Categories: Gastbeitrag

2023 wird wegweisend für DSGVO-Compliance

Microsoft als global größter Software-Hersteller verfügt mit den Applikationen des Office-Pakets über eine ungeheure Marktmacht, Microsoft Word ist das meistgenutzte Textverarbeitungsprogramm der Welt. Die Cloud-basierte Variante Microsoft 365 hat die Arbeitsplatz-Version bezüglich der Verkaufszahlen längst überholt. Dennoch entspricht die aktuelle Version immer noch nicht den strengen DSGVO-Vorgaben der Europäischen Union. Dies hat die “Arbeitsgruppe Microsoft-Onlinedienste” der Datenschutzkonferenz (DSK) im November 2022 zum wiederholten Male attestiert. In Kombination mit der Unwirksamkeit des “Privacy Shield”-Abkommens zwischen der EU und den USA nach dem Urteil des EuGH aus dem Jahr 2020 steigt der Compliance-Druck auf Unternehmen, Institutionen und Behörden erheblich an, sofern sie immer noch Services wie Microsoft 365, Teams oder andere US-Tools wie Google Analytics 4 einsetzen.

DSK-Arbeitsgruppe: “Keine substantiellen Verbesserungen”

Als Hauptgründe für die Zurückweisung des letzten Datenschutznachtrags von Microsoft gelten zum einen die Möglichkeit, dass US-Behörden weiterhin auf Daten von EU-Bürgern zugreifen können, wenn diese auf Server von US-amerikanischen Unternehmen übertragen und/oder gespeichert werden. Jedes US-Unternehmen hat nach dem Patriot Act von 2001 dies uneingeschränkt sicherzustellen, auch wenn die Daten bei einem deutschen Tochterunternehmen gehostet werden. Dieses kann sich zwar auf die DSGVO berufen, muss dann aber damit rechnen, dass der Mutterkonzern in den USA von den dortigen Gerichten verurteilt wird – eine echte Zwickmühle.

Weiterhin konnte Microsoft im vorgelegten Datenschutznachtrag immer noch nicht eindeutig erläutern, in welchen Fällen es als Auftragsverarbeiter und wann es als Verantwortlicher tätig ist. Zudem blieb erneut unklar, was Microsoft als “legitime Geschäftszwecke” bzw. “Geschäftstätigkeiten” bezeichnet und inwieweit diese als Rechtgrundlage für die Verarbeitung personenbezogener Daten gelten können. Aufgrund dieser Defizite blieb der AG Microsoft Onlinedienste schlichtweg nichts anderes übrig, als von dem Einsatz von Microsoft 365 und anderen US-Applikationen abzuraten.

Microsoft Deutschland reagierte auf diese Einschätzung erstaunlich harsch. Die Schlussfolgerungen werden als “grundlegend falsch” beurteilt, die Auslegung einiger deutscher Datenschutzbehörden sogar als “übermäßig risikoscheu” tituliert und als Bremse der erfolgreichen Digitalisierung Deutschlands bezeichnet. Dieser verschnupften Reaktion auf berechtigte Einwände ist kaum noch etwas hinzuzufügen.

2023 müssen Alternativen gesucht und Lücken geschlossen werden

Stecken IT-Verantwortliche von Unternehmen, die noch auf veraltete Software oder US-Applikationen setzen, weiterhin den Kopf in den Sand, kann es für sie im laufenden Jahr gefährlich und teuer werden. Spätestens jetzt ist es an der Zeit, den eigenen IT-Status Quo angesichts der Einschätzungen der DSK und deren Arbeitsgruppen kritisch zu analysieren, nach DSGVO-konformen Alternativen Ausschau zu halten und ohne weitere Verzögerung sicherheitskritische Lücken zu schließen.

Wer sich bisher noch nicht mit Beschwerden von Kunden oder anderen Personen auseinandersetzen oder in anderer Form Komplikationen erfahren musste, sollte sein Glück nicht noch weiter herausfordern. Der Beschluss der DSK vom 31. Januar 2023 bezüglich extraterritorialer Zugriffe endet mit der Ankündigung, sich für eine weitere Behandlung dieser Fragestellung im Europäischen Datenschutzausschuss einzusetzen. Darüber hinaus steht zu erwarten, dass die Kontrollen und resultierenden Präzedenzfälle im laufenden Jahr erheblich zunehmen werden. Immer mehr deutsche OLGe erkennen wettbewerbsrechtliche Ansprüche nach Verstößen gegen die DSGVO an – ein klarer Weckruf, jetzt tätig zu werden!

Erfreulicherweise existieren zahlreiche Applikationen im Open-Source-Bereich, aber auch auf dem europäischen Software-Markt, die alle strengen DSGVO-Vorgaben mustergültig erfüllen – und darüber hinaus auch in Punkto Benutzerfreundlichkeit und Kompatibilität mit bereits vorhandenen Dokumentformaten überzeugen. Sich darauf zu verlassen, dass Microsoft und andere US-Firmen endlich ihre Datenschutz-Versprechungen halten und für Rechtssicherheit sorgen, kann zu unangenehmen Konsequenzen und Sanktionen führen, die angesichts der steigenden Strafen einen existenzgefährdenden Umfang annehmen können. Auch Bildungsinstitute wie Schulen und Universitäten, die eine besondere Sorgfalt bezüglich schützenswerter personenbezogener Daten walten lassen müssen, sind jetzt dringend gefordert. 

Matthias Bollwein

ist Gründer von Uniki

Hinweis der Redaktion

Kommentierende Gastbeiträge spiegeln nicht die Meinung der Redaktion wider, sollen aber zur Diskussion beitragen. Mögliche Eigeninteressen der Gastautoren können die Inhalte beeinflussen.

Roger Homrich

Recent Posts

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

13 Stunden ago

SoftwareOne: Cloud-Technologie wird sich von Grund auf verändern

Cloud-Trends 2025: Zahlreiche neue Technologien erweitern die Grenzen von Cloud Computing.

14 Stunden ago

KI-basierte Herz-Kreislauf-Vorsorge entlastet Herzspezialisten​

Noah Labs wollen Kardiologie-Praxen und Krankenhäuser in Deutschland durch KI-gestütztes Telemonitoring von Patienten entlasten.

14 Stunden ago

IBM sieht Nachhaltigkeit als KI-Treiber

Neun von zehn deutschen Managern erwarten, dass der Einsatz von KI auf ihre Nachhaltigkeitsziele einzahlen…

19 Stunden ago

Wie KI das Rechnungsmanagement optimiert

Intergermania Transport automatisiert die Belegerfassung mit KI und profitiert von 95 Prozent Zeitersparnis.

1 Tag ago

Zukunft der europäischen Cybersicherheit ist automatisiert

Cyberattacken finden in allen Branchen statt, und Geschwindigkeit und Häufigkeit der Angriffe werden weiter zunehmen,…

1 Tag ago