Einsatz und Verwendung von Microsoft 365 im Lichte datenschutzrechtlicher Bestimmungen ist bereits seit vielen Jahren immer wieder Thema und Ausgangspunkt zahlreicher Diskussion über den Einsatz der wohl meistgenutzten Software weltweit. Wir haben bereits in der Vergangenheit über die Thematik berichtet. Der nachfolgende Beitrag beschäftigt sich erneut mit der „Problematik“ Microsoft 365 und soll die aktuellen datenschutzrechtlich relevanten Entwicklungen aufzeigen.
Wo liegt das datenschutzrechtliche Problem beim Einsatz von Microsoft 365?
Bei dem Einsatz von Microsoft 365 werden unter Berücksichtigung datenschutzrechtlicher Gesichtspunkte üblicherweise die folgenden Probleme angeführt: Es kann nicht ausgeschlossen werden, dass Microsoft bestimmte Nutzungsdaten für eigene Zwecke verwendet oder an Werbepartner weitergibt. Ferner erfolgt bei der Nutzung eine Übermittlung von bestimmten Kategorien von Nutzerdaten.
Die bisher zwischen Microsoft und den Kunden geschlossenen Nutzungsbedingungen (Online Service Terms – OST) bzw. der Auftragsverarbeitungsvertrag (Date Processing Agreement – DPA) entsprachen nach Ansicht der Datenschutzaufsichtsbehörden nicht den datenschutzrechtlichen Anforderungen. So wurden insbesondere Verstöße gegen die Transparenz der Datenverarbeitung, die Einwirkungsmöglichkeiten des Auftraggebers, die Zwecke der Datenverarbeitung oder die Löschung von Daten bemängelt. Hierzu gab es bereits eine Äußerung der Datenschutzkonferenz zu MS Office 365. Dem ging die Prüfung die dem Einsatz des Produktes Microsoft Office 365 zu Grunde liegenden Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft Onlinedienste (Data Processing Addendum) – jeweils Stand Januar 2020 durch einen Arbeitskreis der Datenschutzkonferenz (DSK) voraus. Doch damit der Sache nicht genug, denn da es sich bei Microsoft um einen Anbieter außerhalb der Europäischen Union bzw. außerhalb des Europäischen Wirtschaftsraumes handelt, klingeln vermutlich bei allen Datenschützern die Alarmglocken hinsichtlich der Übermittlung personenbezogener Daten in Drittländer. Seit das EuGH-Urteil zum EU-US-Privacy-Shield gefallen ist, bestehen bei Datenübermittlungen an datenschutzrechtliche Drittländer erhebliche Rechtsunsicherheiten.
Was tut Microsoft für den Datenschutz?
Schon in der jüngeren Vergangenheit konnte man durchaus Bestrebungen seitens Microsoft in Sachen Datenschutz feststellen. So hat Microsoft beispielsweise ein Additional Safeguards Addendum to Standard Contractual Cluases veröffentlicht. In dieser Ergänzung der Standardvertragsklauseln unterbreitet der US-Dienstleister Vorschläge für Garantien zur Stärkung der Betroffenenrechte. Im August 2022 folgte die Veröffentlichung einer Stellungnahme durch Microsoft Deutschland zur Datenschutzkonformität von Microsoft 365 und Microsoft Teams. Bereits aus den einleitenden Sätzen geht die Brisanz der Thematik hervor:
„Stellungnahmen öffentlicher Stellen, insbesondere die einiger Datenschutzbehörden, erwecken bereits seit längerem möglicherweise den Eindruck, Microsoft 365 und Microsoft Teams für Unternehmen und die öffentliche Hand (insb. den Bildungssektor) könnten nicht datenschutzkonform eingesetzt werden oder seien gar selbst nicht datenschutzkonform. Derartige Aussagen sind nicht richtig […].“
Inhaltlich handelt die Stellungnahme zahleiche Punkte und Argumente ab, weshalb eine datenschutzkonforme Benutzung der Microsoft Produkte möglich sei. Im Mittelpunkt stehen dabei mögliche Zugriffe durch US-Behörden:
„Ein Interesse von US-Behörden z.B. an Daten aus einem Schulunterricht in Deutschland kann nicht ernsthaft behauptet werden.“
Und weiter:
„Eine umfangreiche Auswertung öffentlich verfügbarer Dokumente von US-Regierungs-Behörden zur Nutzung von § 702 des Foreign Intelligence Surveillance Act (FISA) in der Praxis belegt dagegen: Es gibt keinen Anhaltspunkt dafür, dass die US-Regierung § 702 FISA nutzt, um (i) Industriespionage zu betreiben oder US-amerikanische wirtschaftliche Interessen zu verfolgen oder (ii) Regierungen im Europäischen Wirtschaftsraum ins Visier zu nehmen; und die US-Regierung nutzt § 702 FISA im Wesentlichen zur Sammlung von Informationen für Ermittlungen zu schwerwiegenden Bedrohungen der nationalen Sicherheit, wie Terrorismus, Cybersecurity-Angriffe und Waffenproliferation.“
Zu den Datenübermittlungen an Drittländer führt Microsoft wie folgt aus:
„Die DS-GVO erlaubt Übermittlungen in Drittstaaten, einschließlich in die USA, unter Nutzung von geeigneten Garantien (z.B. Standardvertragsklauseln 2021/914 und zusätzliche Maßnahmen). Dabei ist eine Risikoanalyse im Lichte der Schrems II-Rechtsprechung des EuGH durchzuführen und es sind ggf. zusätzliche Maßnahmen zu implementieren. Microsoft bietet für Datenübermittlungen in Drittstaaten zusätzliche, rechtlich anerkannte Schutzmechanismen, wie zusätzliche vertragliche Klauseln. Es ist rechtlich nicht geboten, jedes theoretische Restrisiko, etwa eines behördlichen Zugriffs im Drittstaat, im Zusammenhang mit einer internationalen Datenübermittlung auszuschließen. Einen „Null-Risiko-Ansatz“ zu fordern, ist unverhältnismäßig und steht weder im Einklang mit der DS-GVO noch mit den Regelungen der Standardvertragsklauseln, der Schrems II-Rechtsprechung und den Empfehlungen des Europäischen Datenschutzausschusses für Maßnahmen zu Datenübermittlungen in Drittstaaten.“
Wie kann ich mich einer datenschutzkonformen Nutzung von Microsoft 365 nähern?
Seit dem 15. September 2022 ist nunmehr eine neue Fassung des Auftragsverarbeitungsvertrages verfügbar, in welchem gleichfalls die die neuen Standardvertragsklauseln eingebunden sind. Die Unterlagen werden wie gewohnt in die OST eingebunden. Der Vertrag muss nach Angaben von Microsoft aktiv abgeschlossen werden. Hierzu ist eine Aktualisierung der bestehenden Verträge über den Onlinedienst notwendig.
Die wesentlichen Änderungen betreffen die o.g. Kritikpunkte seitens der Datenschutzaufsichtsbehörden. So nimmt Microsoft insbesondere Änderungen in Bezug auf die Beschreibungen der Datenverarbeitungen zu eigenen Zwecken vor. Die Standardvertragsklauseln sind im Modul 3 (Processor–Processor) verfügbar, da die Microsoft Ireland Operations, Ltd. als Auftragnehmer des Kunden als datenschutzrechtlich Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO fungiert und die Microsoft Corporation als Unterauftragnehmer tätig wird. Dies führt gleichwohl nicht zu einem Übertragen der Verantwortlichkeit in Bezug auf die stattfinden Datenübermittlungen an Drittländer und dem damit einhergehenden Prüfungsauftrag. Vielmehr obliegt es dem Kunden sich von den getroffenen technischen, organisatorischen und vertraglichen Maßnahmen zu überzeugen. Dies gilt ebenso für die nach Klausel 14 der Standardvertragsklauseln anzufertigenden Transferfolgenabschätzung (Transfer Impact Assessment – TIA). Aufgrund der geschilderten Vertragssituation Kunde >> Microsoft Ireland Operations, Ltd >> Microsoft Corporation ist der TIA in der vertraglichen Beziehung zwischen den Microsoft Unternehmen anzufertigen und sollte vom Kunden angefordert und geprüft werden. Eine Dokumentation dieses Vorgehens ist mit Blick auf die nach Art. 5 Abs. 2 und Art. 24 DS-GVO bestehende Rechenschaftspflicht absolut empfehlenswert.
Darüber hinaus empfiehlt sich den Betrieb von Microsoft 365 auf eigenen IT-Strukturen des Verantwortlichen oder bei Datenlokalisierungen innerhalb der EU bzw. des EWR vorzunehmen, die per se keiner Herausgabepflicht nach dem US-CLOUD-Act unterliegen. Ebenfalls muss eine weitestgehende Unterbindung der Übertragung von Telemetrie-Daten beim Einsatz von Microsoft 365 vorgenommen werden, um den Anforderungen nach Art. 25DS-GVO gerecht zu werden. Ein vollständiger Ausschluss wird wohl kaum möglich sein.
Weitere Anregungen zu möglichen „Stellschrauben“ lassen sich in den FAQs zu Microsoft 365 des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz finden.
FAZIT
Der Stein des Anstoßes ist mehr als nur ins Rollen gekommen. Insbesondere da der Umsetzungszeitraum für die „neuen“ Standardvertragsklauseln am 27. Dezember 2022 endet, war die Einführung selbiger durch Microsoft eigentlich nur eine Frage der Zeit. Positiv hervorzuheben sind jedoch auch die weiteren Schritte, die Microsoft Richtung Datenschutzkonformität bereit ist zu unternehmen. Richtig erscheint – mit Blick auf den risikobasierten Ansatz, welcher der Datenschutz-Grundverordnung innewohnt und mithin ein stückweit den Ausführungen von Microsoft folgend – im Rahmen der Prüfung der Datenübermittlungen an Drittländer und der notwendigen Risikoanalysen, wie sie bei einem TIA erforderlich sind, keinen „Null-Risiko-Ansatz“ zu fahren. Deutlich wird jedoch ebenfalls, dass ohne jegliche Prüfungen und Konfigurationen Microsoft 365 Produkte derzeit nicht datenschutzkonform genutzt werden können.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.