Thought Leadership
Microsoft 365: Für VNC bestätigt die jüngste Entscheidung der Datenschutzkonferenz die eigene Einschätzung: Herstellerexklusiv gehostete Closed-Source-Software ist prinzipiell nicht konform mit deutschem und europäischem Datenschutzrecht.
Das Ziel ist verfehlt, die Unsicherheit bleibt. Trotz umfangreicher Änderungen an den Nutzungsbedingungen („Products and Services Data Protection Addendum“) ist Microsoft 365 weiterhin nicht datenschutzkonform. Zu diesem ebenso richtigen wie vernichtenden Urteil kommt die aktuelle 104. Datenschutzkonferenz, in der die Datenschutzaufsichtsbehörden des Bundes und der Länder vertreten sind. Geschäftsführer und IT-Leiter, die Microsoft 365 in ihren Unternehmen einsetzen, verstoßen demnach nach wie vor gegen die DSGVO, riskieren also hohe Strafzahlungen und stehen mit einem Bein im Gefängnis. Gleiches gilt für Behörden, Organisationen und kritische Infrastrukturen (Kritis). Auch hier verbietet sich der Einsatz von Software, die nachweislich und erklärtermaßen gegen geltendes Recht verstößt, quasi von selbst.
Fast könnte man Mitleid haben mit einem Konzern, der verzweifelt versucht, aus seinem notorisch löchrigen Flaggschiff mit allerlei juristischem Flickzeug ein vermeintlich sicheres Datenvehikel zu machen – oder ihm zumindest diesen Anschein zu geben. Allein, mit sicherer, datenschutzkonformer Software hat dieser Schritt ebenso wenig zu tun wie mit der digitalen Souveränität der Nutzer. Das liegt an dem Grundproblem von Closed Source: Niemand weiß, was in der hermetischen Black Box tatsächlich passiert. Keiner außer Microsoft selbst und einigen amerikanischen Behörden hat Zugriff oder Einblick. Was dort passiert, welche Daten wie, wann und von wem analysiert, genutzt und weitergegeben werden, bleibt exklusives Herrschaftswissen. Die Unvereinbarkeit von Microsoft 365 mit Datenschutzgesetzen ist also kein handwerklicher Fehler, sondern prinzipbedingt und unverzichtbarer Teil des Geschäftsmodells.
Wie es anders geht, zeigt Open-Source-Software: individuell adaptierbar, eigenständig kontrollierbar, unabhängig auditierbar und auf vielen Plattformen verfügbar. Statt blauäugig auf vollmundige, aber unkontrollierbare Versprechen vertrauen zu müssen, bleiben Nutzer mit Open Source die Herren ihrer eigenen Daten und werden nicht in eine rechtliche Grauzone mit alternativlosem Vendor-Lock-in gezwungen. Wer Vertrauen nicht mit Naivität verwechselt, liegt mit Open Source richtig.
