Seit der Gründung vor 45 Jahren gehört Microsoft mittlerweile zu den erfolgreichsten und wertvollsten Technologieunternehmen der Welt. Datenschutzrechtlich steht das Unternehmen nun schon lange in der Kritik. In diesem Blogbeitrag möchten wir uns die Entwicklung des Geschäftsmodells und den Datenschutz mal etwas genauer anschauen.
Der Inhalt im Überblick
Weg von Software – Das neue Geschäftsmodell von Microsoft
Das Geschäft von Microsoft hat sich in den letzten Jahren erheblich verändert. Über Jahre hatte der Konzern versucht, seine Marktmacht auszunutzen, um Windows als Monopol-System durchzudrücken. Als die Verbraucher jedoch vom PC auf das Smartphone umstiegen, verlor Windows immer weiter an Relevanz und ließ sich von den Konkurrenten Apple und Google überholen.
Lange Zeit war es nun unklar, mit welcher Strategie das Unternehmen im neuen Zeitalter relevant werden wollte. Den Tiefpunkt erreichte Microsoft mit der Übernahme des ebenfalls angeschlagenen Unternehmens Nokia, konnte sich jedoch wieder aufrappeln und traf die schwierige Entscheidung, das Smartphone-Geschäft hinter sich zu lassen.
Heutzutage fokussiert sich das Geschäft des Unternehmens wieder bewusst auf Firmenkunden. Der Schwerpunkt von Microsoft liegt auf Software und cloudbasierten Diensten für Unternehmen. Diese lassen sich in drei verschiedene Bereiche unterteilen:
- Geschäftliche Produktivität:
Sie wird v.a. durch Microsoft Office repräsentiert, das eine breite Palette von Office-Tools bietet, wie die traditionellen Programme Word, Excel usw., aber auch OneNote zur Erstellung von Notizen, Kommunikationstools wie Microsoft Teams und Weitere. - Serverprodukte- und Dienste:
Hierzu gehören sowohl die traditionellen Microsoft Server als auch die Microsoft SQL-Server, insbesondere jedoch die moderne Azure Cloud. - Windows:
Die drittwichtigste Einnahmequelle ist Windows. Die diesbezüglichen Einnahmen haben zwar abgenommen, machen jedoch noch immer 16 % der Gesamteinnahmen aus.
Was kritisieren Datenschützer an Microsoft-Produkten?
Nach einem 30-seitigen Bericht des Europäischen Datenschutzbeauftragten zum Einsatz von Microsoft Produkten und Diensten beruhen die datenschutzrechtlichen Bedenken im Wesentlichen auf fünf Hauptkritikpunkten. Wir möchten uns vorliegend auf die Darstellung einer dieser Kritikpunkte beschränken: die Erfassung sog. Telemetrie- und Diagnosedaten.
Telemetrie und Diagnosedaten
Wie viele andere Unternehmen erfasst und sammelt Microsoft nicht nur zur Bereitstellung, sondern auch zur Optimierung der eigenen Produkte, Dienste und Geräte per Fernmessung Daten. Diese Daten, die von Versionsangaben und Nutzungsverhalten bis hin zu Absturzberichten, inklusive Inhalten von Dokumenten reichen, können darüber hinaus auch personenbezogene Daten enthalten. Dies hat zur Folge, dass es für die Übermittlung einer rechtlichen Grundlage bedarf, welche sich entweder aus gesetzlichen Regelung oder aber der Möglichkeit ergeben kann, die derartige Inanspruchnahme eines Dienstleisters als Auftragsverarbeitung gemäß Art. 28 DSGVO vertraglich auszugestalten.
Problematisch ist in diesem Zusammenhang, dass die von Microsoft zur Verfügung gestellten Datenschutzbestimmungen (Data Processing Agreement) den datenschutzrechtlichen Anforderungen an die Transparenz und die Zwecke der Datenverarbeitung, die Einwirkungsmöglichkeiten des Auftraggebers oder die Löschung der Daten nicht genügen.
Ort der Datenspeicherung, -verarbeitung und der Cloud Act
Zwar bietet Microsoft seinen Kunden bereits die Möglichkeit der Speicherung von Daten auf europäischen Servern. Diese Möglichkeit beschränkt sich derzeit jedoch noch auf die von Microsoft so bezeichneten „Kundendaten“. Hierbei handelt es sich nach eigener Definition um alle Daten, einschließlich sämtlicher Text-, Ton-, Video- oder Bilddateien und Software, die Microsoft vom oder im Namen des Kunden durch die Nutzung bereitgestellt werden. Telemetrie- und Diagnosedaten sind von dieser Speichermöglichkeit demzufolge bisher nicht betroffen, sodass hier weiterhin eine Speicherung auf den Systemen in den USA erfolgt. Aufgrund des möglichen Personenbezugs ist die Rechtmäßigkeit der Datenübermittlung mit Blick auf die Rechtsprechung des Europäischen Gerichtshofs (Schrems-II-Urteil) damit weiterhin zu verneinen.
In Zukunft möchte es Microsoft nun ermöglichen, dass Daten nur noch innerhalb der europäischen Grenzen verarbeitet und gespeichert werden. Diese Zusage soll nach eigenen Angaben für alle zentralen Cloud-Dienste von Microsoft gelten. Geplant ist die Umsetzung für das Jahr 2022, wobei die Pläne wohl zunächst ausschließlich für die Core-Tools des Anbieters gelten sollen.
Noch ist allerdings unklar, ob durch diese Pläne die Unsicherheiten beim Datentransfer zwischen Europa und den USA beseitigt werden können. Nach jetzigem Stand ändert dieses Vorhaben jedenfalls nichts an der geltenden Rechtslage in den USA. Unter Berücksichtigung des amerikanischen Cloud Acts vom 23. März 2018 besteht eine Herausgabeverpflichtung der Daten auch dann, wenn die Daten außerhalb der USA gespeichert werden.
Der ursprüngliche Lösungsansatz, dass eine von Microsoft angebotene Treuhand-Lösung genutzt wurde, bei der kein direkter Zugriff von Microsoft auf die in Europa gespeicherten Daten bestand („Microsoft Deutschland Cloud“), wurde zwischenzeitlich eingestellt und steht als Betriebsoption nunmehr nicht mehr zur Verfügung.
Datenschutz bei Microsoft: Eine Frage des Geldbeutels?
Zumindest im Fall von Microsoft 365 Pro Plus hat Microsoft auf die stetige Kritik hinsichtlich der Verarbeitung von Telemetriedaten reagiert und die diesbezüglichen Einstellungen nachgebessert. Ist man also bereit etwas tiefer in den Geldbeutel zu greifen, ist die Deaktivierung der Erfassung von Telemetriedaten durchaus möglich. Wie in diesem Zusammenhang der Einsatz von Windows bei Verantwortlichen zu bewerten ist, bei dem die Telemetriedaten zwar reduziert, aber bekanntlich nicht komplett abgeschaltet werden können, bleibt jedoch weiterhin offen.
Sisyphus Aufgabe: Microsoft Produkte DSGVO-konform einsetzen
Der rechtskonforme Einsatz der Microsoft Produkte verlangt die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) im Sinne des Art. 35 DSGVO. Grund hierfür ist, dass Microsoft in der Regel im gesamten Unternehmen genutzt wird und der Einsatz damit eine Verarbeitung von Kunden-, Mitarbeiter- und Geschäftsdaten im großen Umfang zur Folge hat. Problematisch ist, dass entsprechende Prüfberichte meist Monate dauern, hunderte Seiten umfassen und sich letztlich nur auf die zum Prüfzeitpunkt aktuelle Version beziehen. Die Produkte werden jedoch teilweise monatlich geupdatet. Die Änderungen und Einstellungen müssen demnach in kurzen Abständen überprüft und die DSFA entsprechend angepasst werden. Für kleine und mittelständische Unternehmen ist dies wirtschaftlich kaum umsetzbar.
Microsofts europäische Lösung bleibt abzuwarten
Der Einsatz von Microsoft Produkten bleibt weiterhin mit datenschutzrechtlichen Unsicherheiten verbunden. Das Risiko lässt sich zum jetzigen Zeitpunkt damit allenfalls minimieren. Die geplante Speicherung innerhalb der europäischen Grenzen wird dennoch mit Spannung erwartet. Ohne die Gewährleistung zusätzlicher technischer Sicherungsmaßnahmen wird jedoch auch diese Lösung an der jetzigen Rechtslage nichts ändern können.
