Arbeit mit der Microsoft-365-Cloud
Das wesentliche Merkmal von MS 365 ist, dass sämtliche Dienste in der Cloud beheimatet sind. Und das ist hinsichtlich des Datenschutzes eins der größeren Probleme.
Cloud-Dienste sind an sich nichts Böses, eine Cloud bietet gegenüber „on premises“-betriebenen Servern einige Vorteile. Sie ist effizienter und immer auf dem neuesten technischen Stand. Der Betreiber kann eine Verfügbarkeit garantieren, die man mit eigenen Mitteln nur zu äußerst hohen Kosten erreichen könnte. Und nicht zuletzt kann sie auch energieeffizienter sein.
Sicherheit in der Cloud
Die Befürchtung, dass eine Cloud Hackerangriffen ausgesetzt ist, besteht natürlich zurecht. Aber ein eigener Server ist auch mit dem Internet verbunden und kann das Ziel von Hackern oder von Schadsoftware werden. Man darf davon ausgehen, dass professionelle Anbieter von Cloud-Diensten wie Microsoft, aber auch Google, Amazon, SAP und andere, genügend Know-How haben und genügend Mittel für Personal und Technik bereitstellen, um ihre Systeme besser gegen Angriffe zu „härten“, als man das mit eigenen Mitteln kann. Allerdings hat es in der Vergangenheit Vorfälle gegeben, bei denen Microsoft keine gute Figur gemacht hat.
Insofern ist unter dem Aspekt der Verfügbarkeit und der Sicherheit grundsätzlich nicht viel gegen cloudbasierte Dienste einzuwenden.
Datensicherheit
Der Einwand „Und was, wenn der Internetzugang ausfällt?“ ist nicht wirklich relevant. Einen Internetzugang stabil, z. B. redundant bereitzustellen dürfte eine geringere Herausforderung sein, als mehrere Server stets betriebsbereit und verfügbar zu halten. Und der Einwand „Dann haben wir die Daten ja nicht im Haus – wer weiß, wer was damit anstellt.“ kann im Prinzip auch vernachlässigt werden. Ein seriöser Provider sollte dafür sorgen können, dass die Daten sicher verwahrt werden. Auch ein Server „im eigenen Keller“ ist nicht sicher vor Angriffen von außen und dem Ausspähen von Daten. Allerdings besteht da ein Problem – eher rechtlicher als technischer Natur, wir kommen gleich darauf zu sprechen.
Microsoft betreibt derzeit (Stand Februar 2024) zwei für deutsche Kunden genutzte Serverfarmen in Deutschland sowie weitere in den Niederlanden, in Irland, Österreich und Finnland, also im Geltungsbereich der DSGVO. Da sollte man meinen, dass die Daten nach den Standards der DSGVO geschützt sind, und Microsoft verspricht auch, dass das so ist.
Microsoft im Rechtskonflikt
Aber es gibt ein Problem: In den USA gilt ein Gesetz, der sog. „Cloud-Act“. Es verpflichtet US-amerikanische Anbieter von IT-Dienstleistungen, auf die Anforderung US-amerikanischer Sicherheitsbehörden hin Daten auch von außerhalb der USA bereitzustellen und zu übermitteln (und das, ohne den jeweils Betroffenen darüber zu informieren). Es gelten zwar bestimmte Voraussetzungen, unter denen das eingeschränkt werden kann. Aber diese Voraussetzungen sind im Verhältnis zwischen Europa und den USA nicht voll erfüllt.
Das bedeutet: Microsoft ist gezwungen, gegen ein Gesetz zu verstoßen, wenn eine US-amerikanische Behörde verlangt, dass Daten von europäischen Servern an sie geliefert werden. Entweder verstößt Microsoft gegen die DSGVO (sofern es sich um personenbezogene Daten handelt) und außerdem gegen den Vertrag mit dem Kunden und liefert die Daten an die US-Behörde. Oder Microsoft hält sich an europäisches Recht, muss dann aber gegen US-amerikanisches Recht verstoßen.
Risiko: Microsoft hält sich nicht an DSGVO
Dieses Problem ist derzeit ungelöst. Und es ist überhaupt nicht absehbar, ob es dafür jemals eine Lösung geben wird. Ein deutsches Unternehmen, das Daten in der MS-365-Cloud verarbeitet, muss also mit dem Risiko leben, dass Microsoft sich nicht an die vereinbarten Bedingungen und die DSGVO hält. Weil aber der Auftraggeber für den Auftragsverarbeiter haftet, bedeutet das für die deutschen Kunden von Microsoft, dass sie ggf. für Schadensersatz und Bußgelder mit in Haftung genommen werden. Darüber hinaus geht es nicht nur um personenbezogene Daten. Es kann ja auch sein, dass sehr schützenswerte andere Daten (z. B. Betriebs- oder Geschäftsgeheimnisse über technische Entwicklungen, Beziehungen zu Kunden etc.) auf diese Weise an US-amerikanische Behörden gelangen.
Die Arbeitnehmervertretung kann dem nicht abhelfen, das Risiko muss ganz allein der Arbeitgeber tragen. Ob ein Betriebsrat das als Grund sieht, der Einführung und Anwendung von MS 365 nicht zuzustimmen, ist eine Frage, die das Gremium letztlich „politisch“ entscheiden muss. Wir werden später sehen, dass das nicht das einzige Datenschutzrisiko bei MS 365 ist.
Datenverschlüsselung als Lösung?
Technisch wäre das Problem evt. dadurch lösbar, dass sämtliche Daten auf den MS-Cloud-Servern durch den Kunden so verschlüsselt werden, dass Microsoft nicht auf sie zugreifen kann. Mir ist aber kein Mittel bekannt, mit dem dies auf auch nur halbwegs praktikable – und vor allem für die Anwender bequeme – Weise umgesetzt werden könnte (Die „Kunden-Lockbox“ ist erst ab Lizenz „E5“ verfügbar, die eher die Ausnahme bei den meisten Kunden bildet). Wer solch ein Produkt und eine Methode kennt: Ich bin für Anregungen und Empfehlungen immer dankbar.
Natürlich kann man auch ganz ohne Cloud arbeiten und Dateien ausschließlich auf lokal gehosteten Servern oder auf Cloudspeichern anderer Anbieter speichern. Die Frage ist dann allerdings, welchen Sinn der Einsatz von MS 365 dann noch hat, zumal durchaus nützliche Funktionen (z. B. die Zusammenarbeit am selben Dokument) dann meistens nicht mehr verfügbar sind.
Erfahren Sie mehr!
Die passenden Seminare zu diesem Thema:
Microsoft 365®/Office 365® in der Cloud