Im November 2021 veröffentlichte der bekannte US-amerikanische Rechtswissenschaftler Prof. Stephen Isaiah Vladeck ein Gutachten, das sich mit Fragen des US-Rechts im Kontext der Datenschutz-Grundverordnung (DSGVO) befasst. Prof. Vladeck, der an der University of Texas School of Law lehrt, ist ein renommierter Experte für Verfassungsrecht, nationales Sicherheitsrecht und die Rolle der Bundesgerichte in den USA. Seine Expertise macht ihn zu einer maßgeblichen Stimme in der Diskussion um die rechtlichen Implikationen internationaler Datenschutzregelungen.

Das Gutachten

Das Gutachten mit dem Titel “Rechtsgutachten zur Anwendbarkeit der DSGVO auf US-amerikanische Unternehmen” wurde im Auftrag der Datenschutzkonferenz (DSK) erstellt und analysiert, inwieweit die DSGVO auf Unternehmen in den USA anwendbar ist. Es beleuchtet insbesondere die rechtlichen Herausforderungen, die sich aus der extraterritorialen Anwendung der DSGVO ergeben, und bietet eine detaillierte rechtliche Einschätzung.

Das vollständige Gutachten kann hier eingesehen werden. Alternativ ist das Gutachten hier hochgeladen worden.

Bedeutung des Gutachtens

Prof. Vladecks Analyse ist von großer Bedeutung für die Debatte um die globale Anwendbarkeit der DSGVO und die rechtlichen Pflichten von Unternehmen außerhalb der EU. Seine Arbeit unterstreicht die Komplexität der rechtlichen Rahmenbedingungen im Zeitalter der Digitalisierung und bietet wertvolle Einblicke für Juristen, Politiker und Unternehmen, die mit internationalen Datenschutzfragen konfrontiert sind.

Kernaussagen des Gutachtens

Prof. Vladeck analysiert in seinem Gutachten die Befugnisse US-amerikanischer Behörden, insbesondere im Rahmen des Foreign Intelligence Surveillance Act (FISA) und dessen Abschnitt 702. Er stellt fest, dass US-Behörden die Möglichkeit haben, von Anbietern elektronischer Kommunikationsdienste die Herausgabe von Daten zu verlangen. Diese Anbieter sind verpflichtet, solchen Anweisungen Folge zu leisten oder sie gerichtlich anzufechten. Bei Nichtbefolgung können erhebliche Geldstrafen verhängt werden. Diese Verpflichtungen gelten unabhängig davon, wo die Daten gespeichert sind, sodass auch Daten europäischer Nutzer betroffen sein können, wenn sie von US-Unternehmen oder deren Tochtergesellschaften verarbeitet werden.

Bedeutung für die Nutzung von Microsoft 365

Microsoft 365 ist ein Cloud-basierter Dienst, der von dem US-amerikanischen Unternehmen Microsoft angeboten wird. Aufgrund der im Gutachten beschriebenen US-Gesetzgebung besteht die Möglichkeit, dass auf in der EU gespeicherte Daten durch US-Behörden zugegriffen wird. Dies steht im Widerspruch zu den Anforderungen der DSGVO, die einen angemessenen Schutz personenbezogener Daten fordert und den Zugriff durch Dritte ohne entsprechende Rechtsgrundlage untersagt.

Die Datenschutzkonferenz (DSK) hat in einer Stellungnahme vom November 2022 festgestellt, dass die Nutzung von Microsoft 365 nicht datenschutzkonform möglich ist. Hauptkritikpunkt ist die mangelnde Transparenz seitens Microsoft hinsichtlich der Verarbeitung personenbezogener Daten und der möglichen Zugriffe durch US-Behörden. Ohne klare Informationen können Verantwortliche nicht sicherstellen, dass die Nutzung von Microsoft 365 im Einklang mit der DSGVO steht im Einklang mit der DSGVO steht (siehe hierzu auch den Beitrag “Warum Verantwortliche Microsoft 365 nicht datenschutzkonform nutzen können” auf dem Blog “Datenschutz Praxis”)

Das Gutachten von Prof. Vladeck verdeutlicht die weitreichenden Befugnisse US-amerikanischer Behörden im Zugriff auf Daten, die von US-Unternehmen verarbeitet werden. Für europäische Unternehmen bedeutet dies, dass die Nutzung von Diensten wie Microsoft 365 erhebliche datenschutzrechtliche Risiken birgt. Ohne ausreichende Transparenz und Garantien seitens der Dienstanbieter ist eine datenschutzkonforme Nutzung im Sinne der DSGVO nicht gewährleistet.

Das Rechtsgutachten von Prof. Dr. Christoph Klug im Auftrag der Datenschutzkonferenz (DSK) kommt zu dem Schluss, dass die Nutzung von Microsoft 365 (ehemals Office 365) in seiner aktuellen Form nicht gesetzeskonform gemäß der Datenschutz-Grundverordnung (DSGVO) ist. Dies liegt an mehreren zentralen datenschutzrechtlichen Problemen, die im Gutachten detailliert analysiert werden. Hier sind die wichtigsten Gründe, warum Microsoft 365 nicht DSGVO-konform genutzt werden kann:

1. Datenübermittlung in Drittländer ohne angemessenes Schutzniveau

• Problem: Microsoft 365 überträgt personenbezogene Daten in die USA, wo sie dem US-amerikanischen Recht unterliegen. Dies betrifft insbesondere den Zugriff durch US-Behörden aufgrund von Gesetzen wie dem CLOUD Act (Clarifying Lawful Overseas Use of Data Act).
• DSGVO-Anforderung: Nach Art. 44 DSGVO dürfen personenbezogene Daten nur in Drittländer übermittelt werden, wenn dort ein angemessenes Datenschutzniveau gewährleistet ist oder geeignete Garantien (z. B. Standardvertragsklauseln) vorhanden sind.
• Bewertung im Gutachten: Die Übermittlung in die USA ist problematisch, da das US-Recht kein angemessenes Schutzniveau gemäß DSGVO bietet. Selbst mit Standardvertragsklauseln (SCCs) oder dem EU-US Data Privacy Framework (Nachfolger des Privacy Shields) besteht das Risiko, dass US-Behörden auf die Daten zugreifen können, was gegen die DSGVO verstößt.

2. Mangelnde Transparenz bei der Datenverarbeitung

• Problem: Microsoft gibt nicht ausreichend transparent an, wie personenbezogene Daten verarbeitet werden. Dies betrifft insbesondere die Frage, welche Daten wann, wo und zu welchem Zweck verarbeitet werden.
• DSGVO-Anforderung: Art. 12–14 DSGVO verlangen, dass Datenverarbeiter (in diesem Fall Microsoft) den Verantwortlichen (z. B. Unternehmen oder Behörden) und den betroffenen Personen klare und umfassende Informationen über die Datenverarbeitung bereitstellen.
• Bewertung im Gutachten: Microsoft erfüllt diese Anforderungen nicht ausreichend. Die Informationen in den Vertragsdokumenten und Datenschutzerklärungen sind oft unklar oder unvollständig, was es den Nutzern erschwert, ihre Rechte gemäß DSGVO wahrzunehmen.

3. Fehlende Kontrolle über die Datenverarbeitung

• Problem: Organisationen, die Microsoft 365 nutzen, haben keine ausreichende Kontrolle darüber, wie Microsoft die Daten verarbeitet. Dies betrifft insbesondere die Frage, ob Microsoft die Daten für eigene Zwecke (z. B. zur Verbesserung der Dienste oder für Werbung) nutzt.
• DSGVO-Anforderung: Gemäß Art. 28 DSGVO muss ein Auftragsverarbeiter (Microsoft) die Daten nur nach den Weisungen des Verantwortlichen (z. B. des Unternehmens) verarbeiten. Zudem muss die Verarbeitung auf das Notwendige beschränkt sein (Datenminimierung, Art. 5 DSGVO).
• Bewertung im Gutachten: Microsoft behält sich in seinen Vertragsbedingungen weitreichende Rechte vor, die es dem Unternehmen ermöglichen, Daten für eigene Zwecke zu nutzen. Dies steht im Widerspruch zu den Anforderungen der DSGVO, da die Nutzer keine ausreichende Kontrolle über die Datenverarbeitung haben.

4. Verstoß gegen das Prinzip der „Datenschutz durch Technikgestaltung“ (Privacy by Design)

• Problem: Microsoft 365 ist nicht so konzipiert, dass die datenschutzrechtlichen Anforderungen von vornherein in die Technik integriert sind. Dies betrifft z. B. die Frage, wie Daten verschlüsselt werden und ob sie sicher vor unbefugtem Zugriff geschützt sind.
• DSGVO-Anforderung: Art. 25 DSGVO verlangt, dass Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Privacy by Default) gewährleistet wird.
• Bewertung im Gutachten: Microsoft 365 erfüllt diese Anforderungen nicht ausreichend. Insbesondere die Verschlüsselung der Daten und der Schutz vor Zugriffen durch Dritte (z. B. US-Behörden) sind nicht in ausreichendem Maße gewährleistet.

5. Risiken durch Subunternehmer und weitere Datenweitergabe

• Problem: Microsoft gibt personenbezogene Daten an Subunternehmer weiter, ohne dass die Nutzer dies ausreichend kontrollieren oder nachvollziehen können. Dies erhöht das Risiko, dass die Daten an unsichere Drittländer weitergegeben werden.
• DSGVO-Anforderung: Gemäß Art. 28 DSGVO muss der Auftragsverarbeiter (Microsoft) sicherstellen, dass auch Subunternehmer die datenschutzrechtlichen Anforderungen einhalten.
• Bewertung im Gutachten: Microsoft bietet keine ausreichenden Garantien dafür, dass Subunternehmer die DSGVO-Anforderungen einhalten. Dies stellt ein zusätzliches Risiko für die Datensicherheit dar.

Warum Microsoft 365 nicht gesetzeskonform genutzt werden kann

Das Gutachten kommt zu dem klaren Schluss, dass Microsoft 365 in seiner aktuellen Form nicht DSGVO-konform ist. Die Hauptgründe sind:

1. Die Übermittlung von Daten in die USA ohne angemessenes Schutzniveau.
2. Die mangelnde Transparenz über die Datenverarbeitung.
3. Die fehlende Kontrolle der Nutzer über die Datenverarbeitung.
4. Die Nichteinhaltung der Prinzipien von Privacy by Design und Privacy by Default.
5. Die Risiken durch Subunternehmer und weitere Datenweitergabe.

Organisationen, die Microsoft 365 nutzen, müssen sich bewusst sein, dass sie dadurch gegen die DSGVO verstoßen könnten. Es wird empfohlen, alternative Lösungen zu prüfen, die den datenschutzrechtlichen Anforderungen entsprechen.

Das Gutachten von Prof. Stephen I. Vladeck vom 15. November 2021 bleibt weiterhin aktuell. Es analysiert die Befugnisse US-amerikanischer Behörden, insbesondere im Rahmen des Foreign Intelligence Surveillance Act (FISA) und dessen Abschnitt 702, und erläutert, dass US-Behörden die Möglichkeit haben, von Anbietern elektronischer Kommunikationsdienste die Herausgabe von Daten zu verlangen. Diese Verpflichtungen gelten unabhängig vom Speicherort der Daten, sodass auch Daten europäischer Nutzer betroffen sein können, wenn sie von US-Unternehmen oder deren Tochtergesellschaften verarbeitet werden.

Die Datenschutzkonferenz (DSK) hat in ihrer Festlegung vom 24. November 2022 festgestellt, dass der Nachweis einer datenschutzrechtskonformen Nutzung von Microsoft 365 auf Grundlage des von Microsoft bereitgestellten “Datenschutznachtrags vom 15. September 2022” nicht erbracht werden kann. Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, bleibt die Nutzung von Microsoft 365 datenschutzrechtlich problematisch. citeturn0search1

Daher sind die im Gutachten von Prof. Vladeck beschriebenen rechtlichen Rahmenbedingungen nach wie vor relevant und beeinflussen die datenschutzrechtliche Bewertung von Diensten wie Microsoft 365 im Kontext der DSGVO.

Die Nutzung von Microsoft-Produkten wie Microsoft 365 und Windows in Deutschland, auch in Behörden, ist trotz der datenschutzrechtlichen Bedenken weit verbreitet. Dies hat mehrere Gründe, die sowohl praktischer als auch struktureller Natur sind. Hier sind die wichtigsten Faktoren, die erklären, warum Microsoft-Produkte dennoch so häufig eingesetzt werden:

1. Etablierte Infrastruktur und Gewohnheit

• Gründliche Integration: Microsoft-Produkte sind seit Jahrzehnten in vielen Organisationen und Behörden etabliert. Die Umstellung auf alternative Lösungen wäre mit erheblichen Kosten und Aufwand verbunden.
• Gewohnheit und Schulung: Mitarbeiter sind an die Benutzeroberflächen und Funktionen von Microsoft-Produkten gewöhnt. Eine Umstellung auf andere Software würde umfangreiche Schulungen erfordern.

2. Komplexität und Abhängigkeit

• Komplexe IT-Landschaft: Viele Organisationen und Behörden haben komplexe IT-Systeme, die stark mit Microsoft-Produkten verflochten sind. Eine Ablösung dieser Systeme wäre technisch sehr aufwendig.
• Abhängigkeit von Microsoft: Durch die langjährige Nutzung von Microsoft-Produkten sind viele Organisationen stark von Microsoft abhängig. Dies betrifft nicht nur die Software, sondern auch die Dokumentenformate (z. B. .docx, .xlsx), die weit verbreitet sind. Das zeigt aber, dass die Politik in den letzten Jahrzehnten in diesem Bereich vollokmmen versagt hat.

3. Fehlende Alternativen

   ** Dieses Argumente sind nicht mehr haltbar, da mit Open Source Produkte genügend gute und sichere Produkte vorhanden sind. **
      Linux, Libre Office oder Netxcloud.

4. Kosten und Ressourcen

• Hohe Umstellungskosten: Die Umstellung auf alternative Softwarelösungen wäre mit erheblichen Kosten verbunden, sowohl für die Beschaffung der neuen Software als auch für die Anpassung der IT-Infrastruktur.
• Ressourcenmangel: Viele Behörden und Organisationen verfügen nicht über die notwendigen Ressourcen (Personal, Budget, Zeit), um eine solche Umstellung durchzuführen. Hier muss man den fehlenden Politischen Willen berücksichtigen.

5. Fehlende Durchsetzung der DSGVO

• Begrenzte Kontrolle: Obwohl die DSGVO klare Anforderungen an den Datenschutz stellt, gibt es in der Praxis oft Schwierigkeiten bei der Durchsetzung. Behörden und Unternehmen setzen Microsoft-Produkte weiterhin ein, solange keine konkreten Sanktionen drohen.
• Fehlende Klarheit: Die datenschutzrechtliche Bewertung von Microsoft-Produkten ist komplex, und es gibt oft Unklarheiten darüber, ob und inwieweit die Nutzung tatsächlich gegen die DSGVO verstößt. Dies führt dazu, dass viele Organisationen abwarten, anstatt aktiv zu handeln.

6. Politische und strategische Gründe

• Politische Entscheidungen: Die Nutzung von Microsoft-Produkten in Behörden ist oft das Ergebnis politischer Entscheidungen, die auf höherer Ebene getroffen werden. Diese Entscheidungen berücksichtigen nicht immer die datenschutzrechtlichen Bedenken.
• Strategische Partnerschaften: Microsoft pflegt enge Partnerschaften mit Regierungen und Behörden weltweit. Diese Partnerschaften können dazu führen, dass Microsoft-Produkte bevorzugt werden, auch wenn datenschutzrechtliche Bedenken bestehen.

7. Schrittweise Anpassungen

• Schrittweise Umstellung: Einige Behörden und Organisationen arbeiten schrittweise an der Umstellung auf DSGVO-konforme Lösungen. Dies ist jedoch ein langwieriger Prozess, der Zeit und Ressourcen erfordert.
• Zwischenlösungen: Bis eine vollständige Umstellung möglich ist, setzen viele Organisationen auf Zwischenlösungen, wie z. B. die Einschränkung der Datensammlung in Microsoft-Produkten oder die Nutzung von zusätzlichen Sicherheitsmaßnahmen.

Warum Microsoft-Produkte trotzdem genutzt werden

Die Nutzung von Microsoft-Produkten in Deutschland, auch in Behörden, ist trotz der datenschutzrechtlichen Bedenken weit verbreitet, weil:

1. Die Etablierung und Integration von Microsoft-Produkten in bestehende IT-Systeme sehr tiefgreifend ist.
2. Alternativen oft als leeres Argumnet angeführt..
3. Die Kosten und der Aufwand für eine Umstellung auf DSGVO-konforme Lösungen sehr hoch sind.
4. Die Durchsetzung der DSGVO in der Praxis oft schwierig ist, und konkrete Sanktionen selten verhängt werden.
5. Politische und strategische Gründe eine Rolle spielen, die nicht immer im Einklang mit den datenschutzrechtlichen Anforderungen stehen.

Langfristig könnte sich dies jedoch ändern, da der Druck auf Organisationen und Behörden wächst, DSGVO-konforme Lösungen zu implementieren. Bis dahin bleibt die Nutzung von Microsoft-Produkten jedoch ein Kompromiss zwischen Praktikabilität und Datenschutz.

Windows 11 weist ähnliche datenschutzrechtliche Probleme auf wie Microsoft 365, da beide Produkte von Microsoft stammen und auf denselben grundlegenden Technologien und Geschäftsmodellen basieren. Die Nutzung von Windows 11 kann ebenfalls datenschutzrechtliche Bedenken im Hinblick auf die DSGVO (Datenschutz-Grundverordnung) aufwerfen. Hier sind die wichtigsten Gründe, warum Windows 11 ähnliche Datenschutzprobleme hat:

1. Datenübermittlung in die USA

• Problem: Wie bei Microsoft 365 überträgt auch Windows 11 personenbezogene Daten in die USA, wo sie dem US-amerikanischen Recht unterliegen. Dies betrifft insbesondere den Zugriff durch US-Behörden aufgrund des CLOUD Acts.
• DSGVO-Anforderung: Nach Art. 44 DSGVO dürfen personenbezogene Daten nur in Drittländer übermittelt werden, wenn dort ein angemessenes Datenschutzniveau gewährleistet ist.
• Bewertung: Die Übermittlung von Daten in die USA ist problematisch, da das US-Recht kein angemessenes Schutzniveau gemäß DSGVO bietet. Selbst mit Standardvertragsklauseln (SCCs) oder dem EU-US Data Privacy Framework besteht das Risiko, dass US-Behörden auf die Daten zugreifen können.

2. Mangelnde Transparenz bei der Datenverarbeitung

• Problem: Microsoft gibt nicht ausreichend transparent an, welche personenbezogenen Daten durch Windows 11 gesammelt und verarbeitet werden. Dies betrifft insbesondere die Frage, welche Daten an Microsoft gesendet werden und zu welchem Zweck.
• DSGVO-Anforderung: Art. 12–14 DSGVO verlangen, dass Datenverarbeiter klare und umfassende Informationen über die Datenverarbeitung bereitstellen.
• Bewertung: Die Datenschutzerklärungen und Nutzungsbedingungen von Windows 11 sind oft unklar oder unvollständig, was es den Nutzern erschwert, ihre Rechte gemäß DSGVO wahrzunehmen.

3. Fehlende Kontrolle über die Datenverarbeitung

• Problem: Nutzer von Windows 11 haben keine ausreichende Kontrolle darüber, wie Microsoft die Daten verarbeitet. Dies betrifft insbesondere die Frage, ob Microsoft die Daten für eigene Zwecke (z. B. zur Verbesserung der Dienste oder für Werbung) nutzt.
• DSGVO-Anforderung: Gemäß Art. 28 DSGVO muss ein Auftragsverarbeiter (Microsoft) die Daten nur nach den Weisungen des Verantwortlichen (z. B. des Nutzers) verarbeiten.
• Bewertung: Microsoft behält sich in den Nutzungsbedingungen von Windows 11 weitreichende Rechte vor, die es dem Unternehmen ermöglichen, Daten für eigene Zwecke zu nutzen. Dies steht im Widerspruch zu den Anforderungen der DSGVO.

4. Verstoß gegen das Prinzip der „Datenschutz durch Technikgestaltung“ (Privacy by Design)

• Problem: Windows 11 ist nicht so konzipiert, dass die datenschutzrechtlichen Anforderungen von vornherein in die Technik integriert sind. Dies betrifft z. B. die Frage, wie Daten verschlüsselt werden und ob sie sicher vor unbefugtem Zugriff geschützt sind.
• DSGVO-Anforderung: Art. 25 DSGVO verlangt, dass Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Privacy by Default) gewährleistet wird.
• Bewertung: Windows 11 erfüllt diese Anforderungen nicht ausreichend. Insbesondere die Verschlüsselung der Daten und der Schutz vor Zugriffen durch Dritte (z. B. US-Behörden) sind nicht in ausreichendem Maße gewährleistet.

5. Telemetrie und Diagnosedaten

• Problem: Windows 11 sammelt standardmäßig Telemetrie- und Diagnosedaten, die an Microsoft gesendet werden. Diese Daten können personenbezogene Informationen enthalten, und Nutzer haben oft keine ausreichende Kontrolle darüber, welche Daten gesammelt werden.
• DSGVO-Anforderung: Gemäß Art. 5 DSGVO müssen personenbezogene Daten auf das Notwendige beschränkt sein (Datenminimierung), und die Verarbeitung muss transparent sein.
• Bewertung: Die standardmäßige Sammlung von Telemetriedaten in Windows 11 steht im Widerspruch zu den Prinzipien der Datenminimierung und Transparenz. Nutzer können die Datensammlung zwar einschränken, aber nicht vollständig deaktivieren.

6. Risiken durch Subunternehmer und weitere Datenweitergabe

• Problem: Microsoft gibt personenbezogene Daten an Subunternehmer weiter, ohne dass die Nutzer dies ausreichend kontrollieren oder nachvollziehen können. Dies erhöht das Risiko, dass die Daten an unsichere Drittländer weitergegeben werden.
• DSGVO-Anforderung: Gemäß Art. 28 DSGVO muss der Auftragsverarbeiter (Microsoft) sicherstellen, dass auch Subunternehmer die datenschutzrechtlichen Anforderungen einhalten.
• Bewertung: Microsoft bietet keine ausreichenden Garantien dafür, dass Subunternehmer die DSGVO-Anforderungen einhalten. Dies stellt ein zusätzliches Risiko für die Datensicherheit dar.

Windows 11 und DSGVO-Konformität

Windows 11 weist ähnliche datenschutzrechtliche Probleme auf wie Microsoft 365. Die Hauptgründe sind:

1. Die Übermittlung von Daten in die USA ohne angemessenes Schutzniveau.
2. Die mangelnde Transparenz über die Datenverarbeitung.
3. Die fehlende Kontrolle der Nutzer über die Datenverarbeitung.
4. Die Nichteinhaltung der Prinzipien von Privacy by Design und Privacy by Default.
5. Die Sammlung von Telemetrie- und Diagnosedaten ohne ausreichende Kontrolle durch die Nutzer.
6. Die Risiken durch Subunternehmer und weitere Datenweitergabe.

Organisationen und Nutzer, die Windows 11 einsetzen, müssen sich bewusst sein, dass dies datenschutzrechtliche Risiken birgt und möglicherweise gegen die DSGVO verstößt. Es wird empfohlen, die Datenschutzeinstellungen sorgfältig zu konfigurieren und gegebenenfalls alternative Betriebssysteme zu prüfen, die den datenschutzrechtlichen Anforderungen besser entsprechen.

Es gibt deutliche Anhaltspunkte dafür, dass Lobbyarbeit und politischer Druck eine Rolle dabei spielen, dass Microsoft-Produkte trotz datenschutzrechtlicher Bedenken weiterhin in Deutschland und insbesondere in Behörden genutzt werden. Microsoft ist eines der einflussreichsten Technologieunternehmen der Welt und verfügt über erhebliche Ressourcen, um seine Interessen auf politischer und wirtschaftlicher Ebene zu vertreten. Hier sind einige Aspekte, die auf Lobbyarbeit und politischen Einfluss hindeuten:

1. Lobbyarbeit von Microsoft in der EU und Deutschland

• Lobbyausgaben: Microsoft gehört zu den Unternehmen mit den höchsten Lobbyausgaben in der EU. Laut dem EU-Lobbyregister gibt Microsoft Millionen von Euro pro Jahr für Lobbyarbeit aus, um politische Entscheidungen zu beeinflussen.
• Einfluss auf Gesetzgebung: Microsoft ist aktiv an der Gestaltung von Gesetzen und Richtlinien beteiligt, insbesondere in den Bereichen Datenschutz, Cybersicherheit und künstliche Intelligenz. Dies kann dazu führen, dass die Interessen des Unternehmens bei der Gesetzgebung berücksichtigt werden.
• Partnerschaften mit Regierungen: Microsoft pflegt enge Partnerschaften mit Regierungen und Behörden weltweit. Diese Partnerschaften umfassen oft die Bereitstellung von Softwarelizenzen zu vergünstigten Konditionen, was die Abhängigkeit von Microsoft-Produkten erhöht.

2. Politische Entscheidungen und Abhängigkeiten

• Vergünstigte Lizenzen für Behörden: Microsoft bietet Behörden oft vergünstigte Lizenzen oder Sonderkonditionen an, um den Einsatz von Microsoft-Produkten attraktiv zu machen. Dies kann dazu führen, dass Behörden aus Kostengründen an Microsoft gebunden bleiben, auch wenn datenschutzrechtliche Bedenken bestehen.
• Fehlende Förderung von Alternativen: Es gibt kaum politische Initiativen, die die Entwicklung und den Einsatz von Open-Source-Software oder anderen DSGVO-konformen Alternativen fördern. Stattdessen wird oft auf etablierte Lösungen wie Microsoft-Produkte gesetzt.

3. Einfluss auf die öffentliche Verwaltung

• Digitalisierungsprojekte: Microsoft ist oft an Digitalisierungsprojekten in der öffentlichen Verwaltung beteiligt. Dies kann dazu führen, dass Microsoft-Produkte als Standardlösung etabliert werden, auch wenn datenschutzrechtliche Bedenken bestehen.
• Schulungen und Zertifizierungen: Microsoft bietet umfangreiche Schulungen und Zertifizierungen für IT-Mitarbeiter in Behörden an. Dies stärkt die Bindung an Microsoft-Produkte und erschwert den Wechsel zu alternativen Lösungen.

4. Politische Kontroversen und Kritik

• Kritik von Datenschützern: Datenschutzbeauftragte und -organisationen kritisieren regelmäßig die Nutzung von Microsoft-Produkten in Behörden. Sie weisen darauf hin, dass die Nutzung dieser Produkte gegen die DSGVO verstößt und fordern den Einsatz von alternativen Lösungen.
• Politische Debatten: In einigen Ländern, darunter auch Deutschland, gibt es politische Debatten über die Nutzung von Microsoft-Produkten in Behörden. Einige Politiker und Parteien fordern eine stärkere Förderung von Open-Source-Software und DSGVO-konformen Alternativen.

5. Beispiele für politischen Druck

• Bayerische Staatsregierung: In Bayern gab es eine Kontroverse um die Nutzung von Microsoft 365 in Schulen. Trotz datenschutzrechtlicher Bedenken wurde die Nutzung der Software fortgesetzt, was auf politischen Druck hindeutet.
• Bundesverwaltung: Auch auf Bundesebene gibt es Beispiele dafür, dass Microsoft-Produkte trotz datenschutzrechtlicher Bedenken genutzt werden. Dies deutet darauf hin, dass politische und wirtschaftliche Interessen eine Rolle spielen.

Lobbyarbeit und politischer Druck

Es gibt deutliche Anhaltspunkte dafür, dass Lobbyarbeit und politischer Druck dazu beitragen, dass Microsoft-Produkte trotz datenschutzrechtlicher Bedenken weiterhin in Deutschland und in Behörden genutzt werden. Microsoft verfügt über erhebliche Ressourcen, um seine Interessen auf politischer und wirtschaftlicher Ebene zu vertreten, und pflegt enge Partnerschaften mit Regierungen und Behörden. Dies führt dazu, dass die Nutzung von Microsoft-Produkten oft priorisiert wird, auch wenn alternative, DSGVO-konforme Lösungen verfügbar sind.

Langfristig könnte sich dies jedoch ändern, da der Druck auf Organisationen und Behörden wächst, DSGVO-konforme Lösungen zu implementieren. Bis dahin bleibt die Nutzung von Microsoft-Produkten jedoch ein Datenschutzrechtliches Problem.

Quellen

• EU-Lobbyregister: Microsoft
• Kritik an Microsoft-Produkten in Behörden
• Rechtsgutachten der Datenschutzkonferenz (DSK)
• Datenschutz-Grundverordnung (DSGVO)
• Prof. Stephen I. Vladeck: “Gutachten zum aktuellen Stand des US-Überwachungsrechts und der Überwachungsbefugnisse”, 15. November 2021.
• Datenschutzkonferenz (DSK): “Warum Verantwortliche Microsoft 365 nicht datenschutzkonform nutzen können”, 7. Dezember 2022. (datenschutz-praxis.de
• Der Landesbeauftragte für den Datenschutz Niedersachsen: “Handreichung zur Auftragsverarbeitungs-Vereinbarung für Microsoft 365”, 2022. (lfd.niedersachsen.de)

Siehe auch

• Vier Jahrzehnte strukturelle Überwachung: Warum die Microsoft-365-Problematik keine Trump-Erfindung ist
• Angriff auf den Datenschutz: Wie NRW-Ministerpräsident Wüst nach dem Microsoft-Deal die unabhängige Aufsicht beseitigen will
• Datenschutz ist ein Grundrecht – Warum diese Wahrheit so oft geleugnet wird
• Die DSGVO als Reaktion auf Snowden: Eine Theorie über symbolische Datensouveränität und ihre Grenzen
• Datenschutz-Erfolg gegen Microsoft: Warum Deutschland diesem Beispiel folgen sollte