In den vergangenen Wochen kursierten vermehrt Schlagzeilen wie „Europäische Datenschutzaufsicht gibt M365 frei“, „EuGH sieht M365 als datenschutzkonform“ oder „Hessische Datenschutzbehörde hat keine Bedenken gegen M365“. Das klingt beruhigend – wäre da nicht ein entscheidendes Problem: Keine dieser Aussagen wurde in dieser Form tatsächlich getroffen. Vieles davon ist verkürzter, teils irreführender Marketingsprech. Es ist Zeit für einen Blick auf die Fakten, denn nur so kann man die Situation wirklich verstehen.
„Die Europäische Datenschutzaufsicht gibt M365 frei.“
Diese Aussage betrifft ausschließlich die speziellen Verträge, die die EU-Kommission direkt mit Microsoft ausgehandelt hat. Dabei handelt es sich um individuelle Vereinbarungen, die nur für Behörden der EU-Institutionen gelten, nicht jedoch für Unternehmen oder Kommunen. Diese Regelungen lassen sich nicht auf den Mittelstand übertragen. Die bestehenden datenschutzrechtlichen Risiken wurden für die EU-Kommission vertraglich ausgeschlossen, für reguläre Microsoft-365-Kunden gilt das aber nicht.
„Der EuGH stuft M365 als compliant ein.“
Auch das ist nicht korrekt. In dem betreffenden Urteil hat der Europäische Gerichtshof ausschließlich die Rechtsgültigkeit des EU-US Data Privacy Frameworks zum Zeitpunkt September 2023 bestätigt. Dazu war er auch befugt. Seither hat sich jedoch viel verändert: So hat ein neuer US-Präsident das für die Datenschutzaufsicht in den USA zentrale PCLOB-Gremium entlassen, obwohl dieses für das EU-US DPF eine maßgebliche Rolle spielt. Zudem hat das EU-Parlament die Kommission aufgefordert, die neuen Entwicklungen zu prüfen, da es keine Rechtsgrundlage mehr für den Datentransfer sieht. Weiterhin laufen bereits Klagen. Das Urteil besagt lediglich, dass das Rahmenwerk im September 2023 gültig war. Ob dies heute noch uneingeschränkt so ist, bleibt abzuwarten.
„Hessen hat keine Bedenken gegen M365.“
Diese Aussage hält einer genaueren Betrachtung ebenfalls nicht stand. Erstens kann die hessische Aufsichtsbehörde nur für ihr eigenes Bundesland sprechen, nicht jedoch für die übrigen 17 Datenschutzbehörden der 15 weiteren Bundesländer (Bayern hat zwei Datenschützer) sowie für die Datenschutzbehörde des Bundes. Unternehmen außerhalb Hessens müssen daher weiterhin ihre eigenen Behörden konsultieren. Zweitens handelt es sich um eine Behördenmeinung und nicht um ein rechtsverbindliches Urteil. Letztlich entscheiden in Streitfällen immer noch die Gerichte – und dort ist der Ausgang, wie so oft, offen. Und drittens bestätigt selbst Hessen fortbestehende technische Datenschutzprobleme, inklusive einer potenziellen Datenübermittlung in unsichere Drittstaaten. Die Verantwortung, dies mit Microsoft zu klären, sieht die Behörde allerdings beim jeweiligen Microsoft-Kunden.
Schlagzeilen sind keine Rechtsgrundlage
Die Situation ist weiterhin durch eine Komplexität der Verantwortlichkeit gekennzeichnet. Die Datenschutzkonferenz (DSK) der deutschen Aufsichtsbehörden kam bereits 2022 (und diese Festlegung ist formal nicht aufgehoben) zu dem Schluss, dass der Nachweis eines datenschutzkonformen Betriebs von M365 durch Verantwortliche nicht geführt werden kann, da es an Transparenz über Datenflüsse und Kontrollmöglichkeiten mangelt. Die aktuellen Meldungen rund um M365 klingen nach Entlastung, lösen die zentralen Datenschutzfragen aber nicht. Unternehmen sollten sich deshalb nicht auf verkürzte Aussagen verlassen, sondern die eigene Situation gründlich prüfen.
Die Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO verpflichtet den Verantwortlichen (das nutzende Unternehmen) dazu, lückenlos über die Datenverarbeitung Rechenschaft abzulegen. Dies umfasst auch die umfassende Transparenz und Kontrolle von Datenflüssen, insbesondere bei Telemetrie- und Funktionsdaten. Solange diese Steuerung nicht optimal implementiert ist, bestehen Risiken, die eine professionelle Compliance-Strategie erforderlich machen. Für IT-Verantwortliche kann eine Fehlinterpretation der aktuellen M365-Meldungen schnell zu Compliance-Risiken führen.
Für die Bewältigung dieser komplexen Materie empfiehlt es sich, auf die Expertise eines zuverlässigen und fachkundigen Partners wie wir als IT-P zu vertrauen – insbesondere im Hinblick auf die stringenten Anforderungen von Datenschutz, Compliance und dem souveränen Einsatz moderner Cloud-Dienste. Gerade vor diesem Hintergrund lohnt sich eine professionelle Bewertung der eigenen M365-Compliance.
Sie wollen gewährleisten, dass Ihre IT-Systeme den höchsten rechtlichen Anforderungen standhalten? Für eine Analyse Ihrer Compliance-Anforderungen stehen Ihnen unsere spezialisierten Experten persönlich zur Verfügung. Wir beraten Sie gerne.
Roland Opitz
📧 Roland.Opitz@it-p.de
Thomas Freyer
Compliance-Experte
📧 Thomas.Freyer@it-p.de
