
Die Fronten verhärten sich, der Ton wird rauer: Die letzte Nachbesserung bei Microsofts Auftragsverarbeitungsvertrag reicht nach Einschätzung der 104. Datenschutzkonferenz des Bundes und der Länder längst nicht aus, um Office 365 DSGVO-konform auszugestalten. Wer immer noch auf Applikationen oder Programme setzt, die nicht vor dem Zugriff der US-Behörden geschützt sind, riskiert 2023 empfindliche Strafen.
Das Office-Paket von Microsoft gilt noch als Defacto-Standard bei Text- und Tabellenverarbeitungsprogrammen. Im Jahre 2017 verdiente die Microsoft Corporation erstmals mehr Geld mit der Cloud-basierten Variante Microsoft 365 als mit der klassischen Office-Suite. Der EuGH kippte 2020 das EU-US-Datenschutzschild „Privacy Shield“, das als Nachfolge des „Safe Harbour“-Abkommens den Nutzern von Cloud-Services amerikanischer Unternehmen Datenschutzrechtssicherheit auf EU-Niveau geben sollte. Dementsprechend verstoßen EU-Unternehmen gegen DSGVO-Compliance-Vorgaben, wenn sie weiterhin MS 365 inkl. Teams oder Services wie Google Analytics 4 verwenden.
Steigende Cyber-Kriminalität verschärft die Situation
Problematisch sind vor allem drei Aspekte: Erstens haben US-Behörden weiterhin Zugriff auf personenbezogene Daten von EU-Bürgern, wenn diese von amerikanischen Unternehmen oder Clouds gehostet werden. Zweitens konnte Microsoft immer noch nicht überzeugend nachweisen, dass es anonymisierte Daten der User nur für rein statistische Zwecke verwendet. Und drittens sorgen unzureichende Sicherheitsvorkehrungen beim Datentransfer in die Cloud für Angriffspunkte, die von Cyber-Kriminellen und Hackern für Datenraub, Sabotage und Erpressungen genutzt werden können. Die Gefahr durch Cyber-Kriminalität steigt weiterhin stark an, denn auch wenn die Quantität etwas zurückgeht, liefern Sicherheitslücken immer wieder Grund zur Sorge. Hacker wenden sich neben gewerblichen Zielen nun auch vermehrt staatlichen Institutionen oder Unternehmen und Einrichtungen der „Kritischen Infrastruktur“ zu und setzen weiterentwickelte und hochgefährliche DDoS-Varianten ein.
Bequemlichkeit und „Prinzip Hoffnung“ dürfen nicht die IT-Strategie bestimmen
Schaut man sich den aktuellen Status Quo in Unternehmen oder Behörden an, entsteht der Eindruck, dass viele IT-Verantwortlichen froh sind, mit Microsoft 365 einen Standard gefunden zu haben, der von den meisten Angestellten einigermaßen akzeptiert wird. Dementsprechend tut man sich sehr schwer, nach neuen, innovativen und vollständig DSGVO-konformen Lösungen zu schauen. Auch wird die Wahrscheinlichkeit als gering angesehen, in Bezug auf die DSGVO-Compliance von den zuständigen Datenschutzbeauftragten der Länder ins Visier genommen zu werden. Beides sind aber fatale Fehleinschätzungen, die zu erheblichen Schäden und Sanktionen führen können. Benutzerfreundliche und effektive Alternativen zu Microsoft finden sich mittlerweile im Open-Source oder Paid-Bereich in unterschiedlichsten Ausstattungs-Varianten. Deren Daten werden entweder direkt inhouse beim Kunden oder in einer ISO-zertifizierten deutschen Private Cloud gehostet. Und in Punkto Bedienungsfreundlichkeit und Einfachheit laufen diese Lösungen den Microsoft-Applikationen längst den Rang ab. Weiterhin wird in der Branche die unmissverständliche Absage der letzten Datenschutzkonferenz zur unbefriedigenden Nachbesserung von Microsoft als klares Signal gewertet, dass die Datenschutzbeauftragten flächendeckend ihre Kontrollen und Audits verstärken und Präzedenzfälle schaffen werden. Bundesweit nehmen Anzahl der Verfahren und die Höhe der verhängten Strafen seit 2018 steigt zu. Inzwischen haben auch mehrere deutsche Oberlandesgerichte wettbewerbsrechtliche Ansprüche bei DSGVO-Verstößen bejaht.
Fazit und Empfehlung
Angesichts der Eindeutigkeit, mit der die DSK erneut die fehlende DSGVO-Konformität von Microsoft 365 und vergleichbarer Services festgestellt hat, sollte wirklich keine Zeit mehr verloren werden, die IT-Landschaft im Unternehmen diesbezüglich abzusichern. Was bereits 2022 justitiabel war, kann 2023 geahndet werden. Da hilft es auch nichts, wenn Microsoft die übertriebene „Risikoscheu“ der deutschen Datenschutzbeauftragten kritisiert. Denn Risikofreude oder Leichtsinnigkeit gehören nun wirklich nicht zur Stellenbeschreibung eines verantwortungsbewussten Datenschutz- oder IT-Sicherheitsbeauftragten. Zwei Optionen stehen demnach im Raum: Um Microsoft 365 oder ähnliche US-Applikationen weiter zu nutzen, kann zwischen Client und Cloud ein zusätzliches Verschlüsselungs-Gateway geschaltet werden, das den unberechtigten Zugriff auf personenbezogene Daten verwehrt. Inwieweit sich diese Möglichkeit auch für Selbstständige und KMU eignet, die nicht über eigene IT-Expertise verfügen, bleibt abzuwarten. Alternativ kann auch einfach eine direkt DSGVO-konforme Lösung verwendet werden, die diese zusätzliche Aufrüstung obsolet macht und durch Einfachheit überzeugt.
Autor: Roman Leuprecht und Matthias Bollwein (Gründer Uniki)
Fachartikel

ChatGPT bei der Arbeit nutzen? Nicht immer eine gute Idee

Das Aktualisieren von Software-Agenten als wichtige Praktik der Cyberhygiene auf MSP-Seite

Kosteneinsparungen und Optimierung der Cloud-Ressourcen in AWS

CVE-2023-23397: Der Benachrichtigungston, den Sie nicht hören wollen

Wie sich kleine und mittlere Unternehmen proaktiv gegen Ransomware-Angriffe wappnen
Studien

Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum

2023 State of the Cloud Report

Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen

BSI-Studie: Viele Software-Produkte für Onlineshops sind unsicher

Wie Cloud-Technologie die Versicherungsbranche revolutioniert
Whitepaper

Arctic Wolf Labs Threat Report: Deutlicher Anstieg der erfolgreichen Fälle von Business-E-Mail-Compromise

Aufkommende Trends in der externen Cyberabwehr

Cyber-Sicherheit für das Management – Handbuch erhöht Sicherheitsniveau von Unternehmen

Aktueller Datenschutzbericht: Risiko XXL am Horizont

Vertrauen in die Lieferkette durch Cyber-Resilienz aufbauen
Unter4Ohren

Optimierung der Cloud-Ressourcen und Kosteneinsparungen in AWS

DDoS – der stille Killer

Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen

Datenschutz und -kontrolle in jeder beliebigen Cloud bei gleichzeitiger Kostensenkung, Reduzierung der Komplexität, Verbesserung der Datenverfügbarkeit und Ausfallsicherheit
