Risiko Cloud Computing beispielhaft Diagnosedaten Microsoft Office 365

RISIKEN DES CLOUD COMPUTING

Cloud Computing bietet viele Vorteile. Zum einen bietet es skalierbare IT-Leistung und einen geringeren IT-Administrationsaufwand. Es ermöglicht mehr Mobilität bei der Wahl des Arbeitsplatzes, was gerade während der Coronazeit im Homeoffice besonders gefragt war.
Allerdings gibt es auch die Zeigefinger, die klar auf Risiken hinweisen, denn die täglichen Arbeitsdaten werden beim Cloud Computing gerne ins Ausland gesendet – oft in die USA. Um welche Daten es sich dabei handelt und wann genau ein Datenabfluss erfolgt, wird nachstehend am Beispiel von Microsoft Office 365 erläutert.

Diagnosedaten in der Cloud

Microsoft 365 ist ein cloudbasiertes Programm von Microsoft (SaaS – Software as a Service). Beim Einsatz von Anwendungen, wie Office, Excel oder Power Point, fallen neben den eigentlichen Kunden- und Inhaltsdaten auch die s.g. Diagnosedaten an.  Diagnosedaten werden durch Microsoft für die Produktverbesserung und Problembehebung verwendet. Das führt jedoch dazu, dass zum Beispiel jedes Mal beim Einsatz der Rechtschreibprüfung oder dem Betätigen der Löschtaste diese Daten aus dem gerade bearbeiteten Dokument an Microsoft gesendet werden. Dabei kann es sich um ein Word-Dokument, eine Power Point Präsentation oder Excel-Auswertungen handeln. Man stelle sich vor, man setzt Arbeitsverträge mit personenbezogen Daten auf, ermittelt die aktuellen Geschäftszahlen oder verarbeitet in der Schule die besonders sensiblen Daten von Kindern. Alles Daten, die man nicht gerne in den USA sehen möchte, aus datenschutzrechtlicher Sicht ein unsicheres Drittland. Aus diesem Grunde wurde kürzlich der Einsatz von Teams an Schulen in Rheinland-Pfalz untersagt.

Nutzung der Datensammlung

Microsoft begründet die Erhebung von Diagnosedaten wie folgt: […um Windows für einen sicheren und ordnungsmäßigen Betrieb auf dem neuesten Stand zu halten. Sie dienen zudem dazu, Windows zu verbessern]. Microsoft hat zwar kürzlich seine Verträge über die Auftragsverarbeitung überarbeitet und endlich die von der EU Kommission veröffentlichten aktuellen Standardvertragsklauseln eingebunden, aber sie halten sich sehr zurück, was den Umfang und die Zwecke der Erhebung von Diagnosedaten angeht. Microsoft versichert zwar unermüdlich, es würde die Daten nicht an Dritte (z.B. US Behörden) weitergeben, da jedoch die Rechtslage in den USA eine andere ist, sollte man vorsichtig sein, solche Versicherungen als Garantien zu verstehen.

Begründete Zweifel

Die Aussage von Microsoft lässt sich aus gleich mehreren Gründen anzweifeln.

  • Auftragsverarbeitungsverträge (DPA) von Microsoft legen Datenflüsse und eigene Zwecke der Datenspeicherung (immer noch) nicht transparent dar.
  • US CLOUD Act, ein Gesetz, das US-Behörden den Zugriff auf gespeichert Daten erlaubt, wenn sie sich diese mal ansehen möchten. Die Herausgabeforderung umfasst auch Daten, die auf Servern in Europa liegen.
  • Ein neuer Angemessenheitsbeschluss, wie das als ungültig erklärte „Privacy Shield“ über ein vergleichbares Datenschutzniveau in den USA durch die EU-Kommission steht noch aus.
  • Auch die Bundesrechtsanwaltskammer hegt große Zweifel an einer datenschutzkonformen Cloudversion von Microsoft 365.

Tipp: Hinweise des Landesdatenschutzbeauftragten Rheinland – Pfalz

Datenschutzkonformer Einsatz

Es stellt sich die Frage, wie ein datenschutzkonformer Einsatz von Microsoft 365 möglich ist.

Eine lokale Installation der Programme, zum Beispiel durch die Nutzung von Microsoft Office 2021, wäre möglich, wenn man auf den Cloudspeicher und auf die Updates verzichten würde. Es besteht auch die Möglichkeit Microsoft 365 lokal zu verwenden, die Funktionalität des Programmes hängt jedoch von regelmäßigen Updates ab, die nur mit einer Verbindung zum Internet funktionieren.

Eine Unterbindung der Übertragung von Daten kann durch die eigene Firewall oder Einstellungen im Betriebssystem erfolgen. Das wiederum kann zu Nutzungseinschränkungen der Anwendungen führen.

Abschließen der aktuellen Auftragsverarbeitungsverträge von Microsoft.

Eigene Verschlüsselungssysteme für die zu speichernden Daten oder eine Verschleierung der eigenen IP-Adressen über die eigene Infrastruktur.

Der Umstieg auf einen Anbieter mit Firmensitz und Serverstandorten in Deutschland oder einem Staat der EU oder des Europäischen Wirtschaftsraums ist eine Alternative.

Perfekte Cloudlösung

Wie man sieht, ist ein datenschutzkonformer Einsatz der Programme schwierig, selbst wenn man in den Einstellungen die passenden Häkchen setzt oder das Programm lokal installiert. Zusammenfassend lässt sich sagen, dass es die perfekte Cloudlösung von der Stange nicht gibt.

Jedes Unternehmen hat spezifische Anforderungen, beispielsweise im Hinblick auf die Sensibilität der Daten, Design und Usability, gemeinsames Arbeiten, die Anzahl der Nutzer, Verschlüsselung, Datenschutzniveau sowie die Kosten im Verhältnis zur Speicherkapazität.


Anna von Laer ist Spezialistin für deutsches und europäisches IT- und Datenschutzrecht, Referentin zum Cloud Computing.

Anna von Laer ist Rechtsanwältin bei der Wirtschaftskanzlei Mönig in Bielefeld. Als Spezialistin für deutsches und europäisches IT- und Datenschutzrecht, sowie Cloud-Strategien und komplexe IT-Projekte, referiert sie bei Biehn & Professionals bei Veranstaltungen zum Thema Cloud Computing und schreibt Gastbeiträge, in denen sie zu selbigen Themen informiert.