Datenschutz, Safe Harbor und das FBI - Probleme für Microsoft Office 365 & Co.


Regenwolken statt Cloud-Gejubel
Word, Excel und Outlook... Auch Microsoft will dabei sein im großen Geschäft mit der Cloud und bietet mit MS Office 365 ein Office-System an, das nicht mehr als konventionelles Programm installiert und verwendet wird, sondern Online-Versionen der bekannten Office-Anwendungen zur Verfügung stellt.

Die Begeisterung der Netzgemeinde hält sich bislang in Grenzen. Einerseits nutze die Microsoft-Software die theoretischen Vorteile einer Cloud-basierten Officeanwendung nicht aus. Andererseits stehen der Verwendung in Deutschland massive datenschutzrechtliche Bedenken entgegen. Auch die tse macht sich so ihre kritischen Gedanken...

Die Cloud

Anwendungsprogramme, Systemeinstellungen und sogar Unternehmensdokumente in der Cloud? Technisch ist das kein Problem mehr! - Versprechen zumindest die Cloud-Anbieter. Über Systemausfälle und Hackereinbrüche wird dann eher in der Fachpresse berichtet. Der Hype um die Wolke hat jedenfalls die Industrie erreicht und kein Systemanbieter will das Geschäft verpassen.

Zu den Chancen und Risiken der Technologie haben wir vor kurzem ein Arbeitspapier für Betriebs- und Personalräte auf unserer Website veröffentlicht.

Wie aus einer Stellungnahme von Microsoft aus der Jahresmitte hervor geht, bleiben dabei Datenschutzaspekte - zum Beispiel beim Einsatz von Office 365 - auf der Strecke.

Datenschutzstandards in Deutschland und den USA (Safe Harbor)

Trotz diverser Versuche der Politik, die deutschen Datenschutzvorschriften aufzuweichen, gilt in Deutschland immer noch ein im internationalen Vergleich hohes Datenschutzniveau. Deutsche Unternehmen (natürlich auch die deutschen Töchter von internationalen Konzernen) müssen diese Schutzvorschriften beachten und einhalten. Das Bundesdatenschutzgesetz entlässt die Unternehmen auch dann nicht aus der datenschutzrechtlichen Verantwortung, wenn diese die Softwaresysteme nicht selbst betrieben, sondern Dienstleister in Anspruch nehmen. In diesem Fall ist das Unternehmen verpflichtet, mit dem Dienstleister einen sogenannten "Vertrag zur Auftragsdatenverarbeitung" zu schließen, der einen datenschutzrechtlich korrekten Umgang mit den Daten des jeweiligenSystems sicherstellen soll.

Ein solcher Vertrag ist nach dem deutschen Datenschutzrecht allerdings nur dann ausreichend, wenn sich der Dienstleister (und etwaig von diesem beauftragte Subauftragnehmer) in Deutschland oder anderen EU-Staaten befindet. Denn nur in diesen Ländern wird ein dem deutschen Datenschutzrecht vergleichbares Datenschutzniveau unterstellt. Problematisch wird es daher, wenn die Datenverarbeitung in anderen Ländern stattfinden soll, etwa auf den Philippinen, in Russland oder ... in den USA, denn die USA haben den Datenschutz nun wirklich nicht erfunden.

Um etwaige Handelshindernisse zu überwinden, haben EU und USA vor gut einem Jahrzehnt das sogenannte "Safe Harbor"-Abkommen (dt.: Sicherer Hafen) getroffen. Danach können sich amerikanische Unternehmen selbst zertifizieren und in einer Liste des US-Handelsministeriums eintragen. Damit - so die Idee - stellt das eingetragene Unternehmen das in der EU benötigte Datenschutzniveau sicher. Das Problem: Die vorgenommen Eintragungen werden nicht oder zumindest nur höchst unzureichend kontrolliert, Sanktionen bei Datenschutzverstößen dementsprechend nicht ausgesprochen. Deutsche Datenschützer, etwa der schleswig-holsteinische Datenschutzbeauftragte Thilo Weichert, fordern daher seit langem die Kündigung des Safe-Habor-Abkommens.

Besondere Probleme bereitet der amerikanische "Patriot Act". Dieses im Zuge der Terrorabwehr beschlosse US-Gesetz verpflichtet alle US-Unternehmen, im Rahmen des "Antiterrorkampfs" Daten an US-Behörden zu übermitteln. Dazu können auch Daten gehören, die nach deutschem Recht dem Datenschutz unterliegen oder die der betrieblichen Mitbestimmung unterliegen, etwa Personaldaten oder Daten über Telefongespräche oder E-Mail-Verbindungen. Es gehört nicht viel Fantasie dazu, um sich vorzustellen, dass z.B. Beschäftigte mit arabisch klingendem Namen schnell in den Fokus der US-Behörden geraten könnten. Auch erfolgt eine Information der Betroffenen nicht in jedem Fall. Es liegt eine komplette Kollision mit dem deutschen Datenschutzrecht vor.

In Bezug auf Cloud-Anwendungen wurde lange Zeit als Teil einer "worst-case"-Vermeidungsstrategie empfohlen, dafür zu sorgen, dass die in der Cloud befindlichen Daten ausschliesslich auf Servern in Rechenzentren der EU-Staaten gespeichert würden. In dem Szenario wird davon ausgegangen, dass ein Zugriff der US-Behörden auf Server in den EU-Staaten ausgeschlossen sei. Mit dieser Wunschvorstellung hat Microsoft im Sommer 2011 aufgeräumt: Als US-amerikanisches Unternehmen sei man verpflichtet, Daten auch dann an US-Behörden herauszugeben, wenn sich die Daten auf EU-Servern befänden. Microsoft stellte sogar klar, dass Zugriffe nicht nur im Rahmen des "Patriot Acts", sondern ganz allgemein auf Anweisung einer Regierungsbehörde erfolgen könnten.

UPDATE Februar 2012: Microsoft "bessert" nach - und liefert mehr Fragen als Antworten

Microsoft hat Ende 2011 neue Datenschutzverträge vorgelegt. An den grundsätzlichen Problemen ändern diese nichts. Unsere Meinung zu den Änderungen haben wir hier veröffentlicht.

UPDATE Juli 2013: Zusammenarbeit mit US-Geheimdiensten bei Skype, Outlook.com & Co.

Im Zuge der Enthüllungen des NSA-Abhör-Skandals meldet der Guardian, dass Microsoft eng mit den US-Geheimdiensten zusammenarbeitet, um diesen die Entschlüsselung und Analyse von Skype-Gesprächen, E-Mails und Datenspeichern zu ermöglichen. Microsoft erklärt dazu, nur in konkreten Fällen den Datenzugriff zu ermöglichen.

Mitbestimmung

In dieser unbefriedigenden Situation sind immer mehr Betriebs- und Personalräte damit konfrontiert, dass unternehmenseigene Daten im (US-) Ausland verarbeitet werden oder eben sogar ganze Anwendungen von ausländischen Anbietern zur Verfügung gestellt werden. Die mit großem Marketing-Getöse vorgenommene Office-365-Einführung könnte das Problem in den kommenden Monaten verschärfen: Auch wenn Microsoft nicht mehr die Speerspitze der technologischen Entwicklung darstellt - Microsofts Marktmacht sollte man nicht unterschätzen.

Einerseits haben Betriebsräte nach §80 Abs. 1 Ziffer 1 BetrVG die Einhaltung der zugunsten der Arbeitnehmer geltenden Gesetze und Verordnungen zu überwachen. Außerdem gilt im Umgang mit Personendaten in Softwaresystemen zudem das zwingende Mitbestimmungsrecht nach §87 Abs. 1 Ziffer 6 BetrVG. Die Einführung von Cloud-Systemen unterliegt daher regelmäßig der Mitbestimmung durch den Betriebsrat.

Im Fall von Microsoft Office 365 könnten Dokumente des Personalwesens, E-Mail-Verbindungsdaten und sogar E-Mail-Inhalte von den unregulierten Zugriffen der US-Stellen betroffen sein. Unter diesem Umständen ist von einer Einführung des Systems dringend abzuraten. Außerdem ist zu hinterfragen, ob Systemeinstellungen zur Mail-Protokollierung oder zu E-Mail-Vertretungsregelungen möglicherweise gegen Bestimmungen aus bereits abgeschlossenen Betriebsvereinbarungen verstoßen. Neuer mitbestimmungsrechtlicher Regelungsbedarf entsteht darüber hinaus, wenn im Zuge der Einführung von Office 365 neue Anwendungen wie Sharepoint (Tool zur Unterstützung der Zusammenarbeit von Teams) oder Lync (Videokonferenzen, Chat & Co.) bereit gestellt werden sollen.

Alternativen?

Amerikanisches Recht betrifft nicht nur Microsoft, sondern alle US-Firmen. Nach Microsofts datenschutzrechtlichem Offenbarungseid haben Redakteure der Wirtschaftswoche nachgehakt und Google, das übrigens selbst eine cloud-basierte Office-Anwendung unter dem Namen Google Apps vermarktet, um eineStellungnahme gebeten. Google erklärte demnach unmissverständlich, dass es Daten bei entsprechender Anfrage auch dann an US-Behörden weiterleite, wenn sich die Daten auf europäischen Servern befinden.

 

Dirk Hammann,
Dirk.Hammann@tse.de