Sowohl im Privatbereich aber auch in Unternehmen ist die Cloud-Nutzung in den letzten Jahren zu einer Selbstverständlichkeit geworden. Die Vorteile sind nicht von der Hand zu weisen. Die Cloud stellt eine zentrale Sammelstelle für Daten, Fotos und Dokumente dar, auf die unabhängig vom Standort oder vom Gerät zugegriffen werden kann. Wie schaut es konkret bei der Cloud-Lösung von Microsoft OneDrive und dem Datenschutz aus?
Der Inhalt im Überblick
OneDrive ist nicht DSGVO-konform
Nutzer von OneDrive sollten sich eines ins Gedächtnis rufen: Hier werden einem amerikanischen Dienstleister (Microsoft) die eigenen bzw. unternehmenseigenen, zum Teil höchstpersönlichen oder besonders schützenswerten Daten anvertraut. Der Sitz von Microsoft ist in den USA. Auch wenn es viele Angebote für Serverstandorte innerhalb der EU gibt, ist nicht auszuschließen, dass auch Server in den USA Zugriff auf die anderen Serverstandorte haben, z.B. zu Supportzwecken. Auf Grund des CLOUD Acts und der Schrems-II-Entscheidung des EuGHs sollte man sich also genau überlegen, welche seiner Daten man hier wirklich hinterlegen möchte.
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) ging im Juli letztens Jahres noch einen Schritt weiter. Sie entschied mit einer knappen Mehrheit von 9 zu 8 Gegenstimmen, dass ein datenschutzgerechter Einsatz von Microsoft Office 365 nicht möglich sei. Als Gründe wurden von der DSK insbesondere genannt:
- Fehlende Details
Beschreibung der Verarbeitung in Online Service Terms und im Auftragsverarbeitung sei nicht detailliert genug, um beurteilen zu können, ob die Verarbeitung durch Microsoft zulässig ist. - Keine Rechtsgrundlage für Telemetrie
Es liegt keine Rechtsgrundlage für die Übermittlung Telemetrie-Diagnosedaten an Microsoft vor. - Ungenauer Hinweis auf mögliche Weitergaben
Der vertragliche Vorbehalt der Weitergabe von Daten in gesetzlich vorgeschriebenen Fällen, sei zu abstrakt gefasst.
Die Entscheidung der DSK kann jedoch auch kritisch gesehen werden, da diese anhand von allgemeinen Unterlagen und ohne eine konkrete technische Einsicht getroffen wurde. Sowohl Office 365 als auch Microsoft 365 bestehen jedoch aus einem Bündel von diversen Produkten und Funktionen, die sich quasi wöchentlich ändern. In der Praxis wird es für die Bewertung der Zulässigkeit daher immer auf die konkrete Nutzung von Microsoft 365 und damit auch von OneDrive ankommen. Die Einschätzung der DSK hingegen ist auf dem Stand von Januar 2020 und stellt somit lediglich eine Momentaufnahme dar. Man kann sich daher wahrscheinlich trefflich streiten, ob und in welchem Umfang die beanstandeten Punkte nicht bereits schon angepasst wurden.
Eignet sich OneDrive im Unternehmen?
In den meisten Fällen wird Microsoft OneDrive wohl im Rahmen einer bestehenden Microsoft Lizenz als Cloud-Dienst für Unternehmen in Betracht kommen. Vor einem Einsatz sollten sich zwei entscheidende Fragen gestellt werden: Werden personenbezogene Daten in die Microsoft Cloud geladen und wie geht man mit dem Serverstandort in den USA um?
Aus rechtlicher Sicht kann pauschal nicht abschließend gesagt werden, ob die Nutzung von OneDrive zulässig ist oder nicht. In der Praxis wird es daher immer auf eine Bewertung der unternehmenseigenen Risikolage hinauslaufen. Die Pros (z.B. OneDrive wird bereits eingesetzt und der wirtschaftliche Nutzen) sind mit den Cons (z.B. Risiken bzgl. der DSGVO-Konformität verbunden mit Bußgeldrisiken) abzuwägen. Allein wenn in der Cloud keine personenbezogenen Daten gespeichert werden, kann OneDrive bedenkenlos eingesetzt werden. Eine andere Alternative wäre, eine eigene Firmen-Cloud einzurichten.
Wann ist der Gebrauch von OneDrive an Schulen kritisch?
Als schwierig ist auch der Einsatz von OneDrive in Schulen zu sehen. Grund ist, dass sich die gegen OneDrive (und Microsoft 365) sprechenden Argumente insbesondere im schulischen Umfeld nur schwer entkräften lassen. Hier geht es um den besonderen Schutz von Kindern und ihrer personenbezogenen Daten.
Dies bestätigt auch der ehemalige hessische Beauftragte für Datenschutz und Informationsfreiheit Michael Ronellenfitsch. Dieser verweist darauf, dass öffentliche Einrichtungen eine besondere Verantwortung hinsichtlich der Zulässigkeit und Nachvollziehbarkeit der Verarbeitung personenbezogener Daten haben. Zudem müsse die digitale Souveränität staatlicher Datenverarbeitung gewährleistet sein. Und auch die DSK empfiehlt Schulen, die Finger von Microsoft 365 zu lassen.
Wie kann die Digitalisierung an Schulen – gerade in Zeiten von Corona – nun trotzdem vorangetrieben werden? Eine Option könnte sein, die Daten in der Cloud ausschließlich mit Hilfe einer Open Source Verschlüsselungsplattform zu nutzen. Mit dieser Lösung befinden sich die personenbezogenen Daten der Schüler lediglich verschlüsselt bei OneDrive. Der Schlüssel befindet sich allein auf dem Endgerät des Nutzers. Allerdings ist auch hier zu beachten, dass es sich bei verschlüsselten Daten noch immer um personenbezogene Daten handelt. Auch wenn die Verschlüsselung eine (sehr gute) Möglichkeit zum Schutz der Daten darstellt, werden also dennoch personenbezogene Daten an einen US-Anbieter übermittelt.
OneDrive vs. iCloud – Wie schlägt sich der Konkurrent?
Lassen wir unseren Blick zu „fruchtigen“ Konkurrenz von Microsoft OneDrive schweifen. Nachdem Apple lange Zeit seinen Cloudservice ausschließlich für die private Nutzung anbot (um somit die Anwendung der DSGVO zu umgehen, die nach Art. 2 Abs. 2 lit. c) im privaten Bereich nicht zur Anwendung kommt), gibt es nun die iCloud Business Manager-Variante.
Bei der Businessvariante der iCloud besteht – neben der Tatsache, dass es sich auch hier um einen amerikanischen Dienstleister handelt – die größte Kritik in folgendem Punkt: Apple gibt zwar an, Auftragsverarbeiter zu sein. Diverse Regelungen im Vertrag deuten jedoch auf das Gegenteil hin. So behält sich Apple vor, nach Vertragsende sowohl den Zugriff des Nutzers auf seine (!) Daten auszusetzen als auch dessen Daten ohne vorherige Herausgabe zu löschen. Die verstößt eindeutig gegen die Regelungen des Art. 28 DSGVO.
Was sind die sichersten Alternativen zu OneDrive?
Im Ergebnis haben außereuropäische Cloud-Dienste – ob nun Microsoft OneDrive, die iCloud von Apple, Google oder Amazon Drive – alle dasselbe Problem: Ihre Anbieter sitzen in den USA. Seit der EuGH in seinem Schrems II-Urteil das EU-US-Privacy-Shield als Rechtsgrundlagen für den Austausch personenbezogener Daten mit den USA kippte, ist ein angemessenes Datenschutzniveau beim Datentransfer nicht mehr gewährleistet. Wie mit dieser Entscheidung und den daraus folgenden Konsequenzen und Risiken umgegangen wird, bedarf einer Abwägung im Einzelfall.
Wer jedoch auf Nummer sicher gehen will, sollte sich besser entweder für die Einrichtung einer eigenen Firmen-Cloud oder für einen Cloud-Anbieter entscheiden, der seinen Sitz und seine Server ausschließlich in der EU hat. Die Auswahl sollte sowohl die individuellen Bedürfnisse als auch die vom Anbieter ergriffenen Schutzmaßnahmen berücksichtigen. Hier können beispielsweise Themen wie die Synchronisation der Daten, das Design und die Usability, ein gemeinsames Arbeiten, die Anzahl der Nutzer, die Verschlüsselung und das Datenschutzniveau sowie die Kosten im Verhältnis zur Speicherkapazität herangezogen werden.
Die perfekte Lösung wird es in der Tat wohl nicht geben. In Deutschland gibt es allerdings viele gute Alternativen zu OneDrive. Die Anbieter von „bdrive“, „DRACOON“, „IONOS HiDrive“, „Magenta Cloud“ und „Your Secure Cloud“ haben beispielsweise ihre Serverstandorte in Deutschland und verfügen über eine Zertifizierung nach ISO/ IEC 27001.
Das ist alles richtig und wichtig, scheitert aber an der Realität. So wie unsere Schulen momentan mit IT Fachkräften ausgestattet sind, brauchen sie ein System das einfach funktioniert. und da gibt es für O365 keine wirkliche Alternative. Klar könnte man vielleicht mit OpenOffice, Linux usw eine DSGVO konforme Umgebung aufbauen – aber wer ist in der Lage das zu pflegen??? Zudem gäbe es dann wieder einen Flickenteppich aus verschiedenen Systemen was dann wieder eine Zusammenarbeit erschwert. Wir sollten uns einfach mal eingestehen, dass wir auf diesem Gebiet einfach unterstes Entwicklungsland sind, egal ob Software Hardware oder Infrstruktur, bei uns fehlt es an allem. Btw. mich würde mal interessieren, was in den Aufsichtsbehörden alles so an Software läuft und ob alle datenschutzrechtlichen Auflagen erfüllt sind :-)))
Danke für diesen Beitrag. Sie fassen genau das zusammen, was ich seit Jahren meinen Kunden und Partnern predige. Jetzt nochmal von unabhängigerer Stelle – danke. :)
Spannend wäre noch neben Microsoft und Apple auch Google Workspace und Dropbox mit einzubeziehen. Beide Systeme werden auch sehr aktiv genutzt und ich höre schon meine Kunden „Ja, ja, aber bei … ist es doch sicher anders.“ Was denken Sie dazu?
Das würde mich auch interessieren. Google wirbt öffentlich mit der Einhaltung der EU DSGVO: „Die Einhaltung der DSGVO hat für Google Cloud und unsere Kunden höchste Priorität.“ (Quelle: cloud.google.com/security/gdpr?hl=de)
Der Beitrag hier sagt hingegen, dass keine Einhaltung der DSGVO durch Google vorliegt. Aufgrund eines Urteils des EuGH vergangenes Jahr. Allerdings sollte man erwähnen, dass Google daraufhin Maßnahmen unternommen hat, um Datensicherheit weiterhin zu gewährleisten (Verlagerung in die EU, zusätzliche Verschlüsselung,..).
Bitte gehen Sie nochmal auf Google Drive ein.
Im Beitrag Das US-Datenschutzniveau als Problem beim Cloud-Computing gehen wir noch mal ausführlich auf die Hintergründe ein, wieso die US-Dienstleister seit dem EuGH-Urteil Schrems II meist nicht datenschutzkonform zu nutzen sind.
Einer der Hauptpunkte des Urteils war, dass in der USA kein angemessenes Schutzniveau für Daten europäische Bürger existiert, da diesen dort kein effektiver gerichtlicher Rechtsschutz vor Zugriffen durch die US-Regierung zusteht. An diesem Punkt kann keine Maßnahme eines Unternehmens etwas ändern, sondern nur die US-Regierung. Immerhin befinden sich die USA und EU in diesem Bereich nun wieder in einem engeren Dialog.
Danke, Dr. Datenschutz!
Ist euch zufällig bekannt, ob eine unserer DPA etwas zum Thema verschlüsselte Dateiablage in der Cloud gesagt hat? Also Lösungen, in der man selbst den einzigen Masterkey besitzt, sprich der Cloud-Betreiber an die Inhalte der abgelegten Dateien / Daten überhaupt nicht dran kommt? Klar, Metadaten fallen weiterhin an. Aber ohne IP-Adressen könnten wir das Internet gleich ganz abschalten :-)
Etwas Offizielles von unseren Behörden habe ich gerade nicht im Kopf. Aber der Conseil d’Etat hat neulich zu einer ähnlichen Konstellation bei AWS geurteilt.
Danke für den Link zum aws -Urteil! Das ist genau das Problem! (und die Risikoabschätzung).
Super, danke.
Danke für die gute, übersichtliche Einschätzung!
Wenn ich nicht falsch informiert bin, kann ich die genannten Cloud – Lösungen mit einer Vorverschlüsselung (wenn denn möglich) nutzen.
Sie schreiben: „Auch wenn es viele Angebote für Serverstandorte innerhalb der EU gibt, ist nicht auszuschließen, dass auch Server in den USA Zugriff auf die anderen Serverstandorte haben, z.B. zu Supportzwecken.“
Haben Sie hier Quellen, die das belegen? Sonst ist es nur eine Vermutung. Und wenn tatsächlich nur Serverstandorte in der EU genutzt werden, greift das Schrems-II Urteil nicht.
Hier wäre ein Hinweis hilfreich gewesen, dass sich gefühlt 90 Prozent der Microsoft Kunden mit den von Microsoft eingesetzten SCCs zufriedengeben, da ja nichts anderes übrig bleibt. Ehrlich gesagt finde ich Überschriften a la „OneDrive ist nicht DSGVO-konform“ problematisch, weil ja Dateien, die in Teams in einem privaten oder Gruppen-Chat freigegeben werden, in OneDrive for Business-Servern gespeichert werden.
Zugegeben, es ist der Traum eines jeden Datenschützers, wenn die Kunden oder die eigene Firma Alternativen zu OneDrive einsetzt. Aber letztendlich müsste man dann auch Teams verbieten, weil es Daten in OneDrive speichert.
Was schlagen Sie genau vor, was wir Datenschützer unseren Enterprise Kunden vorschlagen sollen: komplett auf Microsoft verzichten, weil trotz Einsatz von EU-Servern ein Admin aus den USA sich einklinken könnte? Interessant und äußerst realitätsfern.
Ich würde es mehr begrüßen, wenn Sie hier andere Aspekte beleuchten würden, die Datenschützern helfen, anstatt Unsicherheit zu schüren. Z.B. die Frage, ob die Microsoft Admins, die auf EU-Server zugreifen könnten, Verpflichtungsvereinbarungen unterschreiben müssen oder ob sie trotz Wartungszugang direkten Zugriff auf verschlüsselte Daten haben und diese lesen können, oder nicht.
Das wären mal Beiträge, die der Community wirklich helfen würden.
Viele Grüße!
Der Standort der Server allein ist leider nicht vollständig ausreichend um das „Problem“ aus Schrems-II zu beheben. Es liegt vielmehr an den Gesetzen der USA, die einen nahezu unbeschränkten Zugriff auf Infrastruktur amerikanischer Unternehmen zulassen, unabhängig davon ob diese innerhalb der USA steht bzw. die unklaren Regelungen unter welchen Bedinungen diese Befugnisse genutzt werden dürfen. Das war der Anlass zur Ungültigkeitserklärung des Privacy Shields durch den EuGH im vergangenen Sommer.
Zudem kann auch der Blog hier nicht das eigentliche Problem lösen, nämlich die ausufernden Berechtigungen der amerikanischen Ermittlungsbehörden, sondern nur auf die gültige Rechtslage hinweisen. Das gleiche gilt für die Aufsichtsbehörden, die – da gebe ich Ihnen Recht – nicht wirklich hilfreich mit „XX ist nicht datenschutzkonform einsetzbar“ Aussagen sind.
Die Grundproblematik kann ja nicht einmal die EU-Komission lösen. Wir werden also abwarten, welches „Safe-Shield“ oder „Privacy-Harbor“ als nächstes kommt und die Diskussion auch weiterhin führen. Ohne ein Umdenken der Amerikaner, wird der EuGH auch kommende Vereinbarungen zum EU-US Datentransfer kippen. Schrems-III ist quasi vorprogrammiert.
Grundsätzlich müsste für Angaben über Datenübermittlungen (egal ob in Drittländer oder auch konzernintern) ein Blick in den DPA mit Microsoft helfen, was leider nicht der Fall ist. Ein klarer Verstoß gegen das Transparenzverbot der DSGVO und ein weiteres Argument gegen die DSGVO-Konformität von OneDrive. Daher kann nicht ausgeschlossen werden, dass auch Server in den USA Zugriff auf die anderen Serverstandorte haben, z.B. zu Supportzwecken. Übrigens schlicht eine gängige Praxis innerhalb einer Konzernstruktur. Microsoft schweigt darüber. Dies kann dann jeder für sich interpretieren.
Sie schreiben: „Was schlagen Sie genau vor, was wir Datenschützer unseren Enterprise Kunden vorschlagen sollen: komplett auf Microsoft verzichten, weil trotz Einsatz von EU-Servern ein Admin aus den USA sich einklinken könnte? Interessant und äußerst realitätsfern.“
Für Enterprise-Kunden kann nur wiederholt werden, was bereits im Abschnitt „Eignet sich OneDrive für Unternehmen?“ geschrieben steht: Die Rechtslage ist bekannt, nun muss jeder für sich die Risiken, die der Einsatz von Microsoft-Produkten bringen, mit dem eigenen Nutzen abwägen (wie hoffentlich auch die von Ihnen erwähnten gefühlten 90%).
Sie schreiben: „Ich würde es mehr begrüßen, wenn Sie hier andere Aspekte beleuchten würden, die Datenschützern helfen, anstatt Unsicherheit zu schüren. Z.B. die Frage, ob die Microsoft Admins, die auf EU-Server zugreifen könnten, Verpflichtungsvereinbarungen unterschreiben müssen oder ob sie trotz Wartungszugang direkten Zugriff auf verschlüsselte Daten haben und diese lesen können, oder nicht.“
Wenn sich Microsoft an die DSGVO hält, müsste die Frage nach den Verpflichtungsvereinbarungen mit einem klaren „Ja“ beantwortet werden. Eine Einsicht in diesen Bereich und auch in seine Arbeitsweisen hinsichtlich Wartungsarbeiten lässt Microsoft ja nur gerade nicht zu (s.o.). In dieser Hinsicht kann nur empfohlen werden, sich direkt selbst an Microsoft zu wenden und einmal sein Glück zu versuchen oder diese Unklarheiten in die eigene Abwägung miteinzubeziehen.
@Schmidt: Genau so ist es. Die Länder verbrennen gerade Millionen für Bildungsclouds, die dann aber kaum Funktionen mitbringen…. Wäre O365 wirklich so unsicher, würde es wohl kaum in der Wirtschaft genutzt werden.
Interessant finde ich, dass die Datenschützer so uneinig sind. 8 waren dafür und es laufen noch Prüfungen, wie seit Jahren.
Kann einige Datenschützer mittlerweile auch nicht mehr ernst nehmen, da komplett an der Realität vorbei. Könnte morgens aus dem Haus gehen und ausrutschen, da bleibe ich dann lieber zuhause……
Vielen Dank für Ihren Beitrag.
Wäre es denkbar, dass die US-Konzerne die Nutzung mit Hilfe der neuen Standardvertragsklauseln umsetzen und die US-Teile tatsächlich als reine Auftragsverarbeiter eines eigenständigen EU-Unternehmens agieren (mit Modul 3), welches dann wiederum als Auftragsverarbeiter aller EU-Kunden ohne Zugriff der US-Behörden (mit Modul 2) fungieren könnte? Zeichnet sich soetwas eventuell schon ab und wäre das vielleicht eine belastbare Lösung?
Danke für Ihre Zeit.
Mit Geltung des neuen DPA (September 2021) hat Microsoft die Vertragsbeziehungen angepasst: Der DPA sieht für EU-Kunden ein direktes Vertragsverhältnis mit Microsoft Ireland Operations Ltd. vor. Für die konzerninternen Datentransfers von Microsoft, also u.a. zur Datenübermittlung auch von Microsoft Ireland an Microsoft Corp in den USA, wurden die EU-Standardvertragsklauseln 2021 (Modul 3 – Processor-to-Processor) geschlossen. Zudem sind im aktuellen DPA noch die Standardvertragsklauseln 2010 enthalten, diese gelten allerdings nur für Kunden in UK und der Schweiz.
Obwohl hier die Rechtslage nicht abschließend gerichtlich geklärt ist, wird sich das Thema des Drittlandtransfers in diesen Konstellationen dennoch nicht erledigt haben. Gerade in Konstellationen wie hier bei MS ist ein konzerninterner Datentransfer aus der EU in Drittländer wie die USA schon zu Beginn der Nutzung der Services zur Bereitstellung der Angebote bekannt und absehbar. Als datenschutzrechtlich „Verantwortliche“ tragen EU-Unternehmen als Nutzer der MS-Services für alle Aspekte des arbeitsteiligen Prozesses Verantwortung und müssen sich u.a. auch vergewissern, dass MS selbst seine Subdienstleister (verbundene Konzernunternehmen, z.B. in den USA) dazu anhält, Datenverarbeitungen im Drittland nur unter Beachtung der Vorgaben der DSGVO zu ermöglichen. In dem Zusammenhang ist zu beachten, dass der Europäische Datenschutzausschusses (EDSA) betont, dass bei Nutzung von US-Cloud-Diensten ein datenschutzkonformer Datentransfer grundsätzlich kaum möglich ist: Ein EU-gleiches Datenschutzniveau besteht laut EDSA nur dann, wenn eine Verschlüsselung der Daten derart erfolgt, dass der Schlüssel nur beim verantwortlichen Unternehmen läge und der auch von US-Diensten nicht gebrochen werden kann. Außerdem ist eine Datenübermittlung in ein Drittland (hier USA) rechtlich schon dann anzunehmen, wenn ein Datenzugriff auf Daten, die in der EU/im EWR liegen, aus einem Drittland möglich wäre, wie hier z.B. hier ein Zugriff durch MS aus den USA zu Supportzwecken auf Daten der EU-Konzerngesellschaft in Irland.
Das Hauptargument lautet als: „Einer der Hauptpunkte des Urteils war, dass in der USA kein angemessenes Schutzniveau für Daten europäische Bürger existiert, da diesen dort kein effektiver gerichtlicher Rechtsschutz vor Zugriffen durch die US-Regierung zusteht. An diesem Punkt kann keine Maßnahme eines Unternehmens etwas ändern, sondern nur die US-Regierung. Immerhin befinden sich die USA und EU in diesem Bereich nun wieder in einem engeren Dialog.“ Sorry aber mit diesem Totschlagargument müsste dann als letzte Konsequenz sämtliche Windows Betriebssystem Versionen (Von 3.11 bis 11) als nicht DSGVO deklariert und somit Verboten werden. Das wiederum traut sich dann aber keiner von den netten Herren Datenschützern, hier fällt wohl auch dem letzten Verteidiger des Datenschutzes auf dass das etwas realitätsfern ist und nicht Umsetzbar. Ich bin sehr für Datenschutz und Datensouveränität, aber in Zeiten wo Leute über Facebook / WhatsApp / Insta 1000x mehr bereitwillig Daten über sich Preisgeben, halte ich diese Diskussion über fehlenden Datenschutz in O365 als einen satirischen Witz. Ebenso halte ich es für sehr lachhaft das wir hier in der EU glauben die USA dazu zu bewegen Ihre Gesetzen für uns Anzupassen. Anstatt Pragmatisch an die Sache ranzugehen und gewisse Gegebenheiten einfach mal zu akzeptieren und geeignete Lösungen zu suchen, (Mehr Bewusstsein Förderung an Schulen, Möglichkeiten der eigenen Verschlüsselung in einer Public Cloud, ……) flüchten wir in Grundsatzdiskussionen und behindern uns selbst.
Römische Dekadenz lässt Grüßen…
Zwei Fragen hätte ich:
Erstens: Warum gehen mit dem oben genannten Argument bitte die Datenschützer nicht genauso Massiv und derselben Härte gegen Windows als Betriebssystem in der Industrie oder der eigenen Öffentlichen Verwaltung vor? Hier höre ich nicht das Windows geduldet wird mit einer Frist zur Nachbesserung bis xxx… und falls nichts passiert dann bitte Windows Deinstallation.
Zweitens: Mal angenommen MS gibt einen Feuchten auf die Forderungen, (können Sie ja auch gar nicht als US Unternehmen) , halten Sie es für Wahrscheinlich das dann Öffentliche Einrichtungen / Industrie die Nutzung von Windows untersagt bekommen? Falls diese Frage schon innerlich mit einem „Nein“ wegen den zu großen massiven Schäden in der Wirtschaft beantwortet wird, ist sämtliche Diskussion über das O365 Thema heuchlerisch und sollte meiner Meinung nach daher umgehend eingestellt werden um sich der eigentlichen Ursache des Problems anzunehmen.
Das Problem des nicht angemessenen Schutzniveau für Daten in den USA trifft natürlich auch auf andere US-amerikanische Dienste als auch Anbieter zu. Wir erleben es im Berateralltag beim Vorgehen der datenschutzrechtlichen Aufsichtsbehörden jedoch immer wieder, dass bestimmte Dienste quasi exemplarisch herausgenommen werden – beim Einsatz von Analyse Tools trifft es bspw. „Google Analytics“. Da man meiner Meinung nach aber besser irgendwo als nirgendwo beginnt, halte ich dieses Vorgehen für richtig. Welche Auswirkungen es haben kann, am „Ball zu bleiben“, zeigen die aktuellen Entwicklungen auf europäischer/ US-amerikanischer Ebene zum Trans-Atlantic Data Privacy Framework.
Bei den großen „Playern“ anzusetzen, scheint also doch irgendwo wirksam. Denn auch bei Microsoft selbst sind immer weitere Bemühungen hin zu mehr Datenschutz zu beobachten, wie bspw. im gerade neu veröffentlichten Data Protection Addendum. Auch wenn es hier auch meiner Meinung nach zugegebenermaßen nur langsam vorangeht, sind die Entwicklungen jedoch nicht von der Hand zu weisen.