Ach, es ist immer wieder ein Quell der Freude, Datenschützer über Microsoft 365 erzählen zu hören oder zu lesen. Doch, wirklich, ich mache doch keine Scherze. Obwohl: Doch, mache ich. Denn was die Datenschützer da wieder rausgehauen haben. finde ich dann doch ein wenig weit an den Haaren herbei gezogen. Ihrer Meinung nach kann Microsoft 365 – sie nennen es „Cloud-Dienst Microsoft Office 365 (jetzt: Microsoft 365)“ partout nicht datenschutzgerecht eingesetzt werden. Folglich ist das Alles illegal. Oder?
Der Datenschutz hat Fragen
Die Datenschutzkonferenz hatte sich mit Microsoft beschäftigt (Ja, das ist ein PDF). Und ich lese darin: Der Bericht enthält dies, das und jenes. Aber der Bericht bietet keine abschließenden Untersuchungen. Die Arbeitsgruppe ging der Frage nach, in welchen Fällen Microsoft Auftragsverarbeiter und in welchen Verantwortlicher ist. Und das konnte nicht geklärt werden. Rum wie num, Microsoft konnte wohl keine signifikanten Verbesserungen nachweisen.
Man wirft dem Konzern vor, mit Microsoft 365 keine Anpassungen der tatsächlichen Verarbeitungen vorgenommen zu haben. Es handelt sich dabei u.a. um die Telemetrie- und Diagnosedaten. Und man gibt zu Protokoll, dass sich Microsoft weitreichende Offenlegungen vorbehalten würde, die im Falle ihrer Umsetzung gegen die DSGVO verstoßen würden. Man behauptet auch, dass die Servicetrust-Informationen von Microsoft zu den Cloud-Diensten nach wie vor Rechtsunsicherheiten böten.
Man hält sich dann lange Zeit am Datenschutznachtrag zu den Produkten und Services von Microsoft auf. Man weiß in der Beurteilung schlicht nicht, ob personenbezogene Daten in Drittländer übermittelt werden. Wer sich nicht groß anstrengt, kann aber herauslesen, dass die Datenschutzkonferenz davon ausgeht, dass mit Microsoft 365 Daten in die USA übermittelt werden. Und das darf ja nicht sein, wie wir ja wissen.
Alles in allem wirkt das Alles so, als ob die Datenschützer Microsoft 365 nach wie vor per se verteufeln, weil es halt von Microsoft kommt. Warum ich das so sehe? Das erzähle ich euch noch. Jedenfalls wollen die Mitglieder der Arbeitsgruppe, die sich mit Microsoft 365 beschäftigt, offengelegt haben, was, wie, wann und wo Microsoft im Einzelnen mit allen möglichen Daten anstellt. Man bewertet Microsoft 365 als nicht datenschutzgerecht, weiß aber gar nicht so genau, was Microsoft da tut.
Datenresilienz von Microsoft 365
Wir gehen mal eine Runde spazieren. Wer einen Tenant bei Microsoft 365 hat, schlage einfach mal das Organisationsprofil im Tenant auf. Dort habe ich so lustige Inhalte wie „Data location“ und „Data residency“. Das sind ganz unwichtige Dinge, nehme ich mal an. Ob die Arbeitsgruppe jemals dort war, kann ich nicht beurteilen. Jedenfalls sieht es dort so aus:
Das kann ich dann natürlich auch für jeden einzelnen Dienst kontrollieren, den ich in Microsoft 365 nutze. Man könnte sich damit beschäftigen, wenn einem als Datenschutzkonferenz daran gelegen wäre, richtig über den Umgang mit Kundendaten in Microsoft 365 aufzuklären. Darüber aufgeklärt hat auch Frank Carius in diesem Artikel. Das kann man alles heranziehen. Ob das die Datenschützer gemacht haben, kann ich nicht beurteilen, mich beschleichen halt nur Zweifel.
Einschätzung
Letzten Endes kann ich aber auch nicht abschließend beurteilen, was Microsoft hier treibt. Ich muss mich als Kunde doch darauf verlassen können, was Microsoft mir in den Vertrag schreibt. Und soweit wir das als weltweit tätiger Dienstleister beurteilen können, kann man das als Kunde durchaus. Und hier ist eigentlich eine Watsch’n für die Datenschützer fällig. In Sachen Online-Unterricht ist dazu dieser Artikel im Bildungsmagazin sehr lesenswert.
Warum sehe ich das so? Nun, wenn Microsoft bezüglich Microsoft 365 vertragsbrüchig werden würde und noch dazu EU-Recht verletzen würde, würde der Konzern in Grund und Boden geklagt werden, sodass das Unternehmen schnell am Ende wäre. Diese ständige Kriminalisierung von Unternehmen ist dann doch sehr ermüdend. Zumal es ja bis heute kein europäisches Unternehmen ansatzweise geschafft hat, ähnliches wie Microsoft zu zimmern. Das ist ein glasklarer Standortnachteil für Europa.
Und dann kommen noch andere Datenschützer um die Ecke und behaupten, dass Microsoft 365 ausgerechnet deshalb verachtenswert sei, weil es nicht quelloffen sei. Na, dann zeigt mir mal eine umfassende Unternehmenslösung, die Open Source ist und genau den gleichen Umfang wie Microsoft 365 bietet. Und damit meine ich neben Office- und Mail-Programmen auch Mailserver, Intranet, Datenbank, Security, halt all diese einzelnen Dienste.
Ja, es mag sie einzeln geben. Aber dann ist es eben viel mit Gefrickel verbunden. Das kann sich kein Unternehmen heutzutage erlauben. Deshalb verlassen sich die Unternehmen (und bei Microsoft 365 geht es nun mal um Unternehmen) auf die Verträge, die sie mit Microsoft geschlossen haben. Wenn sie das nicht könnten, wäre nämlich Microsoft am Ende. DANN, liebe Leute, müsstet ihr auf Open Office und SendMail zurückgreifen, vorher aber nicht.
Abschließende Worte
Nicht falsch verstehen, ich halte Datenschutz für nicht verhandelbar. Das steht auch unfassbar oft hier im Blog. Aber mir kommt doch vieles in Bezug auf Microsoft 365 als „Mäkeln des Mäkelns wegen“ daher. Ganz klar: Niemand MUSS Microsoft 365 nutzen. Dann frickelt euch doch eure eigenen Lösungen zusammen. Dass aber dem Konzern der Datenschutz scheißegal ist, ist einfach mal eine glatte Lüge. Es ist schade, dass solche Unterstellungen von Behörden kommen. Naja.
Ach, und noch eine Anmerkung zu Äußerungen von selbständigen Experten, die nun dazu aufrufen, sich aus „der digitalen Zwangsjacke“ zu befreien: Was soll das sein? Und macht ihr es euch damit nicht ein bisschen sehr einfach? Microsoft 365 kann sich jeder Malermeister ggf. selbst einrichten. Kann das der gleiche auch mit etlichen Einzelkomponenten? Oder muss er euch beauftragen gegen eine ordentliche Stange Geld?