In Episode 156 des c’t-Datenschutz-Podcasts Auslegungssache widmen sich Redakteur Holger Bleich und heise-Verlagsjustiziar Joerg Heidrich einem Thema, das die Datenschutzwelt umtreibt wie kaum ein anderes: Microsoft 365. Zu Gast ist Kai Korte, Geschäftsführer der lexICT GmbH, Rechtsanwalt für IT- und Datenschutzrecht in Hannover und Lehrbeauftragter an der Hochschule Hannover.

Zunächst beleuchten die drei eine auffällige aktuelle Entwicklung: Die Zahl der Datenschutzbeschwerden hat sich bei einigen Aufsichtsbehörden nahezu verdoppelt, wie aus den neuen Tätigkeitsberichten hervorgeht. Baden-Württemberg verzeichnete 2025 einen Anstieg von rund 4000 im Jahr 2024 auf über 7600, Hamburg von 2600 auf 4200. Mehrere Behörden führen das auch auf KI-generierte Beschwerden zurück. Betroffene lassen sich offenbar per Chatbot fertige Texte erstellen und schicken diese an die Aufsicht. Die Behörden warnen, dass sie an ihre Kapazitätsgrenzen stoßen.

Ebenfalls Thema ist ein aktuelles Urteil des Europäischen Gerichtshofs (EuGH) zum Auskunftsrecht. Im Fall „Brillen Rottler“ entschied das Gericht, dass bereits ein erster Auskunftsantrag als rechtsmissbräuchlich eingestuft werden kann. Ein Mann hatte sich zum Newsletter eines Optikers angemeldet und nur 13 Tage später ein umfassendes Auskunftsersuchen gestellt. Der EuGH setzt allerdings hohe Hürden: Der Verantwortliche muss objektiv nachweisen, dass der Antragsteller gar nicht die Ziele des Datenschutzrechts verfolgt, und er muss zusätzlich eine missbräuchliche Absicht belegen. Korte warnt davor, das Urteil vorschnell zu verallgemeinern, es bleibe ein Ausnahmefall.

Minenfeld Microsoft 365

Dann steigen die drei ins Hauptthema ein: Microsoft 365. Bleich macht zunächst deutlich, wie komplex das Produktuniversum ist. Hinter dem Namen verbergen sich zahlreiche Einzelprodukte – von Office-Anwendungen bis zu Teams und SharePoint. Die Preise reichen von knapp 11 Euro pro Nutzer und Monat für kleinere Unternehmen bis über 55 Euro im großen Enterprise-Paket. Viele Sicherheitsfunktionen sind nur in den teuren Varianten enthalten und Microsoft verschiebt regelmäßig Features zwischen den Paketen.

Datenschutzrechtlich bleibt Microsoft 365 ein Minenfeld. Zwar nimmt der US-Konzern am Transatlantic Data Privacy Framework teil, was den Datentransfer in die USA formal absichert. Korte weist aber darauf hin, dass der Cloud Act und weitreichende Zugriffsbefugnisse US-amerikanischer Behörden weiterhin problematisch sind. Microsoft sichert vertraglich zu, Daten europäuscher Unternehmen innerhalb der EU zu speichern -– die sogenannte EU Data Boundary. Doch Wartungszugriffe aus den USA sind weiterhin möglich und ein Microsoft-Chefjustiziar räumte öffentlich ein, dass man sich einem US-Herausgabebeschluss kaum widersetzen könnte.

Ein zentraler Kritikpunkt betrifft die Verarbeitung von Telemetrie- und Diagnosedaten. Microsoft sammelt im Hintergrund umfangreich Metadaten – Anmeldezeiten, Gesprächsdauern, Teilnehmerlisten, Nutzeraktivitäten. Welche Datenfelder genau erfasst werden und was damit geschieht, bleibt weitgehend intransparent. Der hessische Datenschutzbeauftragte hat Ende 2025 einen Bericht veröffentlicht, der den Einsatz von Microsoft 365 in öffentlichen Stellen unter bestimmten Bedingungen für möglich erklärt. Allerdings hat er sich dabei ausschließlich auf Microsofts eigene Angaben verlassen, ohne die Datenflüsse technisch zu überprüfen.

Pragmatisch betrachtet: Einsatz ist möglich

Bleich verweist zudem auf Microsofts Zusatzprodukte Sentinel und Purview, mit denen Unternehmen das Verhalten ihrer Mitarbeiter analysieren können – bis hin zur KI-gestützten Erkennung potenzieller Whistleblower oder Datendiebe (hören Sie speziell hierzu die Episode 123 der Auslegungssache). Korte räumt ein, dass Purview ein mächtiges Sicherheitswerkzeug sei, warnt aber vor dem schmalen Grat zwischen legitimer Sicherheitsüberwachung und unzulässigem Profiling von Beschäftigten.

Ob Unternehmen vor dem Einsatz von Microsoft 365 eine Datenschutz-Folgenabschätzung durchführen müssen, beantwortet Korte differenziert: Die Aufsichtsbehörden fordern das zwar, doch bei kleineren Unternehmen ohne besondere Datenkategorien sei das nicht zwingend erforderlich. Sinnvoll sei es aber allemal, sich einen Überblick über die verarbeiteten Daten zu verschaffen. Pragmatisch betrachtet könne man Microsoft 365 nutzen, solange man die Risiken kenne und die Konfiguration im Griff habe.

Am Ende bleibt die Frage nach Alternativen. Bleich weist auf Nextcloud-basierte Lösungen hin und kommt zu einem ernüchternden Ergebnis: Für die alltägliche Arbeit in größeren Unternehmen reichen diese Produkte nicht an Microsoft 365 heran. Eine neue Initiative namens „Euro-Office“ von Ionos und Nextcloud soll im Sommer starten, doch ob sie den Rückstand aufholen kann, bleibt abzuwarten.

Korte ergänzt, dass auch das OpenDesk-Projekt für die öffentliche Verwaltung ein Schritt in Richtung digitale Souveränität sei. Die drei sind sich einig: Europäische Alternativen sind dringend nötig, aber noch nicht konkurrenzfähig. Die Abhängigkeit von Microsoft bleibt vorerst bestehen – und damit bleiben auch die datenschutzrechtlichen Bauchschmerzen.

Episode 156:

Hier geht es zu allen bisherigen Folgen:

(hob)

Die Pläne der Bundesregierung, die Befugnisse für Sicherheitsbehörden bei der digitalen Fahndung auszuweiten, gefährden Grundrechte. Zu diesem Schluss kommen mehrere zivilgesellschaftliche Organisationen in ihrer gemeinsamen Stellungnahme zu den Gesetzentwürfen aus dem Bundesjustiz- und Bundesinnenministerium. „Wir betonen, dass eine grundrechtskonforme Ausgestaltung dieser Befugnisse auch durch Nachbesserungen im Verfahrensrecht nicht erreichbar wäre“, heißt es in der Stellungnahme: „Die genannten Mängel sind keine bloßen Ausgestaltungsfehler, sondern symptomatisch für das strukturelle Defizit des gesamten Regelungsvorhabens.“

Die Organisationen, darunter Amnesty International und der Chaos Computer Club, bemängeln unter anderem das Fehlen eines richterlichen Vorbehalts, die ungenügende Transparenz für Betroffene und unzureichende Dokumentation der Arbeitsweise der KI-Systeme. Es fehlten zudem Einschränkungen bei Form und Umfang der einbezogenen Daten und bei den Analysemethoden. Ferner drohten schwerwiegende Grundrechtseingriffe durch Privatunternehmen.

In der Konsequenz empfiehlt die Stellungnahme die vollständige Rücknahme der Gesetzesentwürfe und stattdessen ein gesetzliches Verbot „biometrischer Massenerkennungssysteme“ sowie verbindliche Regeln zu Transparenz, Kontrolle und Haftung für die algorithmische Datenanalyse.

Wer im Internet zu sehen ist, ist betroffen

Die Bundesregierung will der Polizei erlauben, für die Strafverfolgung und Terrorismusbekämpfung künftig das Internet nach Gesichtern zu durchsuchen. Ein Fahndungsfoto soll dafür mit allen im öffentlichen Internet auffindbaren Gesichtern biometrisch abgeglichen werden können. Bundesjustizministerin Stefanie Hubig (SPD) und Bundesinnenminister Alexander Dobrindt (CSU) haben sich dazu auf mehrere Gesetzentwürfe geeinigt.

Das Bündnis kritisiert, damit würde de facto die Infrastruktur für eine flächendeckende Verfolgbarkeit der Bevölkerung geschaffen. Der Einsatz von KI-Systeme wie PimEyes oder Clearview AI für die biometrische Fahndung bezeichnet die Stellungnahme als Eingriff „in das Recht auf informationelle Selbstbestimmung aller Menschen ein, die im Internet Fotos, Videos und andere Inhalte mit biometrischen Merkmalen veröffentlichen, ohne dass diese dafür einen Anlass gegeben hätten“. Mit dem Grundrecht auf informationelle Selbstbestimmung sowie dem Recht auf den Schutz personenbezogener Daten sei dies nicht vereinbar.

Selbst Personen, die ohne ihr eigenes Zutun im Hintergrund von öffentlich zugänglichem Bildmaterial auftauchten, drohe so die Verarbeitung ihrer biometrischen Daten. Indirekt werde damit auch die Meinungs- und Versammlungsfreiheit eingeschränkt: Wer befürchten muss, aufgrund der Teilnahme an einer Versammlung biometrisch erfasst zu werden, verzichte möglicherweise gänzlich – es drohe ein Abschreckungseffekt, der die Wahrnehmung der eigenen Grundrechte verhindere.

Empirische Daten zeigten zudem, dass insbesondere People of Color häufig zu Unrecht von polizeilichen Maßnahmen betroffen seien. Es drohe damit eine Gefährdung des Diskriminierungsverbots.

KI-Systeme sollen polizeiliche „Super-Datenbank“ schaffen

Ein weiterer Gesetzesentwurf sieht eine automatisierte Datenanalyse mittels KI-Systemen wie Palantir vor. Massenhafte Datenbestände der Bundes- und Landespolizeibehörden sollen dafür zusammengeführt und algorithmisch ausgewertet werden – unabhängig vom Einzelfall. Die Daten von Opfern, Zeug:innen und gänzlich unbeteiligten Personen würden dann Teil derselben „Super-Datenbank“. Das Resultat wären tiefgreifende Persönlichkeitsprofile auf der Basis algorithmisch ausgewerteter massenhafter Datenbestände.

Eine solche Analyse ermögliche Schlussfolgerungen, „die weit über die ursprünglichen Erhebungszwecke der analysierten Daten und auch über das Ziel der eigentlichen Suchanfrage an das Analysesystem hinausgehen“, heißt es in der Stellungnahme: „Solche Systeme sind strukturell fehleranfällig, intransparent und diskriminierungsfördernd. Dies gilt in verstärktem Maße für KI-Systeme, die auch nach Einführung weiterhin selbstlernend sind und in den Entwürfen nicht ausgeschlossen werden.“

Das Vorhaben der Bundesregierung knüpft an die Debatte um das sogenannte Sicherheitspaket im Herbst 2024 an. Die damalige Ampel-Regierung scheiterte mit ihren Plänen, weil den Ländern die geplanten Überwachungsbefugnisse nicht weit genug gingen.

Die Europäische Union verbietet laut KI-Verordnung eigentlich die massenhafte Verarbeitung von Gesichtsbildern zu biometrischen Datenbanken. Die aktuellen Entwürfe der Bundesregierung stellen demnach einen Versuch dar, das EU-Verbot zu umgehen. Auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) kritisiert die Gesetzesinitiativen zur Erweiterung digitaler Ermittlungsbefugnisse und kommt dabei ebenfalls zu dem Schluss: „In der vorgesehenen Form sind diese Befugnisse nicht mit den verfassungsrechtlichen Vorgaben vereinbar. Sie gefährden die verfassungsrechtlich geschützten Rechte Unbeteiligter erheblich.“

Die EU-Kommission geht härter gegen digitale Spionage vor. Sie hat ihre ranghöchsten Beamten angewiesen, eine zentrale Signal-Gruppe zur internen Kommunikation umgehend aufzulösen. Betroffen von dieser Maßnahme sind laut Politico vor allem Abteilungsleiter und deren Stellvertreter. Hintergrund der Anordnung ist die Furcht, dass die Chatgruppe zum Ziel gezielter Cyberangriffe geworden sein könnte.

Offiziell kommentiert die Brüsseler Regierungsinstitution interne Sicherheitsvorgaben nicht. Der Schritt verdeutlicht aber die wachsende Nervosität in Brüssel angesichts einer Reihe von Cyberattacken, die die EU-Institutionen in jüngster Zeit erschüttert haben.

Die Entscheidung fiel dem Bericht zufolge, nachdem die Kommission im vorigen Monat auf die Existenz der Gruppe aufmerksam wurde und das Risiko einer Kompromittierung als zu hoch einstufte. Zwar gibt es bislang keine Beweise, dass tatsächlich Kommunikation abgefangen wurde. Doch die Bedrohungslage hat sich verschärft. Erst kürzlich wurde ein privates Telefonat zwischen einem Journalisten und einem EU-Beamten abgefangen und veröffentlicht. Zudem berichten Insider von raffinierten Phishing-Versuchen. Damit sollten auch Kabinettsmitglieder dazu verleitet werden, ihre Signal-PIN-Codes preiszugeben. So hätten sie die Kontrolle über ihre Accounts verloren.

Wenn Verschlüsselung an Grenzen stößt

Sven Herpig von der Denkfabrik Interface warnt, dass die Qualität staatlich gesteuerter Cyberoperationen stetig zunimmt. Signal gilt zwar nach wie vor als eine der sichersten Optionen. Doch die Sicherheit endet, wenn das Endgerät selbst kompromittiert wird. Erlangt ein Angreifer Kontrolle über das Smartphone, nützt die beste Ende-zu-Ende-Verschlüsselung wenig: Chats und Bilder können dann direkt auf dem Gerät ausgelesen werden. Herpig betont aber, dass es derzeit kaum bessere Alternativen zu verschlüsselten Messengern wie Signal oder Threema gebe.

Kommerzielle Messenger sind eigentlich für den Privatgebrauch konzipiert. Matthew Hodgson vom Messenger-Dienst Element moniert, dass grundlegende Funktionen für Behörden fehlten. So gebe es keine zentrale Benutzerverwaltung, um Mitarbeiter beim Ausscheiden aus dem Dienst automatisch aus allen Gruppen zu entfernen. Ferner existierten keine sicheren Authentifizierungsschnittstellen, wie sie in staatlichen IT-Infrastrukturen üblich sind. Dass solche Defizite fatale Folgen haben können, zeigte etwa das „Signal-Gate“. Dabei landete ein Journalist in einer Gruppe, in der hochrangige US-Politiker Militärschläge besprachen.

Die Kommission reagiert nun mit verschärften IT-Richtlinien und einer regelmäßigen Überprüfung der Mitarbeiter-Hardware. Zugleich laufen Untersuchungen zu einem Angriff auf ihre Webseiten, bei dem vieles auf einen Datendiebstahl hindeutet. Bereits im Januar wurde die technische Infrastruktur zur Verwaltung mobiler Geräte attackiert, was Unbekannten Zugriff auf Namen und Mobilnummern ermöglichte. Erst jüngst warnten niederländische Behörden vor einer globalen Kampagne, bei der russische Cyberkriminelle gefälschte Signal-Support-Bots einsetzen, um Nutzer in die Falle zu locken.

(kbe)