M365 und der Datenschutz unter Berücksichtigung der digitalen Souveränität
Im Verlauf der letzten Monate ist nicht zuletzt wegen des Schrems II Urteils viel über den Datenschutz in Verbindung mit Softwareherstellern aus den USA diskutiert worden. Es herrscht bei vielen Unternehmen ein gewisser Grad an Unsicherheit. Auch die Landesdatenschutzbeauftragten sind sich uneinig, wie mit dem Thema umgegangen werden soll.
Wie passen Windows 10, M365, der Datenschutz und die digitale Souveränität zusammen?
Die Digitale Souveränität ist die Summe aller Fähigkeiten und Möglichkeiten von Individuen und Institutionen, ihre Rolle in der digitalen Welt selbstständig, selbstbestimmt und sicher ausüben zu können. (Quelle: Digitale Souveränität (oeffentliche-it.de))
Die Sicherstellung der digitalen Souveränität wird bei der Umsetzung und Einführung insbesondere von cloudbasierter Software zur Herausforderung. Microsoft stellt heute die Mehrzahl der Betriebssysteme, Server und Office Software bereit. Wenn die einzuführende Software nicht mehr ausschließlich im eigenen Rechenzentrum bereitgestellt wird, gibt es in Sachen Datenschutz kritische Stimmen.
Welche Daten werden genau übermittelt und inwiefern ist der personenbezogene Datenschutz hiervon betroffen?
Es gibt in Unternehmen oft die Diskussion darüber, welche Daten als personenbezogen gelten. Lassen wir mal die vom Anwender erstellten Daten außen vor und konzentrieren uns einzig auf die Telemetriedaten, die zur Nutzung der Software übertragen werden. Telemetriedaten oder auch Analysedaten sind vom System erhobene technische Daten, die an Microsoft übermittelt werden. Microsoft kann so die Stabilität des Systems verbessern. Sie enthalten Identifikatoren, die es ermöglichen, einen individuellen Nutzer auf einem individuellen Gerät und dessen Nutzungsmuster wiederzuerkennen. Damit gelten sie als personenbezogene Daten und fallen unter den Datenschutz.
Die einfachste Art ist die Unterbindung der Übermittlung dieser Analysedaten. Dies kann im Betriebssystem unterbunden werden. Eventuelle Einschränkungen bei den Funktionen der Software müssen individuell geprüft werden.
Wie steht es um die Digitale Souveränität?
Bzgl. der Digitalen Souveränität stellt der Bundesbeauftragte für den Datenschutz fest, dass es nicht wirklich gut steht um die digitale Souveränität in der deutschen Verwaltung und empfiehlt für ein zukunftsfähiges Modell den „Blick zu weiten und auf Diversität sowie Open Source zu setzen“.
Erstmal kein schlechter Gedanke, jedoch zeigt sich hier schnell, dass sich Unternehmen, und auch die deutschen Verwaltungen, selbst ein Bein stellen würden. Microsoft ist der Platzhirsch bei der Office-Software und weitet sein Produktportfolio insbesondere mit M365 immer weiter aus. Setzt man hier auf andere Produkte, besteht die Gefahr abgehängt zu werden. Die Einführung von Open Source Produkten, so reizvoll es auch sein mag, würde weitreichende Aufwendungen in den IT-Abteilungen und auch beim Endnutzer hervorrufen. Damit ist den Organisationen nicht geholfen.
Wie wird man den Aufsichtsbehörden gerecht bei gleichzeitiger User-Akzeptanz?
Die Anwender wollen heute nicht nur privat, sondern auch am Arbeitsplatz alle modernen technischen Vorzüge nutzen können. Dazu gehören neben der Videokonferenz das gleichzeitige Arbeiten an Dateien über alle Länder– und Zeitgrenzen hinweg.
Die IT-Verantwortlichen müssen diese Funktionen unter Berücksichtigung der Vorschriften umsetzen. Die Vorgaben und Empfehlungen der Aufsichtsbehörden sind zum aktuellen Zeitpunkt unstimmig, teilweise sogar realitätsfern. Die Unsicherheit hat sich verstärkt und wir erleben aktuell sogar eine Ratlosigkeit.
Es könnte hier eine Kombination von Spezialisten helfen, die IT-Know-How im Cloud-Umfeld mitbringen, aber auch den juristischen Background in Bezug auf Datenschutz vorweisen können. Gemeinsam mit Microsoft müssen Lösungen erarbeitet werden, die die Nutzung von M365 in vollem Umfang ermöglichen, ohne gegen aufsichtsrechtliche oder datenschutzrechtliche Vorgaben zu verstoßen.
Weiterhin müssen konkrete Handlungsempfehlungen für die Unternehmen ausgesprochen werden. Die reine Ankündigung der Intensivierung der Verhandlungen über die transatlantischen Datenschutzströme der europäischen Kommission vom 25.03.21 ist hier zu wenig. (Quelle: Intensifying Negotiations on transatlantic Data Privacy Flows: A Joint Press Statement by European Commissioner for Justice Didier Reynders and U.S. Secretary of Commerce Gina Raimondo)
Fazit
In meinen Augen ist M365 ein elementarer Bestandteil für den modernen Arbeitsplatz. Wenn es keine geregelten Vorgaben gibt und die Unternehmen bei der Nutzung ein Risiko eingehen müssen, besteht die Gefahr, dass die Vorteile von M365 nicht länger genutzt werden und die Unternehmen gezwungen sind, auf andere, ggf. sogar Open Source Produkte umzuschwenken. Das würde die Diskussion über die Einhaltung der datenschutzrechtlichen Vorgaben stark erschweren.
Dies ist weder im Interesse der Endanwender, noch der Datenschützer.
Der Autor: Marcel Otten ist Geschäftsführer bei der Blue Mountain Consulting GmbH und verantwortlich für die Portfoliothemen Digital Workplace und Projekt Management.