Die Datenschutzkonferenz (DSK) hat in ihrer jüngsten Bewertung erneut bestätigt, dass der Einsatz des Cloud-Dienstes Microsoft 365 datenschutzwidrig ist. Dieser Umstand stellt unzählige Unternehmen und Behörden vor riesige Probleme, zumal der Bericht der DSK keine technische Möglichkeit für einen DSGVO-konformen Einsatz der Cloud-Lösung von Microsoft sieht. Laut Elmar Eperiesi-Beck, Gründer und Geschäftsführer von eperi, ignoriert die DSK mit dieser Einschätzung allerdings den aktuellen Stand der Technik.
Stellungnahme Elmar Eperiesi-Beck, Gründer und Geschäftsführer von eperi:
„Ich begrüße es ausdrücklich, dass die Datenschutzkonferenz (DSK) festgestellt hat, dass der Einsatz des Cloud-Dienstes Microsoft 365 datenschutzwidrig ist. Damit hat die DSK ihr Urteil aus dem Jahr 2020 zu Recht bestätigt, denn Microsoft hat in den vergangenen zwei Jahren lediglich bei einigen Details nachgebessert, die grundlegende Anforderung der DSGVO (gem. Schremms II) aber nicht erfüllt. Insbesondere beanstandet die DSK, dass Microsoft nicht klar genug angibt, welche Daten von dem Unternehmen „für eigene Zwecke verwendet werden können.“
Der große Irrtum
Mit der folgenden Einschätzung liegt die DSK allerdings daneben: „Die naheliegende Möglichkeit der Verschlüsselung der verarbeiteten Daten ist regelmäßig nicht möglich, beispielsweise wenn die Daten im Browser angezeigt werden müssen. Microsoft hat somit regelmäßig und letztlich schon zur Erfüllung vertraglicher Leistungspflichten die Möglichkeit, Daten im Klartext zu lesen.“ Angesichts der Tatsache, dass die DSK aus Datenschutzexperten besteht, die auch über ein grundlegendes Verständnis von IT verfügen sollten, überrascht diese Feststellung ebenso wie der technische Offenbarungseid „Für diesen Anwendungsfall ist es den Aufsichtsbehörden bislang nicht gelungen, ergänzende Schutzmaßnahmen zu identifizieren, die zu einer Rechtmäßigkeit des Datenexports führen könnten.“
Die Lösung
Für genau diesen Anwendungsfall (und prinzipiell jede Cloud-Anwendung) existiert eine Schutzmaßnahme, die zu einer Rechtmäßigkeit des Datenexports führt: der Einsatz eines Verschlüsselungs-Gateways, das die Daten codiert, bevor sie in die Cloud übertragen werden. Kurz gesagt sind Organisationen mit einem solchen Gateway selbst in der Lage, den unbefugten Zugriff auf Daten in der Cloud mit höchsten Sicherheitsstandards abzuwehren. Die Lösung gewährleistet, dass alle sensiblen Informationen sicher verschlüsselt werden, bevor sie an die Microsoft 365 Cloud übertragen werden. Nur autorisierte Personen in einer Organisation haben Zugriff auf die unverschlüsselten Daten. Auch Administratoren oder Mitarbeiter in externen Rechenzentren oder bei Microsoft können nicht im Klartext auf die Daten zugreifen. Das gilt insbesondere auch dann, wenn ein Browser für die Anzeige der Informationen genutzt wird.
Die Verschlüsselung erfolgt ausschließlich innerhalb eines Unternehmens oder einer Behörde. Kritische Daten werden damit für Unbefugte wertlos, sobald sie in die Cloud übertragen werden. Beim Einsatz eines Verschlüsselungs-Gateways auf dem aktuellen Stand der Technik merken Endanwender keinen Unterschied und können die wichtigen Microsoft Office 365-Funktionalitäten innerhalb der Cloud DSGVO-konform nutzen.
Jetzt handeln
Die Fälle Schrems I und Schrems II des EU-Gerichtshofs (EuGH) haben ebenso wie die Beurteilungen durch die DSK wieder und wieder belegt, dass von US-amerikanischen Cloud-Dienst-Anbietern keine DSGVO-konformen Angebote zu erwarten sind. Dazu sind sie schon rechtlich gar nicht in der Lage, weil die US-Regierung immer einen Zugriff auf Daten einfordern wird, wenn sie diesen als „verhältnismäßig“ betrachtet. So gerade wieder geschehen in Joe Bidens Executive Order zum Datenschutz-Abkommen mit der EU. Wie Max Schrems bereits feststellte, haben die EU und die USA unterschiedliche Auffassungen darüber, was verhältnismäßig ist. Darum gilt es für Unternehmen und Behörden, das Menschenrecht auf Datenschutz jetzt ernst zu nehmen und die Sicherung sensibler Daten in der Cloud durch die Nutzung eines Verschlüsselungs-Gateways selbst in die Hand zu nehmen.“