Datenschützer melden Bedenken zur behördlichen Microsoft 365-Nutzung an – Ist die rechtskonforme Verwendung möglich?
Die Tatsache, dass Datenschützer Microsoft kritisieren, ist nicht besonders überraschend, so wurde das US-Unternehmen schließlich schon öfter in diesem Hinblick gerügt – so wie auch andere amerikanische Tech-Konzerne. Der Umstand, dass die Verantwortlichen hierzulande einen besonders kritischen Blick auf die behördliche Verwendung gängiger Programme in Hinblick auf den Datenschutz werfen, ist zunächst einmal sehr erfreulich. Denn genau das zeigt, dass dem Thema – zusätzlich zum Thema IT-Sicherheit – eine angemessene Wichtigkeit eingeräumt wird. Denn schließlich funktioniert die Digitalisierung, sei es im Unternehmen, im Behördenumfeld oder in der Schule, nur, wenn Security oberste Priorität hat. Diese Sicherheit muss durch organisatorische und technische Maßnahmen gewährleistet und konstant hinterfragt und überprüft werden. Allerdings ist die Aussage des Arbeitskreises der Datenschutzkonferenz in diesem Falle zu weit über das Ziel hinausgeschossen, denn eine datenschutzkonforme Nutzung von Microsoft 365 ist durchaus möglich, wenn bestimmte Kriterien erfüllt werden.
Was bei der Nutzung von gängigen Office-Anwendungen zu Problemen hinsichtlich des Datenschutzes führen kann, ist vor allem der Aspekt der Speicherung. Werden Informationen in Cloud-Umgebungen amerikanischer Anbieter gespeichert, unterliegen die Daten dem sogenannten CLOUD (Clarifying Lawful Overseas Use of Data) Act. Dadurch können US-Regierungsbehörden prinzipiell Zugriff auf diese erhalten, auch wenn sie außerhalb der Vereinigten Staaten liegen. Alleine die Tatsache, dass eine amerikanische Firma die Daten speichert, reicht für diese Berechtigung aus. Damit verpflichtet der CLOUD Act US-Unternehmen sogar dann zur Herausgabe der Informationen, wenn lokale Gesetze am Ort des Datenspeichers dies verbieten. Diese Regelung steht ganz klar im Konflikt mit dem EU-Recht und der DSGVO. Denn ohne Rechtshilfeabkommen dürfen personenbezogene Daten alleine schon aufgrund der DSGVO nicht an amerikanische Behörden übergeben werden. Somit betrifft dies alle Informationen, die über Microsoft-Tools wie auch Teams und OneDrive gespeichert werden.
Das Gute ist, dass eine datenschutzkonforme Nutzung gängiger Microsoft-Anwendungen dennoch möglich ist – Voraussetzung ist hier, dass die Informationen bei einem nicht-amerikanischen, am besten europäischen Cloud Service gespeichert werden – anstatt in OneDrive. Idealerweise können neben allen Office Produkten auch innerhalb des stark wachsenden MS Teams Dateien aus dem jeweiligen Cloud Service, etwa aus dem Bereich Enterprise Filesharing, direkt via Link kommuniziert, geladen und genutzt werden. Verfügt der europäische, beziehungsweise deutsche Anbieter über eine entsprechende Integration, können außerdem alle Dateien, die über MS Teams versendet werden, direkt sicher und DSGVO-konform in der Cloud hochgeladen werden, ohne dass diese in Teams gespeichert werden. Dadurch können Betriebe die gängigen Office-Anwendungen weiterhin nutzen, nur dass die Speicherung der Daten anders geregelt ist und diese dadurch nicht dem CLOUD Act unterliegen. Gleichzeitig ist also die DSGVO-Compliance möglich. Idealerweise verfügt der Enterprise File Service über eine clientseitige Verschlüsselung, sodass Informationen auch unabhängig von außereuropäischen Gesetzen nicht von Dritten abgefangen und eingesehen werden können. Durch diese Technologie liegt die Datenhoheit beim Anwender selbst.
Insgesamt ist die Sorgfalt, mit der Datenschutzbehörden hierzulande agieren, zu begrüßen. Allerdings ist die Aussage des Arbeitskreises der Datenschutzkonferenz von Bund und Ländern, die Nutzung der Microsoft 365-Dienste sei für Behörden aus datenschutzrechtlicher Sicht nicht möglich, so nicht ganz richtig. Durch die intelligente Zusammenarbeit amerikanischer Hersteller mit europäischen Anbietern von Cloud Services kann der CLOUD Act umgangen werden – und damit die Nachteile, die dieser in Hinblick auf die DSGVO-Compliance bedeutet. Grundsätzlich gesagt ist erfreulich, dass immer mehr US-Anbieter wie Microsoft den Bedarf europäischer Unternehmen nach einem Maximum an Datenschutz und -sicherheit erkennen und schließlich durch Technologiepartnerschaften reagieren. Auf diese Weise steht der behördlichen Nutzung von Microsoft 365-Anwendungen nichts im Wege, denn die Daten sind durch solche Kooperationen maximal geschützt.
„Your key to digital freedom“
Jedes Unternehmen steht vor der Herausforderung, Daten digital sicher zu speichern, zu verwalten und zu teilen. DRACOON aus Regensburg ist Marktführer im Bereich Enterprise File Services im deutschsprachigen Raum und hat es sich mit seiner Plattform zur Aufgabe gemacht, der Welt die Souveränität über ihre Daten zurückzugeben.
Die Plattform wurde von unabhängigen Top-Analysten wie ISG als „Leader“ bezeichnet, außerdem bescheinigen verschiedene Zertifikate, Siegel und Testate wie BSI C5, ISO27001 und IDW PS 951 DRACOON höchste Sicherheitsstandards.
Nach dem Prinzip „Privacy by Design“ verfügt DRACOON über eine integrierte clientseitige Verschlüsselung. Versendete und gespeicherte Daten sind maximal geschützt, denn der Schlüssel zur Entschlüsselung bleibt immer beim Besitzer. Nicht einmal der Admin oder DRACOON als Betreiber haben Zugriff. Das feingranulare Benutzer- und Rechtemanagement bietet individuelle Zugriffsrechte auf alle abgelegten Daten. Somit behalten autorisierte Nutzer die volle Kontrolle.
Diese Unternehmen vertrauen DRACOON:
KfW, Rossmann, Helios Kliniken, Rödl & Partner, ElringKlinger, EbnerStolz, DATEV, Nürnberger Versicherung, Thyssen Steel, Deutsche Telekom, Hutchison, Bechtle u.v.m.
Weitere Informationen finden Sie im Netz unter: www.dracoon.com
Dracoon GmbH
Galgenbergstrasse 2a
93053 Regensburg
Telefon: +49 (941) 78385-0
Telefax: +49 (941) 78385-150
http://www.dracoon.de
Manager Content / PR
Telefon: +49 (941) 78385-634
E-Mail: e.janik@dracoon.de
