Datenschutzbedenken zum neuen Outlook von Microsoft

Microsoft will seine klassische Outlook-Anwendung durch eine neue Version ersetzen. Hierbei soll eine tiefgreifende Veränderung im Umgang mit E-Mails für erhebliche Datenschutzbedenken sorgen. Denn so zieht Microsoft nicht nur funktionale Grenzen neu, sondern verlagert auch die gesamte Datenverarbeitung in seine eigene Cloud. Für Unternehmen und selbstständige Nutzer bedeutet das einen Paradigmenwechsel – und ein potenziell hohes Risiko im Umgang mit personenbezogenen Daten. Im Folgenden haben wir die Datenschutzbedenken zum neuen Outlook von Microsoft zusammengefasst und Lösungsvorschläge bereitgestellt.

Vom Office-Klassiker zur Web-App: Der Wandel von Outlook

Seit mehr als zwei Jahrzehnten ist Microsoft Outlook fester Bestandteil der beruflichen Kommunikation. Als zentraler Knotenpunkt für E-Mails, Kalender, Kontakte und Aufgaben ist die Software in vielen Unternehmen unverzichtbar geworden. Dank seiner vielfältigen Funktionen konnten Unternehmen Outlook tief in Workflows integrieren. Entsprechend ist die bevorstehende Umstellung auf eine neue Version von erheblicher Tragweite. Schon in der Vergangenheit sah sich Microsoft immer wieder Kritik, Datenschutzrecht zu verletzen, ausgesetzt.

Die Neufassung des Programms basiert nun auf einer Web-App, die über einen Browser-Unterbau verfügt. Microsoft betont dabei die Vorteile: eine modernere Benutzeroberfläche, geräteübergreifende Nutzbarkeit, tiefe Integration mit KI-Diensten über Copilot sowie Sicherheitsfunktionen auf Serverebene. Gleichzeitig fällt jedoch auf, dass sich die Rolle von Outlook grundlegend verändert. Das Programm wandelt sich von einer lokal arbeitenden Anwendung hin zu einem durchgängig cloudbasierten Modell. Das alte Programm soll dieses bald vollständig ersetzen. Schon dieses Jahr sollen Kunden mit Business-Abonnements und nächstes Jahr auch die Enterprise-Welt nur noch die neue Version nutzen können.

E-Mails wandern in die Microsoft-Cloud

Der gravierendste Unterschied zur bisherigen Version liege in der Architektur. Das neue Outlook speichere keine E-Mails mehr lokal, sondern synchronisiere sämtliche Inhalte – auch von Fremdanbietern wie Gmail oder GMX – mit der Microsoft-Cloud. Das soll aus einer Meldung zu Beginn hervorgehen laut eines Berichts der FAZ. Während das alte Outlook schlicht E-Mails eines Providers abholte und lokal speicherte, lege das neue Outlook alle Inhalte dauerhaft auf Servern von Microsoft ab. Das betreffe auch Zugangsdaten zu den anderen E-Mail anbietern.

Befinden sich die Server beispielsweise in den USA, bedeute dies, dass diese dort unter fragwürdigen Datenschutzbedingungen mit potenziellem Zugriff durch US-Amerikanische Ermittlungsbehörden liegen. Unternehmen, die nicht Microsofts eigenen Mailserver Exchange Online verwenden, geben somit unter Umständen vertrauliche Geschäftsinformationen an einen externen Dritten weiter. Im Übrigen ergebe sich aus dem Untermenü „Einstellungen für Werbung“, dass „Microsoft und seine Werbepartner“ auf Informationen Zugriff haben und diese nutzen.

Datenschutzrechtliche Implikationen

Bereits im Dezember 2023 als erste Informationen zum neuen Outlook bekannt wurden, veröffentlichte der damalige Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ein Rundschreiben, laut dem „ein datenschutzkonformer Einsatz der App aktuell nicht möglich“ sei.

Gerade im geschäftlichen Umfeld ist die Verlagerung von Kommunikationsdaten in die Microsoft-Cloud rechtlich hochproblematisch. Nur wenn man ohnehin Exchange Online nutzt, bleibt die Speicherung innerhalb der Microsoft-Welt datenschutzrechtlich weniger brisant. Wer jedoch personenbezogene Daten – auch gezwungenermaßen – in einer Cloud speichert, ohne dies rechtlich abzusichern, kann sich unter Umständen selbst haftbar machen. Darüber hinaus vergrößert die doppelte Speicherung (einmal beim ursprünglichen Provider, zusätzlich bei Microsoft) die Angriffsfläche für Cyberangriffe und erhöht die Risiken für unbefugte Zugriffe auch auf Geschäftsdaten.

Was können Unternehmen tun?

Für Organisationen stellt sich die Frage, ob das neue Outlook überhaupt noch eine geeignete Lösung ist. Mögliche Alternativen reichen von Open-Source-Clients wie Mozilla Thunderbird bis hin zu Komplettlösungen wie Google Workspace. Letzteres mag zwar ebenfalls auf Cloudtechnologie setzen, bietet jedoch – je nach Konfiguration – im Vergleich zu der abgespeckten neuen Office Version deutlich bessere Teamfunktionen. Für besonders datenschutzsensible Bereiche ist sogar ein vollständiger Umstieg auf lokal betriebene E-Mail-Server denkbar, um die Kontrolle über Inhalte und Metadaten vollständig in eigener Hand zu behalten.

Fest steht: Die Entscheidung für oder gegen das neue Outlook sollte keinesfalls unreflektiert getroffen werden. Vor allem Selbständige und kleinere Unternehmen, die keine eigene IT-Abteilung besitzen, laufen Gefahr, Microsofts Umstiegsangebot aus Unwissenheit zu akzeptieren – und sich damit selbst in eine juristisch prekäre Lage zu bringen.

Fazit

Der Wandel von Outlook ist mehr als nur ein Design. Der Umschwung zum neuen Outlook von Microsoft ruft erheblich Datenschutzbedenken her. Indem Microsoft sich selbst zwischen Nutzer und Mail-Provider schaltet, entstehen neue datenschutzrechtliche Gegebenheiten und Risiken. Wer bislang dachte, mit Microsoft 365 auf der sicheren Seite zu sein, muss nun genauer hinschauen. Denn das neue Outlook verändert nicht nur, wo Daten verarbeitet werden, sondern auch, wer sie kontrolliert. Unternehmen sind gut beraten, die Umstellung nicht unkritisch mitzugehen, sondern aktiv Alternativen zu prüfen und ihre datenschutzrechtlichen Pflichten neu zu bewerten. Wir als Externe Datenschutzbeauftragte helfen Ihnen hierbei gerne weiter.