Microsoft und die Durchsetzung des Datenschutzes: Ist der Tech-Gigant glimpflich davongekommen?

Anfang Juni teilte Microsoft Einzelheiten über eine bevorstehende GDPR-Strafe der irischen Datenschutzkommission (DPC) mit, für die das Unternehmen 425 Millionen Dollar (rund 390 Millionen Euro) zurückgelegt hat.

Anfang Juni teilte Microsoft Einzelheiten über eine bevorstehende GDPR-Strafe der irischen Datenschutzkommission (DPC) mit, für die das Unternehmen 425 Millionen Dollar (rund 390 Millionen Euro) zurückgelegt hat.

Microsoft ist das größte Softwareunternehmen der Welt. Seine Produkte werden auf praktisch jedem Desktop-Computer eingesetzt und fast eine Milliarde Nutzer nutzen das auf Unternehmen ausgerichtete soziale Netzwerk LinkedIn.

Dieser Bußgeldentwurf wäre der erste, den Microsoft im Rahmen der Datenschutz-Grundverordnung erhält. Aber das Unternehmen hat sich schon früher mit der Durchsetzung des Datenschutzes und des Schutzes der Privatsphäre befasst – ebenso wie mehrere Organisationen, die Microsoft-Produkte verwendet haben.

Der Entwurf LinkedIn Fine

Die Beobachter des Datenschutzes waren überrascht, als Microsoft in aller Stille
ankündigte.
am 1. Juni auf der „Investor Relations“-Seite seiner Website eine Geldstrafe von fast einer halben Milliarde Dollar ankündigte.

Die Nachricht des Tech-Giganten an die Investoren war der erste Hinweis auf eine Untersuchung, die offenbar schon seit über fünf Jahren läuft. Die Erklärung verriet jedoch wenig über die Geldbuße – außer, dass sie sich auf das Ad-Targeting auf LinkedIn bezieht und sich in der Phase des „Vorentwurfs“ befindet.

Microsoft hat LinkedIn im Jahr 2016 übernommen. Der Datenschutzhinweis des sozialen Netzwerks scheint nicht vollständig offenzulegen, wie es die Verarbeitung von Daten für Zwecke des Ad-Targeting rechtfertigt.

Dennoch macht Werbung einen erheblichen Teil der Einnahmen von LinkedIn aus,
erklärt
auf 13,8 Milliarden Dollar (rund 12,64 Milliarden Euro) im Jahr 2022.

Der Bußgeldentwurf der irischen Datenschutzbehörde würde etwa 3 % dieser Zahl ausmachen – ein hoher Anteil, wenn man bedenkt, dass die DSGVO eine Bußgeldobergrenze von 4 % für die schwerwiegendsten Verstöße vorsieht.

Aber die Muttergesellschaft von LinkedIn hat einen viel höheren Umsatz. Wenn – was wahrscheinlich ist – die Strafe von 425 Millionen Dollar als Anteil an den Einnahmen von Microsoft berechnet wird, würde sie 1,1 % der weltweiten Einnahmen des Unternehmens in Höhe von 116,8 Milliarden Dollar (rund 106,5 Milliarden Euro) im Jahr 2022 ausmachen.

Microsoft bestreitet jegliches Fehlverhalten und behauptet, dass die Vorwürfe der irischen Datenschutzbehörde sowohl rechtlich als auch faktisch falsch sind. Aber selbst wenn die DPC mit ihrer Entscheidung fortfährt, könnte das Verfahren zur Einziehung der Strafe noch mehrere Jahre dauern.

Das Glück der Iren (Tochtergesellschaften)

Wie praktisch alle großen Technologieunternehmen hat auch Microsoft Irland als „Hauptniederlassung“ in der EU gewählt.

Das bedeutet, dass die irische Datenschutzbehörde für die Regulierung der Einhaltung der DSGVO durch Microsoft verantwortlich ist – zusammen mit Apple, Google, Meta, TikTok, Twitter und anderen datenhungrigen Unternehmen.


(Amazon ist die bemerkenswerte Ausnahme – das Unternehmen betreibt seine europäischen Aktivitäten von einer Tochtergesellschaft in Luxemburg aus, deren Datenschutzbehörde


an


Datenschutzbehörde dem Unternehmen im Jahr 2021 eine Geldstrafe in Höhe von 746 Millionen Euro auferlegte).

Daher ist es vielleicht nicht überraschend, dass Microsoft die Folgen der DSGVO-Durchsetzung noch nicht zu spüren bekommen hat. Die irische Datenschutzbehörde wurde von vielen Seiten für ihre angebliche Untätigkeit in Sachen Datenschutz kritisiert.

Der irische Rat für bürgerliche Freiheiten (ICCL) hat kürzlich
beschuldigte
dem DPC vor, eine GDPR-„Krise“ heraufzubeschwören, und selbst der Leiter der deutschen Bundesdatenschutzbehörde hat einmal
kritisierte
die „extrem langsame Fallbearbeitung“ des DPC.

Irland hat viele der größten GDPR-Bußgelder aller Zeiten verhängt, darunter die jüngste Strafe in Höhe von 1,2 Milliarden Euro
Strafe
gegen Meta.

Doch in fast jedem größeren Fall zögerte die Datenschutzbehörde zunächst, harte Sanktionen zu verhängen, und die anderen Mitglieder des Europäischen Datenschutzausschusses (EDPB) zwangen die irische Aufsichtsbehörde zum Einlenken.


(Und obwohl die DPC stets jegliche Spannungen zwischen Irland und anderen EDPB-Mitgliedern leugnet, verklagt sie


gegen das EU-Gremium vor Gericht


nachdem der EDSB den Datenschutzbeauftragten Anfang des Jahres aufgefordert hatte, eine „problematische“ Untersuchung der Datenverarbeitungsaktivitäten von Meta durchzuführen).

Xbox COPPA-Bedenken

Die Datenschutzpraktiken von Microsoft sind kürzlich auch jenseits des Atlantiks auf den Prüfstand gekommen.

Die US Federal Trade Commission (FTC) hat einen
vorgeschlagene Datenschutzanordnung
gegen Microsoft Anfang Juni an – nur wenige Tage, nachdem das Unternehmen Investoren über die bevorstehende GDPR-Strafe informiert hatte.

Die Anordnung der FTC bezieht sich auf einen angeblichen Verstoß von Microsoft gegen das Bundesgesetz zum Schutz der Privatsphäre von Kindern im Internet (
COPPA
) durch sein Spieleprodukt Xbox Live.

COPPA wurde 1998 erlassen und verlangt von bestimmten Unternehmen, dass sie die Eltern benachrichtigen und deren Zustimmung einholen, bevor sie personenbezogene Daten von Kindern unter 13 Jahren erfassen. Das Gesetz wurde 2011 mit neuen Vorschriften über die Aufbewahrung und Löschung von Daten aktualisiert.

Bei der Anmeldung für Xbox Live fragt Microsoft nach bestimmten persönlichen Informationen, unter anderem nach dem Alter. Wenn der Benutzer angibt, dass er unter 13 Jahre alt ist, unterbricht Microsoft den Prozess der Kontoerstellung, während das Kind einen Elternteil oder Erziehungsberechtigten um Zustimmung bittet.

Die FTC behauptete jedoch, dass Microsoft zwischen 2015 und 2020 die Daten von Kindern – manchmal jahrelang – gespeichert hat, auch wenn kein Elternteil zugestimmt hatte.

Die FTC stellte fest, dass dies gegen die COPPA-Vorschrift verstößt, die besagt, dass Daten von Kindern nur so lange gespeichert werden dürfen, wie es für einen bestimmten Zweck erforderlich ist. Microsoft hat es angeblich auch versäumt, die Eltern über alle Arten von persönlichen Daten zu informieren, die es sammelt, wie z. B. die Profilbilder der Kinder.

Die Anordnung der US-Aufsichtsbehörde gegen Microsoft ist mit einer geringen Strafe verbunden (20 Millionen Dollar bzw. rund 18,2 Millionen Euro) und verpflichtet das Unternehmen, neue Verfahren zur Datenlöschung einzuführen, Videospielunternehmen zu benachrichtigen, wenn ein Nutzer unter 13 Jahren ist, und die Zustimmung der Eltern für bestehende Nutzer mit Kindern einzuholen.

Bing’s Cookie-Einhaltung

Der Entwurf der irischen Datenschutzbehörde für LinkedIn wäre zwar die erste Geldbuße, die Microsoft im Rahmen der Datenschutz-Grundverordnung erhalten hat, doch hat das Unternehmen bereits eine Strafe in Höhe von 60 Millionen Euro
datenschutzbezogene Strafe
Ende 2022 von der französischen Datenschutzbehörde (CNIL).

Die CNIL ist wohl die aktivste Regulierungsbehörde der EU, wenn es um Verstöße gegen Cookies und Online-Werbung geht. Mitte Juni hat die CNIL
verhängte
die größte GDPR-Strafe, die jemals gegen ein nicht-amerikanisches Unternehmen verhängt wurde – 40 Millionen Euro gegen das Adtech-Unternehmen Criteo.

Die angeblichen Verstöße von Microsoft betrafen seine Suchmaschine Bing und wurden von der CNIL im Rahmen der französischen Umsetzung eines anderen EU-Gesetzes, der Datenschutzrichtlinie für elektronische Kommunikation, verfolgt.

Die CNIL beanstandete die Art und Weise, wie Microsoft Menschen über Bing verfolgt. Berichten zufolge setzte die Website zwei „nicht wesentliche“ Cookies, die u. a. für Werbezwecke und zur Betrugsbekämpfung verwendet werden, ohne die Zustimmung der Nutzer einzuholen.

Die Datenschutzrichtlinie für elektronische Kommunikation sieht geringere Geldbußen vor als die Datenschutz-Grundverordnung. Da Frankreich jedoch die CNIL ermächtigt hat, bei Verstößen gegen die Datenschutzgrundverordnung Sanktionen auf GDPR-Niveau zu verhängen, belaufen sich die französischen Bußgelder für Cookies oft auf mehrere zehn Millionen Euro.

Und im Gegensatz zur Datenschutz-Grundverordnung, die von den Aufsichtsbehörden verlangt, einige Datenschutzbeschwerden an die „federführende Aufsichtsbehörde“ eines Unternehmens (im Fall von Microsoft Irland) weiterzuleiten, kann jede EU-Datenschutzbehörde die ePrivacy-Richtlinie durchsetzen.

Daher wurden viele der größten europäischen Bußgelder im Zusammenhang mit dem Internet – auch gegen in Irland ansässige Unternehmen wie Google, Meta und Apple – von der CNIL im Rahmen der Umsetzung der Datenschutzrichtlinie für elektronische Kommunikation und nicht der DSGVO verhängt.

Microsoft als Dienstanbieter

Wir haben uns drei Fälle aus dem Bereich des Datenschutzes und des Schutzes der Privatsphäre angesehen, die sich direkt gegen Microsoft richten. Dies ist eine relativ geringe Zahl, wenn man bedenkt, wie allgegenwärtig die Microsoft-Eigenschaften sind und wie viele Daten das Unternehmen verarbeitet.

Doch trotz dieser eher spärlichen Durchsetzung gegen Microsoft selbst taucht der Name des Unternehmens häufig bei Untersuchungen zur Datenschutz-Grundverordnung auf, die andere Organisationen betreffen.

Im Jahr 2019 hat zum Beispiel eine Regulierungsbehörde in Deutschland
untersagt.
die Nutzung des Microsoft-Produkts Office 365 durch Schulen, weil sie befürchtete, dass die Daten der Schüler für die US-Regierung zugänglich sein könnten.

Und im Mai dieses Jahres hat die finnische Datenschutzbehörde
eine Sanktion gegen
einen Schulbezirk für die Nutzung von Office 365, da das Produkt die persönlichen Daten von Schülern standardmäßig einer zu großen Anzahl von Personen zugänglich machte.

Microsoft wird auch wiederholt in Untersuchungen des Europäischen Datenschutzbeauftragten (
EDSB
) und des
EDSB
zur Nutzung von Cloud-Diensten durch EU-Organe und Einrichtungen des öffentlichen Sektors erwähnt.

Die Botschaft aus solchen Fällen ist eindeutig.

Unternehmen, die Produkte von Microsoft verwenden, können für Datenschutzverletzungen haftbar gemacht werden, die auftreten, wenn diese Software Daten mit Microsoft austauscht.

Microsoft sammelt große Mengen personenbezogener Daten – manchmal auch für eigene Zwecke – und speichert diese Daten häufig in den USA.

Trotz der Allgegenwärtigkeit des Tech-Giganten sollten europäische Unternehmen also genau überlegen, ob sie Microsoft als Dienstanbieter einsetzen.

Wir hoffen, dass dieser Leitfaden hilfreich war. Wir danken Ihnen für die Lektüre und wünschen Ihnen viel Erfolg bei der Verbesserung der Datenschutzpraktiken in Ihrem Unternehmen! Bleiben Sie dran und lesen Sie weitere hilfreiche Artikel und Tipps, wie Sie Ihr Geschäft ausbauen und durch die Einhaltung von Datenschutzbestimmungen Vertrauen gewinnen können. Testen Sie die Datenschutzpraktiken Ihres Unternehmens,

HIER KLICKEN

und erhalten Sie jetzt Ihre sofortige Datenschutzbewertung!