Microsoft OneDrive und der Datenschutz

Fachbeitrag

Sowohl im Privatbereich aber auch in Unternehmen ist die Cloud-Nutzung in den letzten Jahren zu einer Selbstverständlichkeit geworden. Die Vorteile sind nicht von der Hand zu weisen. Die Cloud stellt eine zentrale Sammelstelle für Daten, Fotos und Dokumente dar, auf die unabhängig vom Standort oder vom Gerät zugegriffen werden kann. Wie schaut es konkret bei der Cloud-Lösung von Microsoft OneDrive und dem Datenschutz aus?

OneDrive ist nicht DSGVO-konform

Nutzer von OneDrive sollten sich eines ins Gedächtnis rufen: Hier werden einem amerikanischen Dienstleister (Microsoft) die eigenen bzw. unternehmenseigenen, zum Teil höchstpersönlichen oder besonders schützenswerten Daten anvertraut. Der Sitz von Microsoft ist in den USA. Auch wenn es viele Angebote für Serverstandorte innerhalb der EU gibt, ist nicht auszuschließen, dass auch Server in den USA Zugriff auf die anderen Serverstandorte haben, z.B. zu Supportzwecken. Auf Grund des CLOUD Acts und der Schrems-II-Entscheidung des EuGHs sollte man sich also genau überlegen, welche seiner Daten man hier wirklich hinterlegen möchte.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) ging im Juli letztens Jahres noch einen Schritt weiter. Sie entschied mit einer knappen Mehrheit von 9 zu 8 Gegenstimmen, dass ein datenschutzgerechter Einsatz von Microsoft Office 365 nicht möglich sei. Als Gründe wurden von der DSK insbesondere genannt:

  • Fehlende Details
    Beschreibung der Verarbeitung in Online Service Terms und im Auftragsverarbeitung sei nicht detailliert genug, um beurteilen zu können, ob die Verarbeitung durch Microsoft zulässig ist.
  • Keine Rechtsgrundlage für Telemetrie
    Es liegt keine Rechtsgrundlage für die Übermittlung Telemetrie-Diagnosedaten an Microsoft vor.
  • Ungenauer Hinweis auf mögliche Weitergaben
    Der vertragliche Vorbehalt der Weitergabe von Daten in gesetzlich vorgeschriebenen Fällen, sei zu abstrakt gefasst.

Die Entscheidung der DSK kann jedoch auch kritisch gesehen werden, da diese anhand von allgemeinen Unterlagen und ohne eine konkrete technische Einsicht getroffen wurde. Sowohl Office 365 als auch Microsoft 365 bestehen jedoch aus einem Bündel von diversen Produkten und Funktionen, die sich quasi wöchentlich ändern. In der Praxis wird es für die Bewertung der Zulässigkeit daher immer auf die konkrete Nutzung von Microsoft 365 und damit auch von OneDrive ankommen. Die Einschätzung der DSK hingegen ist auf dem Stand von Januar 2020 und stellt somit lediglich eine Momentaufnahme dar. Man kann sich daher wahrscheinlich trefflich streiten, ob und in welchem Umfang die beanstandeten Punkte nicht bereits schon angepasst wurden.

Eignet sich OneDrive im Unternehmen?

In den meisten Fällen wird Microsoft OneDrive wohl im Rahmen einer bestehenden Microsoft Lizenz als Cloud-Dienst für Unternehmen in Betracht kommen. Vor einem Einsatz sollten sich zwei entscheidende Fragen gestellt werden: Werden personenbezogene Daten in die Microsoft Cloud geladen und wie geht man mit dem Serverstandort in den USA um?

Aus rechtlicher Sicht kann pauschal nicht abschließend gesagt werden, ob die Nutzung von OneDrive zulässig ist oder nicht. In der Praxis wird es daher immer auf eine Bewertung der unternehmenseigenen Risikolage hinauslaufen. Die Pros (z.B. OneDrive wird bereits eingesetzt und der wirtschaftliche Nutzen) sind mit den Cons (z.B. Risiken bzgl. der DSGVO-Konformität verbunden mit Bußgeldrisiken) abzuwägen. Allein wenn in der Cloud keine personenbezogenen Daten gespeichert werden, kann OneDrive bedenkenlos eingesetzt werden. Eine andere Alternative wäre, eine eigene Firmen-Cloud einzurichten.

Wann ist der Gebrauch von OneDrive an Schulen kritisch?

Als schwierig ist auch der Einsatz von OneDrive in Schulen zu sehen. Grund ist, dass sich die gegen OneDrive (und Microsoft 365) sprechenden Argumente insbesondere im schulischen Umfeld nur schwer entkräften lassen. Hier geht es um den besonderen Schutz von Kindern und ihrer personenbezogenen Daten.

Dies bestätigt auch der ehemalige hessi­sche Beauf­tragte für Datenschutz und Informationsfreiheit Michael Ronellenfitsch. Dieser verweist darauf, dass öffentliche Einrichtungen eine besondere Verantwortung hinsichtlich der Zulässigkeit und Nachvollziehbarkeit der Verarbeitung personenbezogener Daten haben. Zudem müsse die digitale Souveränität staatlicher Datenverarbeitung gewährleistet sein. Und auch die DSK empfiehlt Schulen, die Finger von Microsoft 365 zu lassen.

Wie kann die Digitalisierung an Schulen – gerade in Zeiten von Corona – nun trotzdem vorangetrieben werden? Eine Option könnte sein, die Daten in der Cloud ausschließlich mit Hilfe einer Open Source Verschlüsselungsplattform zu nutzen. Mit dieser Lösung befinden sich die personenbezogenen Daten der Schüler lediglich verschlüsselt bei OneDrive. Der Schlüssel befindet sich allein auf dem Endgerät des Nutzers. Allerdings ist auch hier zu beachten, dass es sich bei verschlüsselten Daten noch immer um personenbezogene Daten handelt. Auch wenn die Verschlüsselung eine (sehr gute) Möglichkeit zum Schutz der Daten darstellt, werden also dennoch personenbezogene Daten an einen US-Anbieter übermittelt.

OneDrive vs. iCloud – Wie schlägt sich der Konkurrent?

Lassen wir unseren Blick zu „fruchtigen“ Konkurrenz von Microsoft OneDrive schweifen. Nachdem Apple lange Zeit seinen Cloudservice ausschließlich für die private Nutzung anbot (um somit die Anwendung der DSGVO zu umgehen, die nach Art. 2 Abs. 2 lit. c) im privaten Bereich nicht zur Anwendung kommt), gibt es nun die iCloud Business Manager-Variante.

Bei der Businessvariante der iCloud besteht – neben der Tatsache, dass es sich auch hier um einen amerikanischen Dienstleister handelt – die größte Kritik in folgendem Punkt: Apple gibt zwar an, Auftragsverarbeiter zu sein. Diverse Regelungen im Vertrag deuten jedoch auf das Gegenteil hin. So behält sich Apple vor, nach Vertragsende sowohl den Zugriff des Nutzers auf seine (!) Daten auszusetzen als auch dessen Daten ohne vorherige Herausgabe zu löschen. Die verstößt eindeutig gegen die Regelungen des Art. 28 DSGVO.

Was sind die sichersten Alternativen zu OneDrive?

Im Ergebnis haben außereuropäische Cloud-Dienste – ob nun Microsoft OneDrive, die iCloud von Apple, Google oder Amazon Drive – alle dasselbe Problem: Ihre Anbieter sitzen in den USA. Seit der EuGH in seinem Schrems II-Urteil das EU-US-Privacy-Shield als Rechtsgrundlagen für den Austausch personenbezogener Daten mit den USA kippte, ist ein angemessenes Datenschutzniveau beim Datentransfer nicht mehr gewährleistet. Wie mit dieser Entscheidung und den daraus folgenden Konsequenzen und Risiken umgegangen wird, bedarf einer Abwägung im Einzelfall.

Wer jedoch auf Nummer sicher gehen will, sollte sich besser entweder für die Einrichtung einer eigenen Firmen-Cloud oder für einen Cloud-Anbieter entscheiden, der seinen Sitz und seine Server ausschließlich in der EU hat. Die Auswahl sollte sowohl die individuellen Bedürfnisse als auch die vom Anbieter ergriffenen Schutzmaßnahmen berücksichtigen. Hier können beispielsweise Themen wie die Synchronisation der Daten, das Design und die Usability, ein gemeinsames Arbeiten, die Anzahl der Nutzer, die Verschlüsselung und das Datenschutzniveau sowie die Kosten im Verhältnis zur Speicherkapazität herangezogen werden.

Die perfekte Lösung wird es in der Tat wohl nicht geben. In Deutschland gibt es allerdings viele gute Alternativen zu OneDrive. Die Anbieter von „bdrive“, „DRACOON“, „IONOS HiDrive“, „Magenta Cloud“ und „Your Secure Cloud“ haben beispielsweise ihre Serverstandorte in Deutschland und verfügen über eine Zertifizierung nach ISO/ IEC 27001.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

14 Kommentare zu diesem Beitrag

  1. Das ist alles richtig und wichtig, scheitert aber an der Realität. So wie unsere Schulen momentan mit IT Fachkräften ausgestattet sind, brauchen sie ein System das einfach funktioniert. und da gibt es für O365 keine wirkliche Alternative. Klar könnte man vielleicht mit OpenOffice, Linux usw eine DSGVO konforme Umgebung aufbauen – aber wer ist in der Lage das zu pflegen??? Zudem gäbe es dann wieder einen Flickenteppich aus verschiedenen Systemen was dann wieder eine Zusammenarbeit erschwert. Wir sollten uns einfach mal eingestehen, dass wir auf diesem Gebiet einfach unterstes Entwicklungsland sind, egal ob Software Hardware oder Infrstruktur, bei uns fehlt es an allem. Btw. mich würde mal interessieren, was in den Aufsichtsbehörden alles so an Software läuft und ob alle datenschutzrechtlichen Auflagen erfüllt sind :-)))

  2. Danke für diesen Beitrag. Sie fassen genau das zusammen, was ich seit Jahren meinen Kunden und Partnern predige. Jetzt nochmal von unabhängigerer Stelle – danke. :)

    Spannend wäre noch neben Microsoft und Apple auch Google Workspace und Dropbox mit einzubeziehen. Beide Systeme werden auch sehr aktiv genutzt und ich höre schon meine Kunden „Ja, ja, aber bei … ist es doch sicher anders.“ Was denken Sie dazu?

    • Das würde mich auch interessieren. Google wirbt öffentlich mit der Einhaltung der EU DSGVO: „Die Einhaltung der DSGVO hat für Google Cloud und unsere Kunden höchste Priorität.“ (Quelle: cloud.google.com/security/gdpr?hl=de)

      Der Beitrag hier sagt hingegen, dass keine Einhaltung der DSGVO durch Google vorliegt. Aufgrund eines Urteils des EuGH vergangenes Jahr. Allerdings sollte man erwähnen, dass Google daraufhin Maßnahmen unternommen hat, um Datensicherheit weiterhin zu gewährleisten (Verlagerung in die EU, zusätzliche Verschlüsselung,..).

      Bitte gehen Sie nochmal auf Google Drive ein.

  3. Ist euch zufällig bekannt, ob eine unserer DPA etwas zum Thema verschlüsselte Dateiablage in der Cloud gesagt hat? Also Lösungen, in der man selbst den einzigen Masterkey besitzt, sprich der Cloud-Betreiber an die Inhalte der abgelegten Dateien / Daten überhaupt nicht dran kommt? Klar, Metadaten fallen weiterhin an. Aber ohne IP-Adressen könnten wir das Internet gleich ganz abschalten :-)

  4. Danke für die gute, übersichtliche Einschätzung!
    Wenn ich nicht falsch informiert bin, kann ich die genannten Cloud – Lösungen mit einer Vorverschlüsselung (wenn denn möglich) nutzen.

  5. Sie schreiben: „Auch wenn es viele Angebote für Serverstandorte innerhalb der EU gibt, ist nicht auszuschließen, dass auch Server in den USA Zugriff auf die anderen Serverstandorte haben, z.B. zu Supportzwecken.“
    Haben Sie hier Quellen, die das belegen? Sonst ist es nur eine Vermutung. Und wenn tatsächlich nur Serverstandorte in der EU genutzt werden, greift das Schrems-II Urteil nicht.
    Hier wäre ein Hinweis hilfreich gewesen, dass sich gefühlt 90 Prozent der Microsoft Kunden mit den von Microsoft eingesetzten SCCs zufriedengeben, da ja nichts anderes übrig bleibt. Ehrlich gesagt finde ich Überschriften a la „OneDrive ist nicht DSGVO-konform“ problematisch, weil ja Dateien, die in Teams in einem privaten oder Gruppen-Chat freigegeben werden, in OneDrive for Business-Servern gespeichert werden.
    Zugegeben, es ist der Traum eines jeden Datenschützers, wenn die Kunden oder die eigene Firma Alternativen zu OneDrive einsetzt. Aber letztendlich müsste man dann auch Teams verbieten, weil es Daten in OneDrive speichert.
    Was schlagen Sie genau vor, was wir Datenschützer unseren Enterprise Kunden vorschlagen sollen: komplett auf Microsoft verzichten, weil trotz Einsatz von EU-Servern ein Admin aus den USA sich einklinken könnte? Interessant und äußerst realitätsfern.
    Ich würde es mehr begrüßen, wenn Sie hier andere Aspekte beleuchten würden, die Datenschützern helfen, anstatt Unsicherheit zu schüren. Z.B. die Frage, ob die Microsoft Admins, die auf EU-Server zugreifen könnten, Verpflichtungsvereinbarungen unterschreiben müssen oder ob sie trotz Wartungszugang direkten Zugriff auf verschlüsselte Daten haben und diese lesen können, oder nicht.
    Das wären mal Beiträge, die der Community wirklich helfen würden.
    Viele Grüße!

    • Der Standort der Server allein ist leider nicht vollständig ausreichend um das „Problem“ aus Schrems-II zu beheben. Es liegt vielmehr an den Gesetzen der USA, die einen nahezu unbeschränkten Zugriff auf Infrastruktur amerikanischer Unternehmen zulassen, unabhängig davon ob diese innerhalb der USA steht bzw. die unklaren Regelungen unter welchen Bedinungen diese Befugnisse genutzt werden dürfen. Das war der Anlass zur Ungültigkeitserklärung des Privacy Shields durch den EuGH im vergangenen Sommer.

      Zudem kann auch der Blog hier nicht das eigentliche Problem lösen, nämlich die ausufernden Berechtigungen der amerikanischen Ermittlungsbehörden, sondern nur auf die gültige Rechtslage hinweisen. Das gleiche gilt für die Aufsichtsbehörden, die – da gebe ich Ihnen Recht – nicht wirklich hilfreich mit „XX ist nicht datenschutzkonform einsetzbar“ Aussagen sind.

      Die Grundproblematik kann ja nicht einmal die EU-Komission lösen. Wir werden also abwarten, welches „Safe-Shield“ oder „Privacy-Harbor“ als nächstes kommt und die Diskussion auch weiterhin führen. Ohne ein Umdenken der Amerikaner, wird der EuGH auch kommende Vereinbarungen zum EU-US Datentransfer kippen. Schrems-III ist quasi vorprogrammiert.

    • Grundsätzlich müsste für Angaben über Datenübermittlungen (egal ob in Drittländer oder auch konzernintern) ein Blick in den DPA mit Microsoft helfen, was leider nicht der Fall ist. Ein klarer Verstoß gegen das Transparenzverbot der DSGVO und ein weiteres Argument gegen die DSGVO-Konformität von OneDrive. Daher kann nicht ausgeschlossen werden, dass auch Server in den USA Zugriff auf die anderen Serverstandorte haben, z.B. zu Supportzwecken. Übrigens schlicht eine gängige Praxis innerhalb einer Konzernstruktur. Microsoft schweigt darüber. Dies kann dann jeder für sich interpretieren.

      Sie schreiben: „Was schlagen Sie genau vor, was wir Datenschützer unseren Enterprise Kunden vorschlagen sollen: komplett auf Microsoft verzichten, weil trotz Einsatz von EU-Servern ein Admin aus den USA sich einklinken könnte? Interessant und äußerst realitätsfern.“
      Für Enterprise-Kunden kann nur wiederholt werden, was bereits im Abschnitt „Eignet sich OneDrive für Unternehmen?“ geschrieben steht: Die Rechtslage ist bekannt, nun muss jeder für sich die Risiken, die der Einsatz von Microsoft-Produkten bringen, mit dem eigenen Nutzen abwägen (wie hoffentlich auch die von Ihnen erwähnten gefühlten 90%).

      Sie schreiben: „Ich würde es mehr begrüßen, wenn Sie hier andere Aspekte beleuchten würden, die Datenschützern helfen, anstatt Unsicherheit zu schüren. Z.B. die Frage, ob die Microsoft Admins, die auf EU-Server zugreifen könnten, Verpflichtungsvereinbarungen unterschreiben müssen oder ob sie trotz Wartungszugang direkten Zugriff auf verschlüsselte Daten haben und diese lesen können, oder nicht.“
      Wenn sich Microsoft an die DSGVO hält, müsste die Frage nach den Verpflichtungsvereinbarungen mit einem klaren „Ja“ beantwortet werden. Eine Einsicht in diesen Bereich und auch in seine Arbeitsweisen hinsichtlich Wartungsarbeiten lässt Microsoft ja nur gerade nicht zu (s.o.). In dieser Hinsicht kann nur empfohlen werden, sich direkt selbst an Microsoft zu wenden und einmal sein Glück zu versuchen oder diese Unklarheiten in die eigene Abwägung miteinzubeziehen.

  6. @Schmidt: Genau so ist es. Die Länder verbrennen gerade Millionen für Bildungsclouds, die dann aber kaum Funktionen mitbringen…. Wäre O365 wirklich so unsicher, würde es wohl kaum in der Wirtschaft genutzt werden.
    Interessant finde ich, dass die Datenschützer so uneinig sind. 8 waren dafür und es laufen noch Prüfungen, wie seit Jahren.
    Kann einige Datenschützer mittlerweile auch nicht mehr ernst nehmen, da komplett an der Realität vorbei. Könnte morgens aus dem Haus gehen und ausrutschen, da bleibe ich dann lieber zuhause……

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.