Cloud-Anwendungen – eine sichere Sache?

Mittlerweile hat sich Microsoft 365 (M365) in vielen Hausverwaltungen etabliert – eine umfassende Lösung für E-Mail, Textverarbeitung, Tabellenkalkulation, Datenspeicherung und Online-Zusammenarbeit. Vielen ist allerdings nicht geläufig, dass M365 eine cloudbasierte Produktivitätsplattform ist und weniger ein Softwarepaket, also ein Bündel einzelner Programme wie Microsoft Word, Excel, PowerPoint usw. Hinzu kommt, dass diese Programme typischerweise auf einem PC lokal installiert und die Daten in der Regel im Firmennetz (zum Beispiel Server) abgelegt werden. Microsoft oder andere Anbieter haben für gewöhnlich also keinen Zugriff auf diese Daten.

Die Daten liegen irgendwo

Bei einer Online-Plattform wie M365 liegen die Daten hingegen meist in der Cloud und werden oft in mehreren Rechenzentren gespeichert. Und genau da liegt das Problem. Aufsichtsbehörden für Datenschutz kritisieren seit Langem den Einsatz von M365, weil einige zentrale Pflichten aus der Datenschutz-Grundverordnung (DSGVO) schwer nachweisbar oder nur eingeschränkt erfüllbar erscheinen. So veröffentlichte Ende 2022 die Arbeitsgruppe der Datenschutzkonferenz (DSK) eine Untersuchung, die den Einsatz von M365 als nicht datenschutzkonform einstufte. Im Fokus stand dabei die Übermittlung von Funktionsdaten, Inhaltsdaten, Nutzungsdaten und Diagnosedaten an Microsoft. Die DSK kritisierte, dass Microsoft nicht transparent darstelle, welche Daten das Unternehmen als Auftragsverarbeiter für eigene Zwecke verarbeite. Es wird angenommen, dass die Datenverarbeitung für eigene Zwecke nicht durch eine Rechtsgrundlage gedeckt ist.

US-Cloud-Act vs. DSGVO

Weiterhin kritisieren die Behörden, dass Microsoft personenbezogene Daten in unsichere Drittstaaten, etwa die USA, übermittle. Als amerikanisches Unternehmen ist Microsoft gezwungen, den US-Cloud-Act zu beachten und einzuhalten, der alle amerikanischen Unternehmen zwingt, Daten an US-Behörden herauszugeben, auch wenn sie beispielsweise in einem Rechenzentrum in Europa gespeichert sind. Microsoft steckte also in einem Dilemma: einerseits die DSGVO in Europa und andererseits die Gesetzgebung in den USA.

Microsoft als Ausnahme

In der Vergangenheit gab es deshalb immer wieder Diskussionen zwischen Aufsichtsbehörden, Juristen und Microsoft selbst, wie man den Anforderungen der DSGVO gerecht werden könne. Microsoft dürfte wohl der einzige US-Tech-Konzern sein, der sich das Thema Datenschutz sehr groß auf die Fahnen geschrieben hat. Denn Microsoft hat reagiert und zahlreiche Anpassungen vorgenommen, um datenschutzrechtliche Anforderungen zu erfüllen. So werden beispielsweise Daten von M365 standardmäßig im europäischen Wirtschaftsraum gespeichert und verarbeitet. Der Datentransfer in die USA wurde minimiert, aber er findet immer noch statt. Außerdem macht Microsoft mittlerweile sehr präzise Angaben zu Verarbeitungszwecken, technisch-organisatorischen Maßnahmen und Behördenanfragen. Wichtiger aber ist, dass Microsoft versichert, keine Daten mehr für eigene Zwecke zu nutzen.

Der Bericht des HBDI …

Und dann schlug ein Bericht des Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) wie eine Bombe ein: „Microsoft 365 kann datenschutzkonform genutzt werden.“ Der HBDI stellte also fest, dass M365 unter bestimmten Voraussetzungen datenschutzkonform genutzt werden kann. Selbstredend setzt man sich als Datenschützer hin und liest diesen Bericht mehrmals durch und saugt ihn regelrecht auf. Dabei muss ich zugeben, dass mein Erstaunen über diesen Wandel einer Bewertung durch Datenschutzbehörden ziemlich groß war. Denn in seinem Bericht betont der HBDI, dass jedes Unternehmen eine eigene Dokumentation und vor allem eine Bewertung erstellen müsse, um die rechtlichen Anforderungen der DSGVO zu gewährleisten.

… und seine Folgen

Und jetzt? Wie nimmt man rechtskonform eine Dokumentation und eine Bewertung vor? Microsoft hat reagiert und bietet kostenlos das sogenannte M365-Kit an, das in Zusammenarbeit mit den Aufsichtsbehörden Hessen und Bayern entwickelt wurde. Es enthält Vorlagen für eine Datenschutz-Folgenabschätzung (DSFA), die speziell auf M365 zugeschnitten ist. Auch das Verarbeitungsverzeichnis stellt Microsoft als Muster zur Verfügung. Das spart eine Menge Arbeit, denn so können Hausverwaltungen sicherstellen, dass sie die rechtlichen Anforderungen erfüllen und M365 datenschutzkonform einsetzen. Alles easy, oder?

Der Verwalter in der Pflicht

Eben nicht. Der Verwalter bleibt für die Einhaltung aller datenschutzrechtlichen Anforderungen voll verantwortlich. Er muss die Konformität nachweisen – einfach das M365-Kit herunterladen und speichern genügt nicht. Tatsächlich sind im Kit Maßnahmen enthalten, die der Verwalter zwingend aufnehmen und entsprechend anpassen muss. Denn die Datenschutz-Folgenabschätzung ist ein sehr komplexes Thema. Auch der Vertrag zur Auftragsverarbeitung muss geprüft und gegebenenfalls ergänzt werden. Es braucht eine Klarheit über die Datenkategorien, die Zwecke und auch das Löschen.

Ohne Back-up geht es nicht

Am Ende kommt es vor allem auf die Sicherheit der Daten an: Während bei lokal gespeicherten Daten immer ein ausgeklügeltes Back-up-Konzept vorgehalten werden muss sowie ein vernünftiger Virenschutz und eine gut dimensionierte Firewall Pflicht sind, scheint es bei einer Online-Plattform plötzlich keine Anforderungen zur Datensicherheit zu geben. Ich stelle immer wieder fest, dass sich einige Verwalter auf die Sicherheit von Cloud-Anbietern verlassen. Es braucht aber Überlegungen zur Verschlüsselung und ein vernünftiges Back-up. Schließlich befinden sich die Daten eben nicht in einem Serverraum im Keller oder in den Büroräumen des Verwalters – sie befinden sich irgendwo in Europa.

Datenverlust durch Hackerangriffe

Nicht zu unterschätzen: Cloud-Anbieter erleiden genauso Datenverlust und Hackerangriffe. Im Juni 2025 hatte Microsoft große Probleme mit Outlook. Es stürzte immer wieder ab, wodurch E-Mails und Anhänge temporär nicht zugänglich waren. Der Crowd-Strike-Ausfall im Juli 2024 führte auf der ganzen Welt zu Systemabstürzen, auch bei Microsoft 365. Viele Unternehmen verloren so temporär Zugriff auf ihre Daten und der wirtschaftliche Schaden ging in die Milliarden. Deshalb ist klar: Besonders das Back-up muss der Verwalter im Blick haben. Es gibt kluge Tools, die Daten in der Cloud sichern können, sodass sich diese Daten auch nutzen lassen, wenn beispielsweise der Cloud-Anbieter nicht mehr erreichbar ist.

Art. 15 DSGVO gilt auch für Cloud-Anwendungen

Aber warum ist es wichtig, bei Cloud-Anwendungen den Datenschutz besonders im Blick zu haben? Weil es eben Daten von Eigentümern/Mietern/Interessenten/Kunden (und damit Betroffenen) sind. Ein Auskunftsanspruch gemäß Art. 15 DSGVO zeigt zum Beispiel sehr deutlich, wie wichtig es für den Verwalter ist, eine gute Datenstruktur zu gewährleisten. So verpflichtet der Art. 15 DSGVO den Verwalter, auf Anfrage eines Betroffenen umfassend und korrekt Auskunft zu erteilen: Welche Daten werden wo und zu welchem Zweck verarbeitet? Auf welcher Rechtsgrundlage geschieht das? Wer erhält die Informationen und wann werden sie gelöscht?

Keine Formalität, sondern Grundbedingung für rechtssichere Arbeit

Die Kenntnis dieser Datenflüsse und Speicherorte ist nicht nur eine Formalität, sondern Grundbedingung für eine rechtssichere Arbeit, die die Glaubwürdigkeit gegenüber Eigentümern und Mietern zur Einhaltung aller datenschutzrechtlichen Vorgaben untermauert. Aber das trifft nicht nur für Microsoft zu: Alle Anbieter, die Daten erhalten, müssen den datenschutzrechtlichen Anforderungen entsprechen. Der Verwalter hat die Pflicht, diese Empfänger zu durchleuchten und sicherzustellen, dass alle Daten nach Anforderungen der DSGVO verarbeitet werden. Hinzu kommt, dass der Verwalter seinen Auftragnehmer gemäß Art. 28 Abs. 3 S. 2 lit. h DSGVO regelmäßig kontrollieren muss.

Der Verwalter als „Datenherr“

Denn egal, wo die Daten gespeichert sind: Der Verwalter ist als „Datenherr“ voll verantwortlich. Kommt es bei einem Auftragsverarbeiter zu einer Datenpanne, haftet der Verwalter eigenständig – unabhängig davon, ob der Auftragsverarbeiter die Datenpanne selbst verursacht hat oder nicht. Etwaige Schadensersatzansprüche richten sich regelmäßig immer zuerst gegen den Verantwortlichen. Und das ist der Verwalter. Ganz besonders bei Cloud-Anwendungen kann sich der Verwalter nur auf entsprechende Zertifikate und Testate nebst Vor-Ort-Kontrollen verlassen. Wer das nicht regelmäßig wahrnimmt, könnte also auf die Nase fallen.