Auf den ersten Blick klingt es nach einer Meldung, wie man sie alle paar Tage liest: ein Unternehmen, eine Datenschützerin, ein böser Brief. Doch was sich derzeit in Berlin abspielt, ist alles andere als alltäglich: Denn nicht die Datenschutzbeauftrage Maja Smoltczyk hat Microsoft gerüffelt - Absender ist der Chefjurist von Microsoft Deutschland selbst. Es geht um die grundsätzliche Frage, ob Behörden, Schulen und andere Unternehmen Software von Microsoft legal einsetzen können.
In dem Schreiben, über das T-Online zuerst berichtete, fordert der Konzern die Berliner Behörde auf, "unrichtige Aussagen (...) zu entfernen und zurückzunehmen". Der Streit entzündet sich an zwei Dokumenten, die Smoltczyk im April auf ihrer Webseite veröffentlicht hatte. Beide enthalten Empfehlungen zur "Durchführung von Videokonferenzen während der Kontaktbeschränkungen". Darin rät Smoltczyk Unternehmen, Behörden und anderen öffentlichen Einrichtungen davon ab, die Microsoft-Dienste Teams und Skype zu verwenden.
Am Montagmorgen waren beide Dokumente noch abrufbar, im Laufe des Vormittags wurden sie ohne weiteren Hinweis entfernt. Eine Sprecherin der Datenschutzbeauftragten sagte nur, die Behörde habe ein Schreiben von Microsoft erhalten, dessen Inhalt man prüfe. Auch Microsoft bestätigt die Existenz des Briefs, betont aber, dass es sich nicht um eine juristische Abmahnung handle, wie manche Medien berichtet hatten. Inhaltlich entspreche das Schreiben weitgehend einer Pressemitteilung, die Microsoft bereits Anfang Mai veröffentlicht hatte.
Boom der Videokonferenzen:OK Zoomer
Die Videochat-Plattform Zoom ist in der Krise erfolgreicher denn je. Das schnelle Wachstum könnte für das Unternehmen sogar zum Problem werden. Ganz zu schweigen vom Datenschutz für Konferierende.
Darin hieß es, dass Teams und Skype datenschutzkonform seien. Smoltczyks Einschätzung enthalte "missverständliche Aussagen und legt zum Teil unzutreffende datenschutzrechtliche Wertungen zugrunde". Eine Sprecherin sagte, Microsoft habe um Richtigstellung gebeten und werde sich bald mit der Behörde austauschen.
Was genau Smoltczyk Microsoft vorwirft, wird nicht völlig klar. "Die oben beschriebenen Risiken verbleiben jedoch", heißt es in einer der beiden Ausarbeitungen. "Prominentes Beispiel sind die Dienstleistungen [von Microsoft und Skype]". Im Abschnitt "Risiken" wird unter anderem davor gewarnt, "dass bei der Videokonferenz unbefugt mitgehört oder sie aufgezeichnet und die Inhalte weiter ausgewertet werden". Ob Smoltczyk alle genannten Risiken auch auf Microsoft bezieht, oder nur die Vereinbarkeit mit der der europäischen Datenschutzgrundverordnung (DSGVO) anzweifelt, geht aus dem Dokument nicht hervor.
"Teams lässt sich nicht rechtskonform einsetzen"
Zumindest den Vorwurf, dass Microsoft beim Datenschutz nachlässig sei, teilt die Stiftung Warentest, die kürzlich Videokonferenz-Software getestet und dabei die Datenschutzerklärungen untersucht hat. Diese ließen "keine ernsthafte Befassung mit der DSGVO erkennen", heißt es auch in Bezug auf Microsoft. Dennoch landen Teams und Skype auf den Rängen 1 und 2, die Datensicherheit wird jeweils mit gut bewertet.
Die schlampige Datenschutzerklärung reiche völlig, sagt der Journalist und Datenschutzexperte Matthias Eberl. "Teams lässt sich nicht rechtskonform einsetzen, das ist keine Frage der Meinung." Auf seiner Webseite hat er eine Analyse veröffentlicht: Demnach übertragen sowohl die Gratis-Version von Teams als auch die Variante für Bildungseinrichtungen Nutzerdaten an die Werbenetzwerke von Adobe und Google - obwohl Microsoft eine Verwendung von Kundendaten für Werbung ausschließt. In seiner Antwort auf die Anfrage der SZ ging Microsoft darauf nicht ein.
Für den Konzern steht viel auf dem Spiel. Zum einen ist die Nachfrage nach Videokonferenz-Software seit Beginn der Corona-Krise stark gestiegen. Davon profitiert bislang hauptsächlich das vergleichsweise kleine Zoom, doch große Tech-Unternehmen wie Facebook, Google und Microsoft haben schnell reagiert und ihre eigenen Dienste nachgerüstet. Jeder will ein Stück vom Video-Kuchen haben, da kommt die Warnung einer Landesdatenschutzbeauftragten zur Unzeit.
Sollen Schulen Microsoft-Software nutzen?
Zum anderen könnte ein Streit eskalieren, der seit Langem schwelt. Es geht um die grundsätzliche Frage, welche kommerzielle Software öffentliche Stellen wie Behörden, Schulen und Universitäten einsetzen sollen. Im vergangenen Jahr hatte etwa der hessische Beauftragte für Datenschutz Schulen zwischenzeitlich verboten, das Office-Paket Microsoft 365 zu nutzen. In Baden-Württemberg warnt der zuständige Datenschützer Stefan Brink vor Zoom und Microsoft und rät zu datenschutzfreundlichen Open-Source-Lösungen.
Die Debatte betrifft nicht nur Microsoft: Kürzlich stellte der Bundesdatenschutzbeauftrage Ulrich Kelber klar, "dass der Einsatz von Whatsapp für eine Bundesbehörde ausgeschlossen ist". Der Messenger erfasst zwar keine Inhalte, sammelt aber Verbindungsdaten: Wer schreibt wann und wie oft mit wem?
Kelber vermutet, dass diese Daten beim Mutterkonzern Facebook landen. Whatsapp sagt, man gebe keine "Benutzer-Metadaten weiter, um Facebook-Profile zu erstellen oder Facebook-Produkte oder -Werbung anderweitig zu verbessern". Dieses sehr spezifische Dementi lässt allerdings weitere Nutzungsmöglichkeiten offen. Es bedeutet nicht, dass gar keine Daten an Facebook übermittelt werden.