Im digitalen Zeitalter stehen Unternehmen vor der großen Herausforderung, ihre IT-Systeme vor unerwünschten Störungen und gezielten Angriffen zu schützen. Hierbei zeigt die weiterhin geführte, nicht nur auf die IT-Branche beschränkte Debatte, dass gerade der Einsatz von Cloud Computing komplexe Rechtsfragen aufwirft. Allein ich habe über die Jahre mit unzähligen DSBs, IT Leitern und Personalräten zu dem Thema gesprochen, weil der böse Datenschutz angeblich eine Einführung von Microsoft 365 verhindern würde.
Cloud Computing kann aber nur dann für alle Beteiligten – für Anwender und Anbieter gleichermaßen – wirtschaftlich erfolgreich sein, wenn die rechtlichen Rahmenbedingungen eine effiziente Nutzung von Cloud-Diensten ermöglichen und man das Thema auch einmal ordentlich entmystifiziert.
Die Microsoft Deutschland GmbH führte daher am 17. Januar 2023 in Frankfurt am Main ein Event mit dem Titel “Mythen & Fakten: Datenschutz, Cyberangriffe, Drittstaatentransfers” durch. Die Besetzung des Events kann man als durchaus sehr hochkarätig ansehen. So gehörten zum Kreise der Speaker unter anderem Ralf Wigand, National Security & IT-Compliance Officer bei der Microsoft Deutschland GmbH sowie Dr. Swantje Richters, Senior Corporate Counsel bei CELA, der Rechtsabteilung der Microsoft Deutschland GmbH.
Ich war beim Event anwesend und fasse hier die wichtigsten Erkenntnisse für euch heute den ersten Teil zum Thema Datennutzung der Microsoft zusammen, immer nach dem folgenden Prinzip: erst benenne ich den Mythos und entkräfte dann mit den entsprechenden Fakten aus dem Microsoft DPA auf!
Mythos: Datensammelwut
Landläufig heißt es, MS besitzt eine ausgeprägte Sammelwut von Daten, besonders was das Thema Diagnosedaten angeht. Die Daten wären allgemeinverfügbar und würden auch vom Hersteller jahrelang gespeichert. Und um den Frevel noch größer zu machen, würde Microsoft all die gesammelten Daten auch noch für eigene Zwecke bzw. Werbezwecke nutzen und sogar sowas wie Benutzerprofile erstellen.
Fakt: Datensammelwut
Benutzerprofilerstellung / Marketing / Kommerzielle Werbung
Richtig ist, dass Microsoft bestimmte Daten benötigt, um seine Dienste anzubieten, abzurechnen oder eben bei verstärkter Nutzung auch die Kapazität der eigenen Services zu dimensionieren. Auf einer Rechnung muss z.B. der Rechnungsempfänger stehen, wie viele Lizenzen wurden genutzt und wie viel Azure wurde in einem Monat konsumiert.
Auch gibt es da draußen Partnerunternehmen (Dienstleister), die für Kunden diese Services implementieren (z.B. Fast Track Ready) oder Workshops ausliefern (Built Intent Workshops, Solution Assessments). Teilweise bekommen diese dienstleistenden Unternehmen hierfür von Microsoft Geld über die Theke geworfen. Auch dafür muss natürlich festgestellt werden, was hat der Dienstleister da beim Kunden alles gemacht, welcher Workshop wurde ausgeführt und so weiter.
Und zu guter Letzt, muss Microsoft als Aktiengesellschaft auch gegenüber Aktionären und Co. Finanzberichte zur Verfügung stellen. Und genau dafür benötigt der Hersteller Daten, wie hier im DPA ersichtlich ist:
Klar ausgeschlossen ist somit im zweiten Absatz die sog. Benutzerprofilerstellung sowie die Verwendung der Daten zum Zwecke der Werbung oder anderen kommerziellen Zwecken. Mehr noch, im DPA verpflichtet sich der Hersteller zur sog. Datenminimierung und erfüllt damit dann auch eine Forderung der DSGVO, die, beiläufig auch fordert, dass Daten nur anhand gesetzlicher Fristen maximal vorgehalten werden dürfen. Auch hier hält sich Microsoft dran und beschreibt dies im DPA.
Aggregierte Daten
Wichtig zu erwähnen sei auch noch, dass diese Daten immer nur aggregiert und statistisch erhoben werden und niemals personenbezogen:
Datenübermittlung an Dritte
Was man häufig immer wieder hört im Zusammenhang mit dieser Debatte, dass Microsoft ja die gesammelten Daten auch Dritten zur Verfügung stellen würde. Ihr ahnt es schon, auch hier hat die Microsoft DPA eine klare Aussage zu:
Das Ganze geht sogar soweit, dass noch nicht mal der hauseigene Support Zugriff auf diese Daten erhält und hier intern mit einer eigenen Lockbox Technologie gearbeitet wird, so dass wirklich nur das allernötigste an Daten bereit gestellt werden muss. Und fast schon die wichtigste Information im gesamten Dokument: Es findet keine Bereitstellung von direkten, indirekten, pauschalen oder uneingeschränkten Daten statt.
Diagnosedaten
Ein Thema was die Gemüter immer sehr zum kochen bringt. Daher will ich mit einer Analogie einmal versuchen hier Klarheit zu schaffen, was Microsoft da eigentlich macht:
Wir fahren mit einem Auto, welches heute dem aktuellen Stand der Technik entspricht. Das Auto hat eine gewisse Geschwindigkeit, die es auf dem Tacho anzeigt. Das Auto muss über einen gewissen Füllstand an Öl und Benzin sowie weiteren techn. Flüssigkeiten verfügen, damit es überhaupt fahren kann und die Reifen müssen auch über einen bestimmten Luftdruck verfügen. All diese Daten sind für den Fahrer im Cockpit des Autos auslesbar. Hierbei handelt es sich um Telemetriedaten!
Jetzt kommt es aber eben mal vor, dass wir an der Tankstelle statt Diesel aus versehen Super getankt haben, was rein von der Technik her, ein plausibles Szenario ist, da der Super-Tankstutzen in die Öffnung eines Diesel-Fahrzeugs hinein passt. Plötzlich macht der Motor komische Geräusche. Das Fahrzeug kommt zum Stillstand. Auto wird zur Werkstatt geschleppt. Die Werkstatt schließt das Diagnosegerät an und findet heraus, dass Katalysator, Einspritzanlage, Hochdruckpumpe, Injektoren sowie Kraftstoffleitung nicht mehr innerhalb normaler Parameter funktionieren. Die Werkstatt hat die Diagnosedaten ausgelesen.
Und nichts anderen macht der Hersteller Microsoft an dieser Stelle. Um die Zuverlässigkeit der Dienste gewährleisten zu können, über alle Plattformen und verschiedenen Konfigurationen hinaus, werden Diagnosedaten pseudonymisiert gesammelt und erhoben um Windows und Office sowie Microsoft 365 Dienste in Zukunft zu verbessern und zu stabilisieren.
Der einzige Unterschied, beim Auto freut man sich, dass einem die Werkstatt geholfen hat und danach das Auto wieder läuft, beim Hersteller Microsoft regen sich alle drüber auf – entweder wenn sie die Daten sammeln oder wenn die Dienste nicht vernünftig laufen.
Und im Gegensatz zu den Autoherstellern, die ihre Diagnosedaten nicht gerne fremd auslesen lassen, bietet Microsoft hier sogar ganz transparent ein Tool, den Diagnostic Data Viewer, um diese erhobenen Daten sichtbar und auswertbar zu machen. So kann sich jeder das Ausgangsmaterial anschauen.
Kritisieren kann man hier maximal, dass bisher die Diagnosedaten in die Vereinigten Staaten von Amerika transferiert wurden. Hier bessert Microsoft nach und die Diagnosedaten werden Ende 2023 reinrassig in der EU gespeichert und verarbeitet und verlassen dann die EU dann nicht mehr.
Fazit & Ausblick
Man sieht also, so eine Datenkrake, wie alle immer behaupten, ist der Hersteller Microsoft nicht. Im Gegenteil, hier wird im Hintergrund sehr stark daran gearbeitet, teilweise gerechtfertigte Kritik als auch meiner Meinung nach ungerechtfertigte Kritik transparent darzustellen und bei berechtigter Kritik eine Änderung herbei zu führen. Bei unberechtigter Kritik wird eben versucht, mit Fakten das Thema wieder auf die Sachebene zu führen. Und bestimmte, immer wieder polarisierende Themen, sind eigentlich ganz alltägliche Vorgänge, die uns dort nicht stören. Oder habt ihr schon mal ein DPA bei einem Autohersteller unterschrieben?
In Teil 2 geht es dann um das Thema “Cloud Act & Microsoft“.
Kommentare sind geschlossen.