Nur mal angenommen, Sie fahren einen Wagen der Luxusklasse, der mit zahlreichen Extras ausgestattet ist, wie zum Beispiel einem autonomen Parkassistenten. Dann stellen Sie das Fahrzeug nur noch vor der Parklücke ab, aktivieren per Knopfdruck oder Smartphone den Assistenten und steigen schon mal aus. Der Wagen ruckelt sich ganz von alleine – quer oder längs – in die Lücke. Toll!
Nur, dass der Parkassistent bei diesem Vorgang weiß, wo Sie parken, wie lange das Fahrzeug dort steht und wann Sie wieder losfahren. Das gilt auch für so manches Topmodell der Navigationssysteme, das die Route mitschreibt und deshalb ein automatisches Tracking Ihrer Spritztouren leistet. Bei Tesla beispielsweise funktioniert das Navi praktisch nicht ohne Abonnement, das also von einer zentralen Stelle irgendwo in der Cloud freigeschaltet werden muss. Bei Mercedes kann man einen Beschleunigungs-Booster per Abo dazukaufen – und irgendeine Instanz weiß danach, wann Sie mal wieder den Porsche an der Ampel stehen gelassen haben.
Alles schöne Spielzeuge für die „großen Jungs und Mädchen“! Aber alle diese teuren Spielzeuge sind zugleich große Datenschleudern, von denen der Service-Provider interessante Erkenntnisse über das Fahrverhalten ziehen kann. Beim Parkassistenten ist es beispielsweise sinnvoll, die Fahrdaten mitzuschreiben, um die Steuerungssoftware zu optimieren. Beim Navi lernt das System allmählich, bislang nicht kartierte Nebenwege in den digitalen Atlas aufzunehmen. Aber ob und inwieweit dabei schützenswerte personenbezogene Daten mitgeschrieben und weiterverarbeitet werden, wird kaum diskutiert.
Und nun nur noch angenommen, das Kraftfahrzeugbundesamt würde diese Fahrzeugmodelle, in denen der Einbau solcher Assistenten möglich ist, vom Markt nehmen, weil nicht geklärt ist, welche bei diesen Diensten anfallenden Daten vom Service-Anbieter gesammelt und ausgewertet werden und ob er dies als „Auftragsverarbeiter“ oder als „Verantwortlicher“ tut. Nach Artikel 5, Absatz 2 der Datenschutzgrundverordnung müssten Audi, Mercedes, BMW oder Tesla als „Verantwortliche“ jederzeit Rechenschaft darüber ablegen können, welche Verarbeitungen im Einzelnen stattfinden.
Ziemlich genau so sieht das Dilemma aus, das die deutschen Datenschützer bei Microsoft verursachen, nachdem sie auf ihrer 104. Datenschutzkonferenz erneut und diesmal mit ziemlicher Vehemenz den Gebrauch des Online-Services Microsoft 365, zu dem neben Windows auch Office und die Collaboration Software Teams gehört, für Behörden und öffentliche Bildungseinrichtungen mehr oder minder untersagt haben. Für die Datenschutzbeauftragten ist auch nach den Nachbesserungen in den Standardvertragsklauseln und des Datenschutznachtrags in Form eines Berichts an die eigentlich verantwortliche EU-Datenschutzbehörde in Irland nicht ausreichend geklärt, ob und wenn ja in welchem Umfang Microsoft personenbezogene Daten abgreift. Microsoft bestreitet, inhaltliche Daten unrechtmäßig zu lesen.
Die Datenschützer argumentieren also mit der Datenschutzgrundverordnung und den Konsequenzen aus dem Urteil des Europäischen Gerichtshofs, dem sogenannten Schems II-Urteil, nachdem US-amerikanische Cloud-Anbieter gegen die DSGVO verstoßen, weil sie auch mit ihren europäischen Daten Centern nicht vor dem Zugriff von US-Behörden geschützt sind, wenn diese zur Aufklärung einer Straftat im begründeten Verdachtsfall in Europa gespeicherte personenbezogene Daten einsehen wollen. Sie argumentieren also nicht, dass erwiesen ist, dass diese Lücken in Microsoft 365 existieren. Sie gründen ihr Verbot lediglich damit, dass Microsoft ihrer Ansicht nach den Verdacht nicht ausreichend ausgeräumt habe.
Die Datenschützer kehren also die Unschuldsvermutung um: Es ist keineswegs erwiesen, dass Microsoft 365 gegen die Datenschutzgrundverordnung verstößt. Es ist lediglich möglich. Sie gehen sogar so weit, jeder deutschen Organisation – egal ob in der öffentlichen Hand oder in der privaten Wirtschaft – zu unterstellen, dass sie beim standardmäßigen Betrieb von Microsoft 365 gegen die DSGVO verstoßen. Auch hier also ein Generalverdacht, der dem Brauch der Unschuldsvermutung widerspricht. Vor keinem deutschen Gericht käme ein Staatsanwalt mit dieser dünnen Faktenlage durch. Aber die Datenschützer befinden sich hier offensichtlich selbst außerhalb des Rechtssystems, möchte man meinen.
Dabei geht es gar nicht um die Software oder den Cloud-Service selbst. Ein Stresstest wurde nie gestartet. Es geht lediglich um das begleitende Paperwork. Seit zwei Jahren ändert Microsoft kontinuierlich Standardvertragsklauseln und Datenschutzerklärungen. Doch nach Ansicht der Datenschützer liefern die Dokumente nicht die notwendige Transparenz, um zu erkennen, welche Daten von Microsoft „für eigene Zwecke verwendet werden können“. Es lasse sich an einigen Stellen nicht einschätzen, welche Informationen und Diagnosewerte noch erhoben und an Microsoft übertragen werden, heißt es. Damit lasse sich auch nicht prüfen, ob alle Schritte im Sinne der DSGVO rechtmäßig sind, schreiben die Datenschützer.
Es gibt in der Tat Diagnosewerte, die Microsoft nutzt, um sie zur Analyse von möglichen Bedrohungen aus dem Cyberraum zu nutzen und dadurch die eigenen Sicherheitsmaßnahmen zu schärfen. Das ist nach Ansicht der Datenschützer bereits ein Verstoß gegen die DSGVO. Damit wäre Datenschutz auch Täterschutz. Oder sollte doch hier der Zweck nicht die Mittel heiligen können. Im Automobil wäre das wünschenswert. Im Cloud Computing aber doch wohl auch.