Die deutsche Datenschutzkonferenz teilte mit, dass sie eine datenschutzkonforme Nutzung von Microsoft 365 – Tools als nicht möglich ansehe, da der Nachweis für die Rechtmäßigkeit der Verarbeitung nicht geführt werden kann.
Die deutsche Datenschutzkonferenz (DSK) warnte Ende November 2022 vor der Nutzung von Microsoft 365-Anwendungen und erklärte, dass eine Nutzung nicht datenschutzkonform erfolgen könne. Was das das für Unternehmen in Deutschland bedeutet, wird im Folgenden näher erläutert.
Was bisher geschah
Im Jahr 2020 hat die DSK einen Arbeitskreis mit der Prüfung der Vereinbarkeit der Nutzung von Microsoft Office 365-Anwendungen (heute Microsoft 365) und dem europäischen Datenschutz in Auftrag gegeben, welcher Ende 2020 Gespräche mit Microsoft aufgenommen hat. Auf Grundlage der Gespräche hat Microsoft in einigen Punkten nachgebessert und Änderungen vorgenommen. Bei der Prüfung der Datenschutzkompatibilität wurde sich in erster Linie mit der Frage befasst, ob Microsoft seinen Verpflichtungen als Auftragsverarbeiter gemäß Art. 28 DSGVO nachkommt.
Ende November 2022 hat die DSK nun die Zusammenfassung der Abschlussbewertung des Arbeitskreises sowie ein kurzes Statement der eigenen Einschätzung zu diesem Thema auf Basis der Ergebnisse des Arbeitskreises veröffentlicht.
Die Entscheidung der DSK
Im Kern geht die DSK aufgrund der vorliegenden Informationen davon aus, dass Microsoft 365 nicht datenschutzkonform genutzt werden könne, da Microsoft in seiner Funktion als Auftragsverarbeiter die Verarbeitung personenbezogener Daten für eigene Zwecke nicht transparent genug darstellen kann bzw. möchte. Die rechtmäßige Verarbeitung personenbezogener Daten könne somit nicht gewährleistet werden, mit der Folge, dass der vollständige Nachweis zur rechtmäßigen Datenverarbeitung durch die Verantwortlichen gegenüber den Betroffenen derzeit nicht möglich sei.
Der Bundesdatenschutzbeauftragte, Dr. Ulrich Kelber, erläuterte hierzu, dass eine Nutzung von Microsoft Cloud-Diensten aus seiner Sicht nicht datenschutzkonform erfolgen könne, wenn Microsoft nicht seine Einstellungen ändere und transparenter mit der Datenverarbeitung für eigene Zwecke umgehe. Zwar schließt er einen datenschutzkonformen Umgang für private Unternehmen im Gegensatz zum öffentlichen Sektor nicht vollends aus, da Unternehmen sich bei der Verarbeitung auf das berechtigte Interesse gemäß Art. 6 Abs. 1 lit. f. DSGVO berufen könnten. Jedoch bliebe die Ungewissheit hinsichtlich der Datenverarbeitung von Microsoft selbst bestehen, weshalb durch die Unternehmen zusätzliche Schutzvorkehrungen zu treffen seien, auch wenn der von Microsoft überarbeitete Auftragsverarbeitungsvertrag die neuen Standardvertragsklauseln der EU verwendet und berücksichtige. Es müsse im Einzelfall geprüft werden, ob es Unternehmen gelingen könne, Datenschutzkonformität herzustellen. Dabei ginge es um den Umgang mit Biometrie-, Diagnose- und Telemetriedaten. Es müsse eine Mikrovirtualisierung vorgenommen oder ein Proxyserver dazwischengeschaltet werden, der verhindert, dass die Daten überhaupt an Microsoft fließen können.
Auch der Landesdatenschutzbeauftrage von Baden-Württemberg, Stefan Brink, machte deutlich, dass die Unternehmen die Verantwortlichen seien und dass sie als datenschutzrechtlich Verantwortliche die Datenschutzkonformität ihrer Prozesse nicht nur sicherstellen, sondern nach Art. 5 Abs. 2 DSGVO auch nachweisen müssten. Dieser Nachweis könne nicht allein durch die Bezugnahme auf Angaben von Microsoft geführt werden. Vielmehr müssten die Verantwortlichen sich selbst von der Rechtskonformität aller Verarbeitungen überzeugen und gegebenenfalls weitere Ermittlungen dazu anstellen. Es fehle aber an der nötigen Transparenz Microsofts. Wenn Microsoft sich die Datenverarbeitung für eigene Zwecke herausnehme, müssten Verantwortliche sich darüber im Klaren werden, was ihr Dienstleister – also Microsoft – genau macht. In welchen Bereichen macht er sich selbstständig und wie bekommt man das als Verantwortlicher eingefangen? Diese Aufgabe ist aus Sicht von Brink tatsächlich nur schwer zu erfüllen.
Zu betonen ist hierbei vor allem, dass die für die USA am 7. Oktober 2022 von Präsident Biden erlassene Executive Order zum EU-U.S. Data Privacy Framework nicht in die Bewertung der Arbeitsgemeinschaft eingeflossen ist, da die dortigen Vorgaben zum Zeitpunkt der Veröffentlichung der Stellungnahme noch nicht umgesetzt waren und noch nicht ausreichend geklärt war, wie gut die Rechte von europäischen Betroffenen tatsächlich geschützt würden. Zwar wird seitens der EU derzeit geprüft, ob die unterzeichnete Executive Order ausreichend ist, um einen Angemessenheitsbeschluss für den Datentransfer in die USA zu erlassen – ein entsprechender Entwurf der Europäischen Kommission liegt derzeit dem Europäischen Datenschutzausschuss vor. Jedoch ist zu bezweifeln, dass ein solcher Angemessenheitsbeschluss etwas an der Einschätzung des Arbeitskreises der DSK geändert hätte, da die Rechenschaftspflicht Microsofts hinsichtlich der Datenverarbeitung als Auftragsverarbeiter unabhängig von der Rechtmäßigkeit des Datentransfers in die USA besteht.
Die DSK steht mit ihrer Einschätzung in Europa nicht allein da. Auch in Frankreich gab es mittlerweile ähnliche Einschränkungen, so wurde zum Beispiel an Schulen das kostenlose Education-Programm von Microsoft flächendeckend verboten und auch in französischen Behörden wird wohl derzeit eine entsprechende Umstrukturierung vorgenommen.
Microsoft schätzt die Situation hingegen anders ein und stellt in einer Gegendarstellung klar, dass es die europäischen Datenschutzanforderungen sogar noch übertreffen und der Arbeitskreis der DSK zu strenge Anforderungen an Microsoft 365 stellen würde, insbesondere, da er nicht alle Änderungen und Verbesserungen angemessen berücksichtigt habe.
Am 15. Januar 2023 veröffentlichte Microsoft einen neuen Datenschutznachtrag zu den Produkten und Services (sog. Data Protection Addendum = DPA), in welchem Microsoft unter anderem zusichert, die Rechenschaftspflichten der Kunden bezüglich der Eigenverarbeitung personenbezogener Daten als Auftragsverarbeiter zu unterstützen. Diese Zusicherung ist wohl auf die Einschätzung der DSK zurückzuführen. Ob diese Zusicherung ausreicht, um die von der DSK geforderte höhere Transparenz in die eigene Datenverarbeitung zu schaffen, bleibt zu bezweifeln. Trotzdem ist anzuerkennen, dass Microsoft die Vorwürfe der DSK ernst nimmt.
Folgen für Unternehmen
Sollte die Einschätzung der DSK in dieser Form bestehen bleiben – wovon derzeit zunächst auszugehen ist – und Microsofts Anpassungen des DPA in ihrer aktuellen Fassung nicht ausreichen, könnten die Microsoft 365- Produkte im Ergebnis wohl nicht mehr datenschutzkonform genutzt werden. Die Einschätzung der DSK führt nicht zu einem Nutzungsverbot von Microsoft-Produkten. Jedoch könnten sich die Datenschutzbehörden der Länder auf die Einschätzung der DSK berufen und ohne tiefergehende Prüfung einen Datenschutzverstoß annehmen, wenn Unternehmen weiterhin mit Microsoft 365 arbeiten und die Nutzung der Software und deren datenschutzkonformen Gebrauch nicht ausreichend begründen können.
fellaws Fazit
Da die Nutzung der Microsoft 365-Anwendungen aus der Arbeitswelt häufig kaum wegzudenken ist und es derzeit auch wenig adäquate Programm-Anbieter mit ähnlich umfangreichem Leistungsumfang gibt, die den europäischen Datenschutzstandards entsprechen, ist anzuraten, alle möglichen Einstellungen und Sicherheitsvorkehrungen zur Minimierung des Datentransfers zu Microsoft zu treffen, um Microsoft weiterhin zumindest möglichst datenschutzkonform nutzen zu können.
Es ist zum Beispiel zu prüfen, ob die vom Bundesdatenschutzbeauftragten genannten Maßnahmen umsetzbar und praktikabel sind. Darüber hinaus sollten zumindest die Sicherheits- und Vertragseinstellungen bei Microsoft selbst überprüft werden. Es besteht zum Beispiel die Möglichkeit, dass die neuen Auftragsverarbeitungsverträge inklusive der aktuellen und für den stattfindenden Datentransfer in die USA und ggf. weitere Drittstaaten verpflichtend zu nutzenden Standardvertragsklauseln (Standard Contractual Clauses = SCC) bei Bestandskunden nicht automatisch eingesetzt werden, sondern aktiv in die Einbindung der neuen SCC eingewilligt werden muss. Auch können Voreinstellungen zur Datenspeicherung und Verschlüsselung in den Microsoft-Einstellungen angepasst werden. Je nach Art der Datenverarbeitung ist zu prüfen, ob die Durchführung einer Datenschutzfolgeabschätzung nach Art. 35 DSGVO notwendig ist. Nur, wenn Unternehmen auch aktiv werden, kann bei einer etwaigen Überprüfung durch Datenschutzbehörden dargelegt werden, dass man sich des Problems bewusst sei und alles Mögliche unternehme, um datenschutzrechtlich verantwortungsbewusst zu handeln, Microsoft 365 jedoch trotzdem nutzt, weil die Nutzung derzeit alternativlos ist und es keine vergleichbaren Softwarepakete gibt, die eine so umfassende und gut miteinander verknüpfte Programmvielfalt bieten, wie Microsoft 365.
Inwiefern die tatsächliche Gefahr einer datenschutzrechtlichen Überprüfung besteht, kann derzeit nicht vorausgesagt werden. Der Landesdatenschutzbeauftrage von Baden-Württemberg, Herr Brink, gab hierzu an, dass er zunächst die Nutzung von Microsoftprodukten in öffentlichen Einrichtungen überprüfen werde und erst im Anschluss Unternehmen kontaktieren würde. Er könne aber nicht sagen, wie die Datenschutzbehörden anderer Bundesländer handeln würden. Zumal immer die Möglichkeit bestünde, dass eine konkrete Anzeige durch Dritte bei Aufsichtsbehörden eingehen würde, welche dann in jedem Fall überprüft werden müsse.
Alina Jung
Rechtsanwältin
Bildquelle: Bild von wirestock auf Freepik
