Contact
QR code for the current URL

Story Box-ID: 1023540

Dracoon GmbH Galgenbergstrasse 2a 93053 Regensburg, Germany http://www.dracoon.de
Contact Ms Eva Janik +49 941 78385634
Company logo of Dracoon GmbH

Datenschützer melden Bedenken zur behördlichen Microsoft 365-Nutzung an – Ist die rechtskonforme Verwendung möglich?

Ein Beitrag von Arved Graf von Stackelberg

(PresseBox) (Regensburg, )
Wie Anfang dieser Woche bekannt wurde, warnt ein Arbeitskreis der Datenschutzkonferenz von Bund und Ländern vor dem Einsatz der Produkte, die im Rahmen von Microsoft 365 angeboten werden. Laut Der Spiegel bemängelte die Fachgruppe, dass bei Verwendung in Behörden und staatlichen Institutionen wie zum Beispiel Schulen die datenschutzrechtlich konforme Nutzung nicht möglich sei. Das bedeutet konkret, dass diese Organisationen gängige Office-Programme wie Excel oder Word nicht verwenden sollten, um Compliance mit Datenschutzgesetzen sicherzustellen. Zu diesem Schluss kam die DSK offenbar nach einer Untersuchung, die mehrere Monate andauerte und in deren Rahmen Verträge und Unterlagen intensiv geprüft wurden. Selbst veröffentlicht hat der Arbeitskreis diese Erkenntnisse noch nicht, denn hier gibt es noch Uneinigkeiten bei den Datenschutzbeauftragten der Bundesländer.

Die Tatsache, dass Datenschützer Microsoft kritisieren, ist nicht besonders überraschend, so wurde das US-Unternehmen schließlich schon öfter in diesem Hinblick gerügt – so wie auch andere amerikanische Tech-Konzerne. Der Umstand, dass die Verantwortlichen hierzulande einen besonders kritischen Blick auf die behördliche Verwendung gängiger Programme in Hinblick auf den Datenschutz werfen, ist zunächst einmal sehr erfreulich. Denn genau das zeigt, dass dem Thema – zusätzlich zum Thema IT-Sicherheit – eine angemessene Wichtigkeit eingeräumt wird. Denn schließlich funktioniert die Digitalisierung, sei es im Unternehmen, im Behördenumfeld oder in der Schule, nur, wenn Security oberste Priorität hat. Diese Sicherheit muss durch organisatorische und technische Maßnahmen gewährleistet und konstant hinterfragt und überprüft werden. Allerdings ist die Aussage des Arbeitskreises der Datenschutzkonferenz in diesem Falle zu weit über das Ziel hinausgeschossen, denn eine datenschutzkonforme Nutzung von Microsoft 365 ist durchaus möglich, wenn bestimmte Kriterien erfüllt werden.

Was bei der Nutzung von gängigen Office-Anwendungen zu Problemen hinsichtlich des Datenschutzes führen kann, ist vor allem der Aspekt der Speicherung. Werden Informationen in Cloud-Umgebungen amerikanischer Anbieter gespeichert, unterliegen die Daten dem sogenannten CLOUD (Clarifying Lawful Overseas Use of Data) Act. Dadurch können US-Regierungsbehörden prinzipiell Zugriff auf diese erhalten, auch wenn sie außerhalb der Vereinigten Staaten liegen. Alleine die Tatsache, dass eine amerikanische Firma die Daten speichert, reicht für diese Berechtigung aus. Damit verpflichtet der CLOUD Act US-Unternehmen sogar dann zur Herausgabe der Informationen, wenn lokale Gesetze am Ort des Datenspeichers dies verbieten. Diese Regelung steht ganz klar im Konflikt mit dem EU-Recht und der DSGVO. Denn ohne Rechtshilfeabkommen dürfen personenbezogene Daten alleine schon aufgrund der DSGVO nicht an amerikanische Behörden übergeben werden. Somit betrifft dies alle Informationen, die über Microsoft-Tools wie auch Teams und OneDrive gespeichert werden.

Das Gute ist, dass eine datenschutzkonforme Nutzung gängiger Microsoft-Anwendungen dennoch möglich ist – Voraussetzung ist hier, dass die Informationen bei einem nicht-amerikanischen, am besten europäischen Cloud Service gespeichert werden – anstatt in OneDrive. Idealerweise können neben allen Office Produkten auch innerhalb des stark wachsenden MS Teams Dateien aus dem jeweiligen Cloud Service, etwa aus dem Bereich Enterprise Filesharing, direkt via Link kommuniziert, geladen und genutzt werden. Verfügt der europäische, beziehungsweise deutsche Anbieter über eine entsprechende Integration, können außerdem alle Dateien, die über MS Teams versendet werden, direkt sicher und DSGVO-konform in der Cloud hochgeladen werden, ohne dass diese in Teams gespeichert werden. Dadurch können Betriebe die gängigen Office-Anwendungen weiterhin nutzen, nur dass die Speicherung der Daten anders geregelt ist und diese dadurch nicht dem CLOUD Act unterliegen. Gleichzeitig ist also die DSGVO-Compliance möglich. Idealerweise verfügt der Enterprise File Service über eine clientseitige Verschlüsselung, sodass Informationen auch unabhängig von außereuropäischen Gesetzen nicht von Dritten abgefangen und eingesehen werden können. Durch diese Technologie liegt die Datenhoheit beim Anwender selbst.

Insgesamt ist die Sorgfalt, mit der Datenschutzbehörden hierzulande agieren, zu begrüßen. Allerdings ist die Aussage des Arbeitskreises der Datenschutzkonferenz von Bund und Ländern, die Nutzung der Microsoft 365-Dienste sei für Behörden aus datenschutzrechtlicher Sicht nicht möglich, so nicht ganz richtig. Durch die intelligente Zusammenarbeit amerikanischer Hersteller mit europäischen Anbietern von Cloud Services kann der CLOUD Act umgangen werden – und damit die Nachteile, die dieser in Hinblick auf die DSGVO-Compliance bedeutet. Grundsätzlich gesagt ist erfreulich, dass immer mehr US-Anbieter wie Microsoft den Bedarf europäischer Unternehmen nach einem Maximum an Datenschutz und -sicherheit erkennen und schließlich durch Technologiepartnerschaften reagieren. Auf diese Weise steht der behördlichen Nutzung von Microsoft 365-Anwendungen nichts im Wege, denn die Daten sind durch solche Kooperationen maximal geschützt.  

 

Dracoon GmbH

„Your key to digital freedom“
Jedes Unternehmen steht vor der Herausforderung, Daten digital sicher zu speichern, zu verwalten und zu teilen. DRACOON aus Regensburg ist Marktführer im Bereich Enterprise File Services im deutschsprachigen Raum und hat es sich mit seiner Plattform zur Aufgabe gemacht, der Welt die Souveränität über ihre Daten zurückzugeben.

Die Plattform wurde von unabhängigen Top-Analysten wie ISG als „Leader“ bezeichnet, außerdem bescheinigen verschiedene Zertifikate, Siegel und Testate wie BSI C5, ISO27001 und IDW PS 951 DRACOON höchste Sicherheitsstandards.

Nach dem Prinzip „Privacy by Design“ verfügt DRACOON über eine integrierte clientseitige Verschlüsselung. Versendete und gespeicherte Daten sind maximal geschützt, denn der Schlüssel zur Entschlüsselung bleibt immer beim Besitzer. Nicht einmal der Admin oder DRACOON als Betreiber haben Zugriff. Das feingranulare Benutzer- und Rechtemanagement bietet individuelle Zugriffsrechte auf alle abgelegten Daten. Somit behalten autorisierte Nutzer die volle Kontrolle.

Diese Unternehmen vertrauen DRACOON:
KfW, Rossmann, Helios Kliniken, Rödl & Partner, ElringKlinger, EbnerStolz, DATEV, Nürnberger Versicherung, Thyssen Steel, Deutsche Telekom, Hutchison, Bechtle u.v.m.
Weitere Informationen finden Sie im Netz unter: www.dracoon.com

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.