Datenschutz und amerikanische Hintertür
Olaf Koglin untersucht die Verantwortbarkeit von Microsoft 365 und Copilot
Matthias Wiemers
Gerne hört man die Aussage: „Das geht doch nicht. Diese Software ist nicht sicher.“ Derartige Meinungen sind besonders dann problematisch, wenn sie in der Praxis ignoriert zu werden scheinen, wenn insbesondere die öffentliche Hand sich Softwarelösungen bedient, die datenschutzrechtlich bedenklich erscheinen.
So hört man es oft auch in Bezug auf die Marktführer-Software Microsoft 365 und den darin enthaltenen KI-Assistenten „Copilot“. Die Marktmacht einzelner Unternehmen aus den USA ist überwältigend, aber gleichzeitig kann man nicht als gesichert ansehen, dass in der EU generierte Daten in dem Drittstaat USA wirklich sicher sind, wenn sie nach dorthin gelangen, ob die USA mithin wirklich einen der EU vergleichbaren Datenschutzstandard beachten.
Oliver Koglin, der in Berlin ein einschlägiges Beratungsunternehmen betreibt, versucht in einem vor einigen Wochen erschienenen Werk, Leserinnen und Lesern Wege aufzuzeigen, nach denen die Benutzung der o. g. Software als vertretbar erscheint.
Im Vorwort qualifiziert der Autor dabei die Rede von der digitalen Souveränität Europas als industriepolitisch motiviert (vgl. S. VII).
Mag man dieser Argumentation auch das positive Beispiel Airbus für einen interkontinentalen Qualitätswettbewerb entgegenhalten, so dürften doch viele die Erfahrung teilen, dass man lieber gut am Markt eingeführte Softwareprodukte nutzen sollte als etwas Neues entwickeln zu lassen.
Bereits im ersten Kapitel wird in einem Überblick über zentrale Themen deutlich, dass die Rechtsmeinungen der Datenschutzbehörden zu verschiedenen Themen recht unterschiedlich sind – auch wenn mehrere aktuelle wie frühere Landesdatenschutzbeauftragte ein Vorwort zu dem Buch geschrieben haben.
Koglin zeigt hier vor allem auf, dass es zu 365, will man nicht seine „IT-Strategie fundamental verändern“ und auf die Cloud-Lösung aus 365 verzichten, keine echte Alternative gibt (S. 4 f.).
Die Lösung sieht der Autor in den von ihm nachfolgend entwickelten rechtlichen, technischen und organisatorischen Maßnahmen, die im Wege einer Management Rule für das jeweilige Unternehmen bzw. die Organisation verbindlich gemacht werden können (vgl. S. 6).
Hierzu wird im zweiten Kapitel ein Projektmanagement nach agilen Methoden empfohlen, das den Fokus auf wirklich relevante Fragestellungen richtet (S. 7 ff.).
Ein Vorschlag ist etwa eine Datenklassifizierung, die vorgibt, welche daten in der Cloud gespeichert werden dürfen und welche nicht.
Im dritten Kapitel werden die unterschiedlichen Rechtsauffassungen von Datenschutzbehörden in Deutschland präsentiert und am Ende festgestellt, dass dies zunächst nur Meinungsäußerungen seien und dass Anwender von Microsoft auch Unterstützung in Gerichtsverfahren bekommen können, da eine negative Verurteilung von Microsoft nicht erwünscht sei (S.41, 58).
Im vierten Kapitel werden dann Argumentationslinien für einen Einsatz von Microsoft 365 entwickelt (S. 59), die darauf hinauslaufen, dass die Nutzung der Software-Suite eines einzelnen Anbieters aus organisatorischer Sicht Vorteile für die IT-Sicherheit bietet, und wie man konkreten Risiken mit Maßnahmen begegnen kann (S. 121).
Kapitel 5 geht explizit mit den verbleibenden Restrisiken um, nachdem an die zuvor vorgeschlagenen Maßnahmen ergriffen hat. Es wird hier für die Anwendung der Grundsätze einer Business Judgment Rule plädiert (S. 127 ff.).
In Kapitel 6 werden die Elemente eines Projekts der Einführung von 365 beschrieben und in Kapitel 7 die Durchführung einer Datenschutz-Folgenabschätzung. Das Ergebnis dieser Datenschutz-Folgenabschätzung soll dem eigenen Datenschutzbeauftragten vorgelegt werden (Kapitel 8), wobei je nach Ergebnis der Datenschutz-Folgenabschätzung auch noch die Vorlage bei der zuständigen Datenschutzbehörde vorzulegen ist.
Kapitel 9 beschreibt die Durchführung eines weiteren Verfahrens, nämlich eines Transfer Impact Assessments, das der Bewertung des spezifischen Risikos dient, welches mit dem Transfer in jene Staaten einhergeht, die nicht das Datenschutzniveau von EU/EWR aufweisen. In Kapitel 10 wird der dann noch notwendige Eintrag ins Verarbeitungsverzeichnis beschrieben und Kapitel 11 ist besonders den verschiedenen KI-gestützten Varianten des Copilot gewidmet. Der Band schließt mit einem Kapitel mit FAQs.
Das Werk stellt die sinnvolle Füllung einer Lücke dar, die entstehen kann, wenn man sich zwar anhand von Vorträgen und Schulungen, die momentan insbesondere unter dem Gesichtspunkt des Inkrafttretens des EU-AI-Acts abgehalten werden und die zum Teil erhebliche Kosten verursachen, ein gewisses Know-how angeeignet hat, und dennoch das eigene Doing damit nicht Schritt halten kann. Mit der Abfassung des Bandes hat nicht nur der Autor letztlich erst einmal sich selbst geschult, sondern auch dem Umstand Rechnung getragen, dass die Reichweite seiner persönlichen Beratung notwendig begrenzt sein muss – und somit do it yourself anzuregen war. Der Verlag hat wieder einmal Gespür für praxisrelevante Literatur bewiesen.
Olaf Koglin
Datenschutz bei Microsoft 365 und Copilot
Deutscher Fachverlag, 2025
258 Seiten; 89,00 Euro
ISBN: 978-3-8005-1957-6
Hinterlassen Sie einen Kommentar!
NEWS vom BGH
- Berichtigung der Pressemitteilung Nr. 102/25 vom 3. Juni 2025 (Bundesgerichtshof entscheidet über Musterfeststellungsklage zur Rückzahlung von Kontoführungsentgelten) 13. Juni 2025
- Urteil des Landgerichts Traunstein wegen Schleusung mit mehreren Toten rechtskräftig 10. Juni 2025
- Bundesgerichtshof bestätigt Verurteilung zu lebenslanger Freiheitsstrafe nebst Sicherungsverwahrung durch das Landgericht Verden 10. Juni 2025
NEWS von EuGH
- 70/2025 : 16 June 2025 - Formal sitting 16. Juni 2025
- 69/2025 : 12. Juni 2025 - Schlußanträge des Generalanwaltes in der Rechtsache C-679/23 P 12. Juni 2025
- 68/2025 : 12. Juni 2025 - Urteil des Gerichtshofs in der Rechtssache C-415/23 P 12. Juni 2025
- 67/2025 : 11. Juni 2025 - Urteile des Gerichts in den Rechtssachen T-681/22, T-781/22 11. Juni 2025