Microsoft und der Datenschutz…

By René Floitgraf

Bereits am 23.05.2025 habe ich darauf hingewiesen, dass die USA aktuell permanent Gründe für Kopfschmerzen bei der Nutzung von US-Clouddiensten liefern…

Nachdem zuletzt das Data Privacy Framework durch personelle Änderungen im Bereich des Kontrollgremiums PCLOB in den USA gefährdet wurde und zudem OpenAI (ChatGPT) zur dauerhaften Speicherung von User-Chats verurteilt wurde, verursacht diesmal Microsoft die Kopfschmerzen.

Zumindest sorgt die aktuelle Berichterstattung rund um Microsoft in der Datenschutz- und IT-Sicherheits-Community für zunehmende Besorgnis. Als Ihr Datenschutzbeauftragter informiere ich Sie über drei aktuelle Vorfälle, die für Unternehmen mit Microsoft-Diensten (z. B. Microsoft 365, Azure, SharePoint Online) datenschutzrechtlich und sicherheitstechnisch hochrelevant sind.

Aktuelle Entwicklungen zu Microsoft: Sicherheitslücken, Compliance-Risiken und US-Zugriffe auf EU-Daten

🔍 1. Ungepatchte Sicherheitslücke in Microsoft SharePoint

Quelle: Heise.de, 19.07.2025
Link zum Artikel »

Sachverhalt:

  • Aktive Angriffe auf eine von Microsoft bestätigte kritische Zero-Day-Lücke in Microsoft SharePoint (Server-Version).
  • Ein Patch ist zum Zeitpunkt der Veröffentlichung noch nicht verfügbar.
  • Angriffe erfolgen laut Sicherheitsforschern „gezielt und erfolgreich“.

Bewertung:

  • Ein aktives Angriffsszenario ohne verfügbaren Patch stellt ein erhebliches Risiko für die Vertraulichkeit, Integrität und Verfügbarkeit von Daten dar.
  • Insbesondere Unternehmen mit Hybrid- oder On-Prem-SharePoint-Systemen sind gefährdet.
  • Art. 32 DSGVO verpflichtet Verantwortliche zu technischen und organisatorischen Maßnahmen (TOM), die dem Stand der Technik entsprechen.

Empfehlung:

  • Sofortige Überprüfung, ob betroffene SharePoint-Versionen im Einsatz sind.
  • Übergangsweise Abschaltung exponierter Endpunkte oder Einschränkung des externen Zugriffs prüfen.
  • Überprüfen, ob die eigenen SharePoint-Server ggf. bereits angegriffen worden sind.

🌐 2. Chinesische Entwickler im US-Cloudauftrag: Microsoft trennt sich verspätet

Quelle: Borncity, 19.07.2025
Link zum Artikel »

Sachverhalt:

  • Microsoft hatte bis vor Kurzem chinesische Software-Ingenieure an der Cloud-Umgebung des US-Verteidigungsministeriums beteiligt.
  • Mitarbeiter, die die Arbeiten der chinesischen Programmierer überwachen sollten, waren dazu nach Medienberichten gar nicht in der Lage.
  • Die Beteiligung wurde nach öffentlichem Druck eingestellt.
  • Hintergrund: Sorge vor Spionage, Zugriff auf sicherheitskritische Daten und Intransparenz der Lieferkette.

Bewertung:

  • Auch wenn dieser Vorfall außerhalb der EU spielt, wirft er Fragen zur Zuverlässigkeit der globalen Lieferkette von Microsoft auf.
  • Für europäische Kunden ist dies im Zusammenhang mit der Bewertung von Subunternehmern in AV-Verträgen (Art. 28 DSGVO) relevant.
  • Vertrauensverluste können sich auf die Legitimität von Datenverarbeitungen im Sinne von Art. 5 Abs. 1 lit. a DSGVO (Rechenschaftspflicht, Transparenz) auswirken.

Empfehlung:

  • Überprüfung bestehender AV-Verträge auf Angaben zu Subdienstleistern und deren Regionen.
  • Bei sensiblen Daten ggf. Beschränkung auf europäische Rechenzentren und klar definierte Subunternehmerlisten.
  • Risikoanalyse im Rahmen einer Datenschutz-Folgenabschätzung prüfen (z. B. bei Geschäftsgeheimnissen, Privatgeheimnissen (Geheimhaltungspflichten) oder personenbezogenen Gesundheitsdaten).

🇺🇸 3. Microsoft räumt ein: US-Zugriff auf EU-Cloud nicht ausgeschlossen

Quelle: Golem.de, 20.07.2025
Link zum Artikel »

Sachverhalt:

  • Ein Microsoft-Manager bestätigt öffentlich: US-Behörden können auf Daten in der EU-Cloud zugreifen, sofern ein entsprechender Antrag nach dem US CLOUD Act vorliegt.
  • Technische Schutzmaßnahmen (z. B. Kundenschlüssel) seien kein vollständiger Schutz, Microsoft könne sich letztlich nicht widersetzen.

Bewertung:

  • Die Aussage betrifft unmittelbar die Rechtsgrundlage für internationale Datenübermittlungen nach Kapitel V DSGVO.
  • Trotz EU-U.S. Data Privacy Framework (DPF) bleibt ein Risiko, das zu einem unangemessenen Zugriff durch Drittstaaten führen kann.
  • Für besonders sensible Daten (z. B. Gesundheits-, Beschäftigten- oder Forschungsdaten) kann dies ein Verstoß gegen die Grundsätze nach Art. 5 DSGVO darstellen.

Empfehlung:

  • Datenminimierung bei Cloud-Diensten: Nur notwendige Daten in die Cloud geben.
  • Prüfen, ob besonders schützenswerte Daten in der EU-Cloud verarbeitet werden.
  • Technische Schutzmaßnahmen wie verschlüsselte Datenspeicherungen mit eigenen Schlüsseln (beispielsweise bei der Nutzung von OneDrive) implementieren.
  • Alternativen, z.B. Dienste von EU-Dienstleistern, prüfen.

📞 Unterstützung durch den Datenschutzbeauftragten

Gerne unterstütze ich Sie bei:

  • der Risikoanalyse und Bewertung Ihrer Microsoft-Dienste,
  • der Überprüfung Ihrer AV-Verträge und TOMs,
  • sowie bei der Umsetzung technischer und organisatorischer Schutzmaßnahmen.

Bleiben Sie aktiv.

Bei Rückfragen stehe ich Ihnen wie immer gerne zur Verfügung.

Jetzt Kontakt aufnehmen!

Bei Fragen und Anmerkungen stehen wir Ihnen gerne zur Verfügung.

Not readable? Change text. captcha txt

Start typing and press Enter to search

US-Cloud sinken?
Aktuelle Risiken nicht europäischer Clouddienste!Betroffenenrechte, Datenschutz, Drittanbieter
OS-Plattform zur Online-Streitbeilegung eingestelltMandantenanschreiben