Google hat für Google Drive zwei neue Sicherheitsfunktionen allgemein freigegeben: eine Ransomware-Erkennung und eine massenhafte Dateiwiederherstellung. Nach einer Beta-Phase, die im September 2025 startete, stehen beide Funktionen nun zur Verfügung.

Die Ransomware-Erkennung arbeitet im Desktop-Client von Drive. Erkennt der Client verdächtige Aktivität, stoppt er automatisch die Synchronisation. Das überarbeitete KI-Modell erkennt dabei laut Google 14-mal mehr Infektionsarten als noch in der Beta-Phase. Der Nutzer sieht eine Warnung auf seinem Rechner und erhält ebenfalls eine E-Mail; der zuständige Administrator bekommt parallel eine E-Mail und einen Alert im Security Center der Admin Console. So soll verhindert werden, dass verschlüsselte Dateien in die Cloud wandern und dort intakte Versionen überschreiben.

Zusätzlich können Nutzer jetzt mehrere Dateien mit einem Schlag auf einen früheren Stand zurücksetzen – etwa auf den Zeitpunkt vor einem Ransomware-Befall. Das erspart das mühsame Wiederherstellen einzelner Dateien und soll laut Googles Ankündigung dafür sorgen, dass Betroffene kein Lösegeld zahlen müssen.

Standardmäßig aktiviert

Beide Funktionen sind standardmäßig aktiv. Administratoren können sie in der Admin Console unter den Einstellungen für Drive und Docs auf Ebene einzelner Organisationseinheiten ein- oder ausschalten. Für die vollständige Alert-Funktionalität der Erkennung setzt Google mindestens Version 114 von Drive for Desktop voraus. Bei älteren Versionen pausiert die Synchronisation im Verdachtsfall zwar ebenfalls, die Desktop-Benachrichtigung fehlt jedoch.

Die Dateiwiederherstellung steht allen Google-Workspace-Kunden, Workspace-Individual-Abonnenten und Nutzern mit privatem Google-Konto offen. Die Ransomware-Erkennung beschränkt Google dagegen auf ausgewählte Tarife: Business Standard und Plus, die Enterprise-Editionen Starter, Standard und Plus sowie Education Standard und Plus und Frontline Standard und Plus.

(fo)

In Episode 156 des c’t-Datenschutz-Podcasts Auslegungssache widmen sich Redakteur Holger Bleich und heise-Verlagsjustiziar Joerg Heidrich einem Thema, das die Datenschutzwelt umtreibt wie kaum ein anderes: Microsoft 365. Zu Gast ist Kai Korte, Geschäftsführer der lexICT GmbH, Rechtsanwalt für IT- und Datenschutzrecht in Hannover und Lehrbeauftragter an der Hochschule Hannover.

Zunächst beleuchten die drei eine auffällige aktuelle Entwicklung: Die Zahl der Datenschutzbeschwerden hat sich bei einigen Aufsichtsbehörden nahezu verdoppelt, wie aus den neuen Tätigkeitsberichten hervorgeht. Baden-Württemberg verzeichnete 2025 einen Anstieg von rund 4000 im Jahr 2024 auf über 7600, Hamburg von 2600 auf 4200. Mehrere Behörden führen das auch auf KI-generierte Beschwerden zurück. Betroffene lassen sich offenbar per Chatbot fertige Texte erstellen und schicken diese an die Aufsicht. Die Behörden warnen, dass sie an ihre Kapazitätsgrenzen stoßen.

Ebenfalls Thema ist ein aktuelles Urteil des Europäischen Gerichtshofs (EuGH) zum Auskunftsrecht. Im Fall „Brillen Rottler“ entschied das Gericht, dass bereits ein erster Auskunftsantrag als rechtsmissbräuchlich eingestuft werden kann. Ein Mann hatte sich zum Newsletter eines Optikers angemeldet und nur 13 Tage später ein umfassendes Auskunftsersuchen gestellt. Der EuGH setzt allerdings hohe Hürden: Der Verantwortliche muss objektiv nachweisen, dass der Antragsteller gar nicht die Ziele des Datenschutzrechts verfolgt, und er muss zusätzlich eine missbräuchliche Absicht belegen. Korte warnt davor, das Urteil vorschnell zu verallgemeinern, es bleibe ein Ausnahmefall.

Minenfeld Microsoft 365

Dann steigen die drei ins Hauptthema ein: Microsoft 365. Bleich macht zunächst deutlich, wie komplex das Produktuniversum ist. Hinter dem Namen verbergen sich zahlreiche Einzelprodukte – von Office-Anwendungen bis zu Teams und SharePoint. Die Preise reichen von knapp 11 Euro pro Nutzer und Monat für kleinere Unternehmen bis über 55 Euro im großen Enterprise-Paket. Viele Sicherheitsfunktionen sind nur in den teuren Varianten enthalten und Microsoft verschiebt regelmäßig Features zwischen den Paketen.

Datenschutzrechtlich bleibt Microsoft 365 ein Minenfeld. Zwar nimmt der US-Konzern am Transatlantic Data Privacy Framework teil, was den Datentransfer in die USA formal absichert. Korte weist aber darauf hin, dass der Cloud Act und weitreichende Zugriffsbefugnisse US-amerikanischer Behörden weiterhin problematisch sind. Microsoft sichert vertraglich zu, Daten europäuscher Unternehmen innerhalb der EU zu speichern -– die sogenannte EU Data Boundary. Doch Wartungszugriffe aus den USA sind weiterhin möglich und ein Microsoft-Chefjustiziar räumte öffentlich ein, dass man sich einem US-Herausgabebeschluss kaum widersetzen könnte.

Ein zentraler Kritikpunkt betrifft die Verarbeitung von Telemetrie- und Diagnosedaten. Microsoft sammelt im Hintergrund umfangreich Metadaten – Anmeldezeiten, Gesprächsdauern, Teilnehmerlisten, Nutzeraktivitäten. Welche Datenfelder genau erfasst werden und was damit geschieht, bleibt weitgehend intransparent. Der hessische Datenschutzbeauftragte hat Ende 2025 einen Bericht veröffentlicht, der den Einsatz von Microsoft 365 in öffentlichen Stellen unter bestimmten Bedingungen für möglich erklärt. Allerdings hat er sich dabei ausschließlich auf Microsofts eigene Angaben verlassen, ohne die Datenflüsse technisch zu überprüfen.

Pragmatisch betrachtet: Einsatz ist möglich

Bleich verweist zudem auf Microsofts Zusatzprodukte Sentinel und Purview, mit denen Unternehmen das Verhalten ihrer Mitarbeiter analysieren können – bis hin zur KI-gestützten Erkennung potenzieller Whistleblower oder Datendiebe (hören Sie speziell hierzu die Episode 123 der Auslegungssache). Korte räumt ein, dass Purview ein mächtiges Sicherheitswerkzeug sei, warnt aber vor dem schmalen Grat zwischen legitimer Sicherheitsüberwachung und unzulässigem Profiling von Beschäftigten.

Ob Unternehmen vor dem Einsatz von Microsoft 365 eine Datenschutz-Folgenabschätzung durchführen müssen, beantwortet Korte differenziert: Die Aufsichtsbehörden fordern das zwar, doch bei kleineren Unternehmen ohne besondere Datenkategorien sei das nicht zwingend erforderlich. Sinnvoll sei es aber allemal, sich einen Überblick über die verarbeiteten Daten zu verschaffen. Pragmatisch betrachtet könne man Microsoft 365 nutzen, solange man die Risiken kenne und die Konfiguration im Griff habe.

Am Ende bleibt die Frage nach Alternativen. Bleich weist auf Nextcloud-basierte Lösungen hin und kommt zu einem ernüchternden Ergebnis: Für die alltägliche Arbeit in größeren Unternehmen reichen diese Produkte nicht an Microsoft 365 heran. Eine neue Initiative namens „Euro-Office“ von Ionos und Nextcloud soll im Sommer starten, doch ob sie den Rückstand aufholen kann, bleibt abzuwarten.

Korte ergänzt, dass auch das OpenDesk-Projekt für die öffentliche Verwaltung ein Schritt in Richtung digitale Souveränität sei. Die drei sind sich einig: Europäische Alternativen sind dringend nötig, aber noch nicht konkurrenzfähig. Die Abhängigkeit von Microsoft bleibt vorerst bestehen – und damit bleiben auch die datenschutzrechtlichen Bauchschmerzen.

Episode 156:

Hier geht es zu allen bisherigen Folgen:

(hob)

Die Pläne der Bundesregierung, die Befugnisse für Sicherheitsbehörden bei der digitalen Fahndung auszuweiten, gefährden Grundrechte. Zu diesem Schluss kommen mehrere zivilgesellschaftliche Organisationen in ihrer gemeinsamen Stellungnahme zu den Gesetzentwürfen aus dem Bundesjustiz- und Bundesinnenministerium. „Wir betonen, dass eine grundrechtskonforme Ausgestaltung dieser Befugnisse auch durch Nachbesserungen im Verfahrensrecht nicht erreichbar wäre“, heißt es in der Stellungnahme: „Die genannten Mängel sind keine bloßen Ausgestaltungsfehler, sondern symptomatisch für das strukturelle Defizit des gesamten Regelungsvorhabens.“

Die Organisationen, darunter Amnesty International und der Chaos Computer Club, bemängeln unter anderem das Fehlen eines richterlichen Vorbehalts, die ungenügende Transparenz für Betroffene und unzureichende Dokumentation der Arbeitsweise der KI-Systeme. Es fehlten zudem Einschränkungen bei Form und Umfang der einbezogenen Daten und bei den Analysemethoden. Ferner drohten schwerwiegende Grundrechtseingriffe durch Privatunternehmen.

In der Konsequenz empfiehlt die Stellungnahme die vollständige Rücknahme der Gesetzesentwürfe und stattdessen ein gesetzliches Verbot „biometrischer Massenerkennungssysteme“ sowie verbindliche Regeln zu Transparenz, Kontrolle und Haftung für die algorithmische Datenanalyse.

Wer im Internet zu sehen ist, ist betroffen

Die Bundesregierung will der Polizei erlauben, für die Strafverfolgung und Terrorismusbekämpfung künftig das Internet nach Gesichtern zu durchsuchen. Ein Fahndungsfoto soll dafür mit allen im öffentlichen Internet auffindbaren Gesichtern biometrisch abgeglichen werden können. Bundesjustizministerin Stefanie Hubig (SPD) und Bundesinnenminister Alexander Dobrindt (CSU) haben sich dazu auf mehrere Gesetzentwürfe geeinigt.

Das Bündnis kritisiert, damit würde de facto die Infrastruktur für eine flächendeckende Verfolgbarkeit der Bevölkerung geschaffen. Der Einsatz von KI-Systeme wie PimEyes oder Clearview AI für die biometrische Fahndung bezeichnet die Stellungnahme als Eingriff „in das Recht auf informationelle Selbstbestimmung aller Menschen ein, die im Internet Fotos, Videos und andere Inhalte mit biometrischen Merkmalen veröffentlichen, ohne dass diese dafür einen Anlass gegeben hätten“. Mit dem Grundrecht auf informationelle Selbstbestimmung sowie dem Recht auf den Schutz personenbezogener Daten sei dies nicht vereinbar.

Selbst Personen, die ohne ihr eigenes Zutun im Hintergrund von öffentlich zugänglichem Bildmaterial auftauchten, drohe so die Verarbeitung ihrer biometrischen Daten. Indirekt werde damit auch die Meinungs- und Versammlungsfreiheit eingeschränkt: Wer befürchten muss, aufgrund der Teilnahme an einer Versammlung biometrisch erfasst zu werden, verzichte möglicherweise gänzlich – es drohe ein Abschreckungseffekt, der die Wahrnehmung der eigenen Grundrechte verhindere.

Empirische Daten zeigten zudem, dass insbesondere People of Color häufig zu Unrecht von polizeilichen Maßnahmen betroffen seien. Es drohe damit eine Gefährdung des Diskriminierungsverbots.

KI-Systeme sollen polizeiliche „Super-Datenbank“ schaffen

Ein weiterer Gesetzesentwurf sieht eine automatisierte Datenanalyse mittels KI-Systemen wie Palantir vor. Massenhafte Datenbestände der Bundes- und Landespolizeibehörden sollen dafür zusammengeführt und algorithmisch ausgewertet werden – unabhängig vom Einzelfall. Die Daten von Opfern, Zeug:innen und gänzlich unbeteiligten Personen würden dann Teil derselben „Super-Datenbank“. Das Resultat wären tiefgreifende Persönlichkeitsprofile auf der Basis algorithmisch ausgewerteter massenhafter Datenbestände.

Eine solche Analyse ermögliche Schlussfolgerungen, „die weit über die ursprünglichen Erhebungszwecke der analysierten Daten und auch über das Ziel der eigentlichen Suchanfrage an das Analysesystem hinausgehen“, heißt es in der Stellungnahme: „Solche Systeme sind strukturell fehleranfällig, intransparent und diskriminierungsfördernd. Dies gilt in verstärktem Maße für KI-Systeme, die auch nach Einführung weiterhin selbstlernend sind und in den Entwürfen nicht ausgeschlossen werden.“

Das Vorhaben der Bundesregierung knüpft an die Debatte um das sogenannte Sicherheitspaket im Herbst 2024 an. Die damalige Ampel-Regierung scheiterte mit ihren Plänen, weil den Ländern die geplanten Überwachungsbefugnisse nicht weit genug gingen.

Die Europäische Union verbietet laut KI-Verordnung eigentlich die massenhafte Verarbeitung von Gesichtsbildern zu biometrischen Datenbanken. Die aktuellen Entwürfe der Bundesregierung stellen demnach einen Versuch dar, das EU-Verbot zu umgehen. Auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) kritisiert die Gesetzesinitiativen zur Erweiterung digitaler Ermittlungsbefugnisse und kommt dabei ebenfalls zu dem Schluss: „In der vorgesehenen Form sind diese Befugnisse nicht mit den verfassungsrechtlichen Vorgaben vereinbar. Sie gefährden die verfassungsrechtlich geschützten Rechte Unbeteiligter erheblich.“