von Marco Rutzke

Datenschutzbedenken bei Microsoft Office 365.

Quelle: Pixabay CC0 Public Domain/ DennisBuntrock

Die Begeisterung für Cloud-Dienste in Deutschland steigt stetig an. Andererseits stehen der Verwendung von Diensten aus Übersee trotz Safe-Harbor-Abkommen in Deutschland massive datenschutzrechtliche Bedenken entgegen. Deutsche Cloud-Dienste sind dahingegen sicher und werden von der Bundesnetzagentur ständig überwacht. Kunden, welche gern Dienste aus der Cloud, wie deHOSTED Exchange, deHOSTED Skype for Business und deHOSTED SharePoint, nutzen möchten, können bei den meisten deutschen Cloud-Providern jederzeit auf Wunsch eine Besichtigung des Rechenzentrums sowie des Unternehmens erhalten.

Wie aus einer Stellungnahme von Microsoft aus der Jahresmitte 2011 hervor geht, bleiben Datenschutzaspekte - zum Beispiel beim Einsatz von Office 365 - auf der Strecke. Cloud-Dienste, welche von Unternehmen mit einem Geschäftssitz in den USA betrieben werden, unterliegen dem Patriot Act, der US-Strafverfolger. Dieser räumt den US-Behörden weitreichende Zugriffsrechte auf die dort gespeicherten Daten ein. Doch das ist bei weitem noch nicht alles, auch Microsoft selbst kann Ihre Daten weitergeben, wenn gewisse rechtliche Anforderungen vorliegen.

Ein im Microsoft Trust Center bereitgestelltes Dokument stellt klar, dass es keineswegs nur um Verfahren im Zusammenhang mit dem Patriot Act geht. Dort heißt es: "Unter bestimmten Umständen kann Microsoft Daten ohne Ihre vorherige Zustimmung weitergeben. Dazu gehört die Befolgung rechtlicher Anforderungen."

Dass man in den USA nicht zwingend einen Beschluss benötigt, sondern auf die bloße Anfrage des FBI bereits Daten von Kunden heraus gibt, ist dagegen schon sehr zweifelhaft. Microsoft geht aber noch einen rabiaten Schritt weiter: Zur Durchsetzung des Vertrags über Microsoft Dienste sei es erforderlich, dass sich der Benutzer ausdrücklich damit einverstanden erklärt und zustimmt, dass „Microsoft berechtigt ist, auf Informationen, die mit Ihrer Verwendung der Dienste in Verbindung stehen, zuzugreifen und diese offenzulegen, einschließlich -persönlichen Informationen und Inhalte[n]“.

Safe-Harbor-Abkommen - Eine Farce.

Um evtuell auftretende Handelshindernisse zwischen US- und EU-Unternehmen zu unterbinden, wurde von der EU und den USA vor gut einem Jahrzehnt das sogenannte "Safe-Harbor"-Abkommen (zu dt.: Sicherer Hafen) geschlossen. Mit diesem Abkommen können sich US-Unternehmen direkt selbst zertifizieren und in eine Liste des US-Handelsministeriums eintragen. Dadurch - so die Idee - stellt das eingetragene Unternehmen das in der EU benötigte Datenschutzniveau sicher. Leider werden die vorgenommen Eintragungen nicht oder zumindest nur höchst unzureichend kontrolliert. Sanktionen werden bei Datenschutzverstößen dementsprechend nicht ausgesprochen. Der Datenschützer, der Schleswig-Holsteinische Datenschutzbeauftragte Thilo Weichert, fordet schon seit langem die Kündigung dieses Safe-Habor-Abkommens, da es grundlegend nur zu Verwirrungen führt. Am Beispiel des Internet-Konzern Google gehen Datenschützer in sechs europäischen Ländern gegen diesen mittlerweile vor. Google hatte zuletzt wegen umstrittener Regeln zum Umgang mit Nutzer-Informationen für Schlagzeilen gesorgt.

Unterschiedliche Datenschutzstandards in Deutschland und den USA.

Bereits in der Vergangenheit gab es diverse Versuche von Politikern die deutschen Datenschutzvorschriften aufzuweichen. Trotzdem gilt in Deutschland noch ein im internationalen Vergleich hohes Datenschutzniveau. Deutsche Unternehmen müssen diese Schutzvorschriften beachten und einhalten. Seit einiger Zeit überprüft nun auch das Bayrische Landesamt für Datenschutz im Rahmen seiner Kontrollbefugnis nach § 38 BDSG in einer ersten Welle stichprobenartig Unternehmen auf die Einhaltung der jeweiligen Vorschriften.

Das Bundesdatenschutzgesetz entlässt deutsche Unternehmen nicht aus der datenschutzrechtlichen Verantwortung, auch wenn diese die bisher lokalen Softwaresysteme nicht weiter selbst betreiben, sondern z.B. Cloud-Dienste in Anspruch nehmen. In solchen Fällen ist das Unternehmen immer verpflichtet, mit dem Dienstleister einen sogenannten "Vertrag zur Auftragsdatenverarbeitung" zu schließen, der einen datenschutzrechtlich korrekten Umgang mit den Daten des jeweiligen Cloud-Dienstes sicherstellen soll.

Das Wichtigste bei Abschluss von solch einem Vertrag ist, dass sich der Dienstleister und seine etwaig beauftragten Subauftragnehmer in Deutschland oder anderen EU-Staaten befinden. Denn nur in diesen Ländern wird ein dem deutschen Datenschutzrecht vergleichbares Datenschutzniveau unterstellt.

Problematisch wird es daher dann, wenn die Datenverarbeitung in anderen Ländern stattfinden soll,  wie etwa in Russland,  auf den Philippinen oder in den USA.

Sollten Unternehmen aus den nicht EU-Staaten ernsthaft glaubhaft versichern wollen, dass der Betrieb ihrer Systeme in der EU den deutschen Datenschutzbestimmungen genüge trage - so seien Sie sich sicher, das tut es nicht.

Im Zweifelsfall hilft es immer den Datenschutzbeauftragten des Bundes oder des Landes selbst zu kontaktieren und eine Stellungnahme abzufordern.

Bundesdatenschutzgesetz Geldbußen bis 300.000 EUR.

Wer auf die Sicherheit seiner Daten achtet und die umfassenden gesetzlichen Bestimmungen befolgt, sollte sich unbedingt einen deutschen Cloud-Dienstleister mit einem in Deutschland betriebenen Rechenzentrum suchen. Verstöße gegen das BDSG werden mit

Geldbußen bis 50.000 (§43 Absatz 1) für:

  • Einen Verstoß gegen die Meldepflicht.
  • Die fehlende, nicht rechtzeitige oder nicht ordnungsgemäße Bestellung eines Datenschutzbeauftragten (bei entsprechender Verpflichtung durch das BDSG).
  • Einen Verstoß gegen eine Anordnung der Aufsichtsbehörde.
  • Die nicht erfolgte, unvollständige, verspätete oder falsche Auskunft gegenüber einem Betroffenen.
  • Eine fehlende Protokollierung bei automatisierten Verfahren des Datenabrufs.
  • Eine Pflichtverletzung bei der Auftragsdatenverarbeitung.
  • Die fehlende Widerrufsbelehrung bei einer werblichen Ansprache.
  • Einen Verstoß gegen die Zweckbindung bei übermittelten Daten.
  • Einem Verstoß gegen die Dokumentationspflichten bei Datenübermittlung zu Geschäftszwecken.
  • Die Aufnahme personenbezogener Daten in Verzeichnisse gegen den Willen des Betroffenen.
  • Eine geschäftsmäßige Datenübermittlung ohne einer evtl. vorliegenden Gegendarstellung des Betroffenen.
  • Eine fehlende Übermittlung von Kennzeichnungen an Verzeichnisse.

 

Geldbußen bis 300.000 (§43 Absatz 2) für:

  • Die unbefugte Erhebung und Verarbeitung personenbezogener Daten, die nicht allgemein zugänglich sind.
  • Eine unbefugte Bereithaltung personenbezogener Daten für automatisierte Abrufverfahren, die nicht allgemein zugänglich sind.
  • Die Zusammenführung anonymisierter Daten mit Einzelangaben zu einer Person (De-Anonymisierung)
  • Den unbefugten Abruf personenbezogener Daten in automatisierten Verfahren, die nicht allgemein zugänglich sind.
  • Das Erschleichen einer Übermittlung personenbezogener Daten (die nicht allgemein zugänglich sind) im Abrufverfahren aufgrund unrichtiger Angaben.
  • Einen Verstoß gegen die Zweckbindung bei übermittelten personenbezogenen Daten.
  • Die Missachtung des Kopplungverbots (Vertragsabschluss wird von Erlaubnis zur Datenspeicherung und Nutzung abhängig gemacht).
  • Eine Nutzung personenbezogener Daten zum Zwecke der Werbung, Markt– und Meinungsforschung, obwohl ein Widerspruch vorliegt.
  • Eine nicht erfolgte, unwahre, unvollständige oder verspätete Meldung nach § 42a Satz 1 (Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten) abgibt.

Unter § 43 Absatz 3 Satz 2 schreibt der Gesetzgeber: “Die Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. Reichen die in Satz 1 (des §43 Absatz 3) genannten Beträge hierfür nicht aus, so können sie überschritten werden.”

§ 44 Strafvorschriften BDSG setzt noch eins obenauf. Wer eine der Ordnungswidrigkeiten aus § 43 Absatz 2 vorsätzlich gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, begeht, wird mit Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe (zusätzlich zur Geldbuße) bestraft.

Zurück

Hat Ihnen unser Artikel gefallen?

Teilen Sie ihn mit Ihren Followern.

NetTask MDRN.WORK Revolution

NetTask ist der führende Cloud Service Provider für „Modernes Arbeiten“ in Europa. Mit unserer langjährigen Themen- und Umsetzungskompetenz in der Informations- und Kommunikationstechnologie entwickeln wir, auf der Basis von Microsoft-Technologie (deHOSTED Exchange, deHOSTED Skype for Business, deHOSTED SharePoint, IoT - Technologie), cloudbasierte, hochperformante und sichere Services für die digitale Unternehmenskommunikation und Kollaboration.

Unsere Lösungen bieten Unternehmen einen nachhaltigen Mehrwert in der Arbeitseffizienz, Produktivität sowie der zielgerichteten wirtschaftlichen Verwendung ihrer IT-Budgets.