Office 365 – ein Datenschutzproblem?

Office 365 – ein Datenschutzproblem?

In der Fachpresse, aber auch in den allgemeinen Medien war in letzter Zeit zu lesen, dass Office 365 Schwachstellen beim Datenschutz aufweisen soll. Um was geht es dabei? Muss diese Diskussion den „normalen Nutzer“ überhaupt interessieren? Und wenn ja: Was kann und muss er selbst tun?

Office 365 als Palette von Online-Anwendungen

Office 365, ein Produkt von Microsoft, bietet den Zugriff auf eine ganze Reihe von Webanwendungen, von Outlook über Excel bis OneDrive. Sie stehen dem Anwender online zur Verfügung. Der Marktanteil von Office 365 ist hoch und wächst seit Jahren. Kein Wunder, dass Fragen des Datenschutzes rund um Office 365 große Aufmerksamkeit finden.

Kritik der Datenschutzbehörden

In der letzten Zeit war da und dort verkürzt zu lesen, Office 365 verstoße gegen den Datenschutz und dürfe bald nicht mehr eingesetzt werden. Um es gleich zu sagen: Das ist natürlich nicht richtig. Die Aufsichtsbehörden haben nicht etwa angekündigt, den Einsatz von Office 365 zu verbieten. Vielmehr haben sie mit knapper Mehrheit (also nicht etwa einstimmig) festgestellt, dass derzeit kein datenschutzgerechter Einsatz von Office 365 möglich sei.

Diese Aussage ist eine Art Zwischennachricht. Im Augenblick laufen Verhandlungen zwischen den Aufsichtsbehörden und Microsoft. Dabei werden die aufgetretenen Fragen diskutiert. Das wird mit Sicherheit eine gewisse Zeit brauchen. Von den Ergebnissen wird über kurz oder lang zu hören sein.

Unproblematische Verwendung von Daten

Die Aufsichtsbehörden haben einige Fragen aufgeworfen, die recht interessant sind. Dabei geht es vor allem um den Vertrag zwischen Microsoft und den Unternehmen oder Verwaltungen, die Office 365 einsetzen. Dort ist geregelt, wofür Microsoft die personenbezogenen Daten verwendet, die von den Nutzern übermittelt werden.

Ein Punkt ist dabei völlig unproblematisch: Microsoft verwendet diese Daten, um die vereinbarten Dienste zu erbringen. Wenn etwa Outlook funktionieren soll, dann muss Microsoft die Daten verarbeiten, die dafür notwendig sind. Das Versenden einer E-Mail klappt beispielsweise nur, wenn die nötige E-Mail-Adresse vorhanden ist und zum Versenden der Mail benutzt wird. Daran gibt es auch keine Kritik.

Verwendung von Daten für „Geschäftstätigkeiten“

Schwieriger wird es, weil Microsoft laut Vertrag Daten auch für „legitime Geschäftstätigkeiten von Microsoft“ verwenden darf. Diese Formulierung ist recht allgemein. Deshalb stellt sich die Frage, ob Unternehmen, die Office 365 nutzen, Microsoft Daten für diesen Zweck zur Verfügung stellen dürfen. In mancherlei Hinsicht lautet die Antwort eindeutig Ja. Das gilt etwa für die Abrechnung von Dienstleistungen, die Microsoft erbringt. Bei anderen Punkten ist dies nicht so eindeutig. So ist die Bekämpfung von Betrug und Cyberkriminalität sicher eine wichtige Angelegenheit. Hier kann man allerdings schon diskutieren, welche Daten dafür konkret erforderlich sind und deshalb an Microsoft übermittelt werden dürfen.

Feld für Fachleute

Diese wenigen Beispiele zeigen, dass es hier um Fragen für Datenschutz-Fachleute geht. Wie exakt müssen vertragliche Bestimmungen sein? Welche technischen Sicherungsmaßnahmen muss Microsoft vorhalten? Das ist alles wichtig. Für den normalen Anwender von Office 365 im Büro lohnt es aber nicht, sich damit zu befassen. Anders wäre das nur, wenn er aus privater Leidenschaft tief in Fragen des Datenschutzes einsteigen will.

Fragen an sich selbst stellen!

Reicht es also, sich ruhig zurück zu lehnen und Office 365 einfach zu nutzen, ohne lange zu überlegen? Das wäre auch wieder zu einfach gedacht. Vielmehr sollte gerade der normale Nutzer im Büro einmal kurz nachdenken, was er alles mit Office 365 macht. Das ist im Normalfall erstaunlich viel. Von Mails war schon die Rede. Aber auch einige Gedanken darüber, was so alles in Excel-Tabellen steht, könnten sinnvoll sein.

Vorgaben des Arbeitgebers beachten!

Auf der Basis der Frage „Was tue ich hier eigentlich?“ sollte der Nutzer dann überlegen, ob er sich dabei an die Vorgaben des Unternehmens hält, bei dem er arbeitet. Ist die Excel-Tabelle vielleicht um die eine oder andere Spalte erweitert, weil das so praktisch erschien? Oder hatte das Unternehmen eine solche Spalte vielleicht bewusst nicht vorgesehen?

Eigene Verantwortung sehen!

Das sind Fragen, die nicht Microsoft betreffen. Man sollte nie vergessen, dass auch Office 365 nur ein Werkzeug ist. Solange es nicht benutzt wird, speichert es keinerlei Daten und gibt auch keine weiter. Wenn es Daten speichert und weitergibt, dann hat das der Nutzer ausgelöst. Dafür ist er verantwortlich und nicht Microsoft.