Wenn es zwei Dinge gibt, die niemals vermischt werden sollten, dann sind es Cybersicherheit/Datenschutz-Compliance und Unternehmensrichtlinien. Und doch steht es im Mittelpunkt eines Compliance-Kampfes zwischen Microsoft und deutschen Behörden, der am Ende zu einer Bestrafung der Kunden des Unternehmens führen könnte.
Die Deutsche Datenschutzkonferenz, die für die Verwaltung der deutschen Fassung der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union zuständige Aufsichtsbehörde, hat öffentlich erklärt, dass „keine datenschutzkonforme Nutzung von Microsoft Office 365 möglich“ sei.
Das ist die absolutste und kühnste Aussage, die ich je von einer Compliance-Agentur gesehen habe.
Konkret haben die Aufsichtsbehörden weniger explizit Verstöße gegen Compliance-Regeln festgestellt, als vielmehr Datenpfade gefunden, die Microsoft nicht ausreichend erklären würde. Diese Routen schienen Daten auf Servern auszugeben, die von Microsoft mit Sitz in den USA kontrolliert wurden.
„Die zentrale und wiederkehrende Frage der Diskussionsreihe war, in welchen Fällen Microsoft als Auftragsverarbeiter und in welchen Fällen als Verantwortlicher auftritt. Dies konnte nicht abschließend geklärt werden. Verantwortliche müssen jederzeit in der Lage sein, ihre Verantwortlichkeit gemäß Art. 5 Paar. 2 DSGVO“, heißt es in dem Bericht, bevor er hinzufügt, dass „weiterhin Schwierigkeiten zu erwarten sind, da Microsoft nicht vollständig offenlegt, welche Verarbeitung im Detail stattfindet. Darüber hinaus erklärt Microsoft nicht vollständig, welche Verarbeitung im Auftrag des Kunden oder für eigene Zwecke erfolgt. Die Vertragsunterlagen sind diesbezüglich nicht spezifisch und erlauben daher eine Verarbeitung, die nicht abschließend beurteilt oder sogar für eigene Zwecke erweitert werden kann.
Es überrascht nicht, dass Microsoft anderer Meinung ist und argumentiert, dass seine Produkte Software-Perfektion sind.
„Die deutsche Datenschutzkonferenz (DSK) hat heute Bedenken hinsichtlich der Einhaltung deutscher und europäischer Datenschutzgesetze durch Microsoft 365 (M365) geäußert“, sagte Microsoft in einer Erklärung. „Wir stimmen der Position von DSK respektvoll nicht zu, da wir sicherstellen, dass unsere M365-Produkte die strengen Datenschutzgesetze der Europäischen Union nicht erfüllen, sondern oft übertreffen. Unsere Kunden in Deutschland und in der gesamten EU können M365-Produkte vertrauensvoll und gesetzeskonform nutzen.“ So können sie mit weniger mehr erreichen.
Microsoft versprach auch, dass es versuchen würde, mehr Informationen über seine Prozesse zu teilen (dh mehr Transparenz).
„Wir nehmen die Bemühungen von DSK um mehr Transparenz sehr ernst, und obwohl unsere Dokumentations- und Transparenzpraktiken die der meisten anderen in unserem Bereich übertreffen, sind wir bestrebt, noch besser zu werden“, sagte das Unternehmen. „Konkret werden wir im Rahmen unserer EU-Datenobergrenzenverpflichtungen zusätzliche Transparenzdokumente über Kundendatenströme und Verarbeitungszwecke bereitstellen. Wir werden außerdem eine transparentere Dokumentation der Verarbeitung und Nachverfolgung durch Unterauftragsverarbeiter und Microsoft-Mitarbeiter außerhalb der EU bereitstellen.
Es ist unklar, ob Microsoft transparent genug ist, um genau zu erklären, wie seine Datenquellen funktionieren und warum, und ob das Unternehmen bereit ist, sie zu ändern.
Was bedeutet dies also für Microsoft und, was noch wichtiger ist, für Microsoft Enterprise Computing-Kunden?
Beginnen wir mit den Microsoft-Ablegern. Im Vergleich zu den Vereinigten Staaten nimmt Europa Datenschutz und Cybersicherheit sehr ernst. Und man kann mit Sicherheit sagen, dass Deutschland den Ruf hat, Compliance ernster zu nehmen als jeder andere in der EU oder im Vereinigten Königreich.
Theoretisch sollte dies schwerwiegende Folgen für das Unternehmen haben. Laut Peter Dorce, einem Datenschutzspezialisten in Deutschland, der häufig mit Regulierungsbehörden zusammenarbeitet, ist es jedoch unwahrscheinlich, dass Microsoft gezwungen sein wird, weitere Änderungen vorzunehmen oder spezifische Fragen zu beantworten. Ihre Software ist einfach so weit verbreitet, dass es politisch unattraktiv wäre, das Thema zu forcieren.
Deutsche Compliance-Behörden „können damit leben, dass Microsoft behauptet, alles richtig zu machen, und die Behörden behaupten, alles getan zu haben, um Microsoft zur Einhaltung zu zwingen“, sagte er in einem Interview mit Computerworld. Microsoft „erfüllt nicht die grundlegendsten Anforderungen der DSGVO.“ Es mangelt ihnen an grundsätzlicher Transparenz. Wir können nicht bewerten, was sie tun, weil sie es uns nicht sagen.
Hier kommt die Politik ins Spiel, wo praktische Kräfte staatliche Durchsetzungsmaßnahmen beeinflussen können. Deutsche Aufsichtsbehörden „befürchten Repressalien. (Mit den Gedanken der Aufsichtsbehörden) werden wir nicht mehr Budget bekommen, wenn wir sagen, dass Sie Office nicht mehr verwenden können. Oder sogar Google Analytics plus“, sagte Dorenvant. „Das sind politische Themen. Niemand will der Bösewicht sein.
Microsoft wird sich also wahrscheinlich zumindest vorerst mit dem Thema beschäftigen. Aber was ist mit den IT-Administratoren von Unternehmen? Sind Unternehmen, die Microsoft-Produkte verwenden, immun gegen Compliance-Strafen? Nicht unbedingt. Es mag unfair erscheinen, Microsoft vom Haken zu lassen und seine Kunden zu bestrafen, aber daher das Argument, dass es sehr wahrscheinlich ist. Und das nicht nur in Deutschland.
„In Belgien, den Niederlanden, Deutschland und anderswo gibt es laufende Klagen gegen Kunden von Microsoft-Produkten“, sagte er.
Dies bringt uns zu einem noch größeren IT-Compliance-Problem in Unternehmen. Vor nicht allzu langer Zeit war ein beliebtes Computer-Sprichwort, dass niemand für den Kauf von IBM gefeuert werden könne. Dies bedeutete, dass das Festhalten an den größten Technologieanbietern ihre Kaufentscheidungen im Allgemeinen in hohem Maße schützte.
In Bezug auf die Einhaltung von Vorschriften legt die gleiche Überlegung nahe, dass die IT davon ausgehen kann, dass die Grundlagen, die grundlegendsten Cybersicherheits- und Compliance-Probleme, unterstützt wurden, wenn Unternehmen Microsoft, SAP, Oracle, Google oder einen der anderen großen Player verwenden (insbesondere wenn es darum geht sowas wie DSGVO).
Es war nie eine kluge Strategie, aber heute ist sie es sicherlich nicht. Wenn Microsoft immer noch Schlupflöcher bei der Einhaltung der Mindestanforderungen hat, besteht die Möglichkeit, dass dies bei den anderen großen Akteuren auch der Fall ist.
Um ehrlich zu sein, deine Erfüllung ist deine Erfüllung. Die Nutzung seriöser Anbieter schützt Sie nicht vor regulatorischen Alpträumen. Die Behörden haben vielleicht nicht den Mut, gegen diese Anbieter vorzugehen, aber das Beispiel einiger Fortune-1000-Unternehmen zu nennen, ist eine ganz andere Geschichte.
Copyright © 2022 IDG Communications, Inc.