Die Fronten verhärten sich, der Ton wird rauer: Die letzte Nachbesserung bei Microsofts Auftragsverarbeitungsvertrag reicht nach Einschätzung der 104. Datenschutzkonferenz des Bundes und der Länder längst nicht aus, um Office 365 DSGVO-konform auszugestalten. Wer immer noch auf Applikationen oder Programme setzt, die nicht vor dem Zugriff der US-Behörden geschützt sind, riskiert 2023 empfindliche Strafen.
Das Office-Paket von Microsoft gilt noch als Defacto-Standard bei Text- und Tabellenverarbeitungsprogrammen. Im Jahre 2017 verdiente die Microsoft Corporation erstmals mehr Geld mit der Cloud-basierten Variante Microsoft 365 als mit der klassischen Office-Suite. Der EuGH kippte 2020 das EU-US-Datenschutzschild „Privacy Shield“, das als Nachfolge des „Safe Harbour“-Abkommens den Nutzern von Cloud-Services amerikanischer Unternehmen Datenschutzrechtssicherheit auf EU-Niveau geben sollte. Dementsprechend verstoßen EU-Unternehmen gegen DSGVO-Compliance-Vorgaben, wenn sie weiterhin MS 365 inkl. Teams oder Services wie Google Analytics 4 verwenden.
Steigende Cyber-Kriminalität verschärft die Situation
Problematisch sind vor allem drei Aspekte: Erstens haben US-Behörden weiterhin Zugriff auf personenbezogene Daten von EU-Bürgern, wenn diese von amerikanischen Unternehmen oder Clouds gehostet werden. Zweitens konnte Microsoft immer noch nicht überzeugend nachweisen, dass es anonymisierte Daten der User nur für rein statistische Zwecke verwendet. Und drittens sorgen unzureichende Sicherheitsvorkehrungen beim Datentransfer in die Cloud für Angriffspunkte, die von Cyber-Kriminellen und Hackern für Datenraub, Sabotage und Erpressungen genutzt werden können. Die Gefahr durch Cyber-Kriminalität steigt weiterhin stark an, denn auch wenn die Quantität etwas zurückgeht, liefern Sicherheitslücken immer wieder Grund zur Sorge. Hacker wenden sich neben gewerblichen Zielen nun auch vermehrt staatlichen Institutionen oder Unternehmen und Einrichtungen der „Kritischen Infrastruktur“ zu und setzen weiterentwickelte und hochgefährliche DDoS-Varianten ein.
Bequemlichkeit und „Prinzip Hoffnung“ dürfen nicht die IT-Strategie bestimmen
Schaut man sich den aktuellen Status Quo in Unternehmen oder Behörden an, entsteht der Eindruck, dass viele IT-Verantwortlichen froh sind, mit Microsoft 365 einen Standard gefunden zu haben, der von den meisten Angestellten einigermaßen akzeptiert wird. Dementsprechend tut man sich sehr schwer, nach neuen, innovativen und vollständig DSGVO-konformen Lösungen zu schauen. Auch wird die Wahrscheinlichkeit als gering angesehen, in Bezug auf die DSGVO-Compliance von den zuständigen Datenschutzbeauftragten der Länder ins Visier genommen zu werden. Beides sind aber fatale Fehleinschätzungen, die zu erheblichen Schäden und Sanktionen führen können. Benutzerfreundliche und effektive Alternativen zu Microsoft finden sich mittlerweile im Open-Source oder Paid-Bereich in unterschiedlichsten Ausstattungs-Varianten. Deren Daten werden entweder direkt inhouse beim Kunden oder in einer ISO-zertifizierten deutschen Private Cloud gehostet. Und in Punkto Bedienungsfreundlichkeit und Einfachheit laufen diese Lösungen den Microsoft-Applikationen längst den Rang ab. Weiterhin wird in der Branche die unmissverständliche Absage der letzten Datenschutzkonferenz zur unbefriedigenden Nachbesserung von Microsoft als klares Signal gewertet, dass die Datenschutzbeauftragten flächendeckend ihre Kontrollen und Audits verstärken und Präzedenzfälle schaffen werden. Bundesweit nehmen Anzahl der Verfahren und die Höhe der verhängten Strafen seit 2018 steigt zu. Inzwischen haben auch mehrere deutsche Oberlandesgerichte wettbewerbsrechtliche Ansprüche bei DSGVO-Verstößen bejaht.
Fazit und Empfehlung
Angesichts der Eindeutigkeit, mit der die DSK erneut die fehlende DSGVO-Konformität von Microsoft 365 und vergleichbarer Services festgestellt hat, sollte wirklich keine Zeit mehr verloren werden, die IT-Landschaft im Unternehmen diesbezüglich abzusichern. Was bereits 2022 justitiabel war, kann 2023 geahndet werden. Da hilft es auch nichts, wenn Microsoft die übertriebene „Risikoscheu“ der deutschen Datenschutzbeauftragten kritisiert. Denn Risikofreude oder Leichtsinnigkeit gehören nun wirklich nicht zur Stellenbeschreibung eines verantwortungsbewussten Datenschutz- oder IT-Sicherheitsbeauftragten. Zwei Optionen stehen demnach im Raum: Um Microsoft 365 oder ähnliche US-Applikationen weiter zu nutzen, kann zwischen Client und Cloud ein zusätzliches Verschlüsselungs-Gateway geschaltet werden, das den unberechtigten Zugriff auf personenbezogene Daten verwehrt. Inwieweit sich diese Möglichkeit auch für Selbstständige und KMU eignet, die nicht über eigene IT-Expertise verfügen, bleibt abzuwarten. Alternativ kann auch einfach eine direkt DSGVO-konforme Lösung verwendet werden, die diese zusätzliche Aufrüstung obsolet macht und durch Einfachheit überzeugt.
Autor: Roman Leuprecht und Matthias Bollwein (Gründer Uniki)
Fachartikel
Studien
Studie von Veracode zeigt: 80 % der in EMEA entwickleten Anwendungen weisen Sicherheitslücken auf
GMO GlobalSign Umfrage unter Unternehmen und KMUs zeigt, dass viele nicht auf die PKI-Automatisierung vorbereitet sind
Studie: Sicherheitsbedenken bremsen Tech-Innovation aus
Mainframe-Investitionen zeigen signifikante Dynamik in DevOps, AIOps, mit Fokus auf Sicherheit
Forrester-Report: Unzureichende unternehmensweite Kollaboration erschwert Management des externen Cyber-Risikos
Whitepaper
Deutsche Führungskräfte werden sich den Cyberrisiken bewusster – klicken aber häufiger auf schadhafte Links als ihre Angestellten
Deutsche Wirtschaft setzt auch auf Open Source
Incident Response Ransomware Report: KMU am stärksten von Ransomware betroffen
IBM X-Force Report: „Freifahrtschein“ zum Datendiebstahl – Angreifer verwenden gültige Anmeldedaten, um Cloud-Umgebungen zu kompromittieren
