten herausgeben müssen.
Was diese Maßnahmen wirklich zur Datensicherheit beitragen, ist differenziert zu beurteilen. Gerade in Bezug auf die Kompetenzen US-amerikanischer Geheimdienste ist das Problem, dass keine wirksamen Rechtsbehelfe für EU-Bürger bestehen – gerade hier setzte die Kritik des EuGH in “Schrems II” an, und die Selbstverpflichtung Microsofts zur Anfechtung läuft in diesen Fällen ins Leere. In anderen Fällen greift sie hingegen – fraglich ist jedoch, ob Microsoft in einigen dieser Fälle nicht ohnehin als Verantwortliche hätten Einspruch erheben müssen.
Auch die Verpflichtung zur finanziellen Entschädigung ist von Seiten Microsofts eher Zeichen des guten Willens. Letztlich kommt eine finanzielle Entschädigung demnach auch nur Kunden zugute. Was mit anderen Personen, die von einer Nutzung betroffen sind, steht außen vor.
Eine tatsächliche Verbesserung des Datenschutzniveaus wird im Ergebnis leider nicht erreicht.
Worauf Unternehmen achten müssen
Der Einsatz von Microsoft-Produkten erfordert in jedem Fall umfassende Konfigurationen, um insbesondere eine unzulässige Datenübermittlung in Drittländer zu unterbinden. Hier bringen die neuen Maßnahmen Microsofts keine direkten Änderungen bzw. Verbesserung. Auch bei der Nutzung anderer Diensteanbieter sind die strengen Anforderungen der DSGVO zu beachten, wenn ein Drittlandtransfer der Daten vorgesehen ist (näheres dazu hier).