Office-Programme kennt jeder. Mit dem Schreibprogramm verfasst man Texte und Briefe, die Tabellenkalkulation hilft bei der Verwaltung von Zahlen und Listen. Das Präsentationsprogramm unterstützt, Vorträge zu gestalten. Die meisten Menschen nutzen dafür MS Office 365 – aus Datenschutzgründen umstritten.
Besonders in Firmen sind die Inhalte, die wir mit Office-Programmen verarbeiten, oftmals vertraulich. Das gilt allerdings auch für Privatpersonen. Daher sollte man ganz genau hinschauen, wo und womit man seine Daten verarbeitet. Wer Office 365 oder M 365 nutzt, muss allerdings davon ausgehen, dass seine Daten nicht vertraulich bleiben. Das liegt schlicht daran, dass diese Daten auf Servern gespeichert sind und verarbeitet werden, die Microsoft gehören. Microsoft ist ein US-amerikanisches Unternehmen und unterliegt damit amerikanischem Recht.
In den USA gibt es Gesetze, nach denen amerikanische Behörden und Nachrichtendienste von amerikanischen Unternehmen – also auch von Microsoft – die Herausgabe der Daten ausländischer Kunden verlangen können. Dagegen gibt es keinerlei Rechtsschutz. Microsoft muss die Daten auf Verlangen herausgeben. Die betroffenen Kunden erfahren davon in der Regel nichts.
Die DSGVO (Datenschutz-Grundverordnung) sieht einen Ermessensspielraum vor, um zu beurteilen, ob man dennoch Daten mit personenbezogenen Informationen auf Servern speichern darf, die amerikanischen Unternehmen gehören. Das sogenannte Schrems II-Urteil des Europäischen Gerichtshofs (EuGH) macht es noch schwieriger, personenbezogene Daten auf Servern zu speichern, die zu amerikanischen Unternehmen gehören. Denn dieses Urteil reduziert den Ermessensspielraum auf null. Allein die Möglichkeit, dass amerikanische Behörden und Nachrichtendienste auf diese Daten zugreifen können, reicht aus, um gegen den Datenschutz zu verstoßen.
Übersetzt heißt das, dass personenbezogene Daten im Grunde nicht auf Servern gespeichert werden dürfen, die zu amerikanischen Unternehmen gehören. Eine Ausnahme gäbe es, wenn diese Daten dort verschlüsselt gespeichert wären. Das ist zwar bei MS Office 365 grundsätzlich möglich, aber sobald Sie die Daten bearbeiten, sind sie entschlüsselt – und der nach unserem Recht unerlaubte Zugriff ist wieder möglich. Daher ist es grundsätzlich problematisch, im Geschäftsleben personenbezogene Daten mit MS Office 365 zu verarbeiten.
Metadaten lassen sich relativ leicht Personen zuordnen
Microsoft selbst erhöht dieses Risiko noch weiter, denn das Unternehmen führt Metadaten von Dokumenten und Dateien an eigene Schnittstellen ab, teilweise an mehrere. Metadaten sind Informationen wie „Wem gehört die Datei, wer hat sie noch bearbeitet, wie oft wurde sie bearbeitet, wurde sie an Dritte versandt?“ und vieles, vieles mehr. Das ist ein Verstoß gegen die Bestimmungen der DSGVO in Zusammenhang mit dem Urteil des Europäischen Gerichtshofs in Sachen Schrems II.
Ein Problem aus Datenschutzgründen ist dies deswegen, weil man aus den genannten Metadaten Profile erstellen kann. Das Argument, die Daten seien alle anonym, ist nichtig, denn Wissenschaftler haben mehrfach nachgewiesen, dass bereits vier Metadaten ausreichen, um deren Informationen einer bestimmbaren natürlichen Person zuordnen zu können. Es geht aber weder Microsoft noch andere, denen Microsoft diese Daten verkaufen könnte, etwas an, ob Leo Lebemann Schulden hat oder Udo Untreu Unterhalt an Frauen zahlen muss, mit denen er Kinder hat. Oder ob jemand eine bestimmte Krankheit hat oder vielleicht eine Jugendstrafe absitzen musste.
Es gibt aber Alternativen, die deutlich sicherer und oftmals auch kostengünstiger sind. Das öffentliche Unternehmen Dataport etwa bietet eine Alternative für öffentliche Einrichtungen. Vielleicht ist sie auch für Unternehmen geeignet. Office-Programmsammlungen, die kostenlos zur Verfügung stehen, sind beispielsweise die Lösungen Libre Office, Apache Open Office oder Only Office. Was einem persönlich am ehesten zusagt, muss jeder für sich selbst entscheiden. Der Autor dieses Textes nutzt seit vielen Jahren die Open-Source-Suite Libre Office. Open Source heißt „offener Programmcode“. Es kann also jeder sehen, wie die Programme programmiert sind und was sie mit den Daten der Nutzer machen.
In Libre Office gibt es die Möglichkeit, unter dem Menüpunkt Extras > Optionen > Laden / Speichern > Allgemein > Immer speichern als, einzustellen, in welchem Dateiformat man seine Dateien ablegen möchte. Das kann dann auch ein Office-365-Format sein, sodass auch Nutzer von Office 365 die eigenen Dateien, die mit dem sicheren Libre Office erstellt wurden, lesen können, ohne dass man sie „umspeichern“ muss. Diese Einstellung gibt es in allen Teilprogrammen von Libre Office. Man nimmt sie einmal vor und arbeitet fortan kompatibel zu Microsoft-Produkten.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sogar eine kostenlose Anleitung bereitgestellt, die erklärt, wie man mit Libre Office Dateien erstellt, die keine Metadaten enthalten. Damit können auch Dritte, denen man Dokumente schickt, nicht sehen, wie oft was von wem geändert, gespeichert oder gedruckt wurde. Das und vieles mehr sind nämlich Informationen, die man neben dem offensichtlichen Inhalt von Dokumenten und Dateien meistens aus diesen herauslesen kann – wenn man weiß, wie es geht.
Office 365 bietet allerdings mehr als die bisher erwähnten Möglichkeiten. So können mehrere Nutzer gleichzeitig an einem Dokument arbeiten, denn manchmal braucht man das. Aber auch hierfür gibt es Alternativen: Der Anbieter Tresorit bietet einen Cloud-Speicher an, der es ermöglicht, dass Dokumente und Dateien Ende-zu-Ende-verschlüsselt auf seinen Servern lagern. Dabei werden die Daten auf dem Ausgangsgerät sicher verschlüsselt, anschließend so verschlüsselt über ebenfalls verschlüsselte Datenleitungen auf die Server von Tresorit transportiert. Erst ein berechtigter Nutzer kann die Daten auf seinem Endgerät wieder entschlüsseln. Es gibt also nirgends eine Lücke, bei der jemand unbefugt auf diese Daten zugreifen könnte. Relativ neu im Angebot von Tresorit ist zudem ein verschlüsselter E-Mail-Service, der sogar die Betreffzeilen verschlüsselt. Das bietet ein deutliches Plus an Sicherheit. Tresorit ist ein Schweizer Unternehmen und unterliegt ähnlich strengem Datenschutz, wie ihn die DSGVO verlangt.
Daten interessanter als viele denken
Einen vergleichbaren Service mit entsprechender Sicherheit bietet auch Proton an. Auch Proton ist ein Schweizer Unternehmen. Es stellt neben sicherem Onlinespeicher mit Ende-zu-Ende-Verschlüsselung auch sichere E-Mail-Konten zur Verfügung. Ebenso wie bei Tresorit ist es leicht möglich, verschlüsselte E-Mails an Personen zu verschicken, die noch nie etwas von E-Mail-Verschlüsselung gehört haben. Empfänger müssen in beiden Fällen nichts zusätzlich installieren. Dennoch ist eine ausgesprochen sichere Kommunikation auch über E-Mails möglich. Das bietet Office 365 nicht an. Beide Anbieter haben zudem verschlüsselte Kalender im Portfolio. Sie sind automatisch mit dabei. Denn in Kalendern stehen oftmals Informationen, die Dritte wie Microsoft nichts angehen.
Das deutsche Unternehmen Tutanota bietet ebenfalls sicheres E-Mailing mit einfacher Ende-zu-Ende-Verschlüsselung und verschlüsselten Kalendern an. Die drei Unternehmen haben teilweise recht unterschiedliche Angebote, sodass jeder für sich entscheiden muss, was für ihn das Richtige ist. Auf jeden Fall bieten alle drei erheblich mehr Datensicherheit als Office 365. Alle drei bieten zudem kostenlose Test-Accounts an, die teilweise sogar dauerhaft einsetzbar sind. Nur ist der Funktions- und Speicherumfang dann eingeschränkt. Zum Ausprobieren reicht es aber allemal.
Auch wer jetzt glaubt, als Privatperson nichts zu verbergen zu haben, irrt sich. Wir haben alle viel zu verbergen, denn es geht niemanden etwas an, was wir privat machen oder denken. Ist das bekannt, sind wir beeinflussbar, ohne dass wir es merken. Die sozialen Medien machen dies ohnehin deutlich leichter. Zudem ist es für Unternehmen eine gute Chance zu erfahren, ob jemand in deren Firma passt, wenn sie sich das Profil des Bewerbers kaufen. Das ist für sie letztlich billiger, als einen möglichen „Flop“ einzustellen.