Stellungnahme der DSK: Ist Microsoft 365 noch datenschutzkonform umsetzbar?
Die politisierte Auseinandersetzung zwischen Microsoft und der Datenschutzkonferenz (DSK) um die Datenschutzkonformität des Officepakets Microsoft 365 ist in die nächste Runde gegangen. Bereits im Jahr 2020 hatte eine knappe Mehrheit der Datenschutzbehörden die aus ihrer Sicht intransparenten und teilweise rechtswidrigen Verarbeitungspraktiken gerügt. Microsoft hatte im Nachgang Besserung gelobt und zuletzt am 15.09.2022 die als „Datenschutznachtrag“ bezeichnete aktuelle Version seines Auftragsverarbeitungsvertrags (AVV) vorgelegt. Nach eigenen Angaben des Unternehmens habe man während der Überprüfung eng mit der DSK zusammengearbeitet und sei den vorgebrachten Bedenken mit weitreichenden Änderungen begegnet. Doch anstelle eines Fleißbienchens erfolgte seitens der DSK eine erneute Schelte. In ihrer am 24.11.2022 veröffentlichten Stellungnahme erklärten sie den Einsatz von Microsoft 365 durch öffentliche Stellen und Privatunternehmen für weiterhin unvereinbar mit dem geltenden Datenschutzrecht. Das Unternehmen reagierte prompt und zeigte sich in seiner Einlassung vom 25.11.2022 enttäuscht. Aus Sicht Microsofts habe man sein Bestes getan, um den strengen Anforderungen der DSK umfassend und sachgerecht nachkommen zu können. Der Streit ist angesichts seiner Detailtiefe mittlerweile in einigen Aspekten unübersichtlich geraten. Die Auffassungen der „Kontrahenten“ scheinen in den meisten Punkten fundamental auseinanderzudriften – und dementsprechend unversöhnlich. Mit unserem Beitrag wollen wir die Kernproblematik dreier besonders häufig diskutierter Streitpunkte aufzeigen und einen Blick auf die praktische Tragweite des DSK-Papiers wagen.
Welche Punkte werden durch die DSK gerügt?
Die DSK adressiert in ihrem Beschluss eine Vielzahl möglicher Schwachstellen in der datenschutzrechtlichen Vertragsgestaltung durch Microsoft, möchte jedoch ausdrücklich keine umfassende datenschutzrechtliche Bewertung abgeben. Insbesondere hat die DSK keine Prüfung der tatsächlichen Datenverarbeitung oder der möglichen Konfigurationen vorgenommen. Neben Löschpflichten und unzureichender Weisungsbindung ist etwa auch die Informationsgestaltung über Unterauftragnehmer als problematisch bewertet worden. Im Folgenden konzentrieren wir uns auf die Rüge der Verarbeitung zu eigenen Zwecken, den Vorwurf unzureichender Konkretisierung von Verarbeitungstätigkeiten und den umstrittenen Drittstaatentransfer.
Eigene Verantwortlichkeit seitens Microsofts?
Die DSK kritisiert, dass bestimmte Verarbeitungstätigkeiten seitens Microsofts zu eigenen Zwecken erfolgten und diesbezüglich eine eigene datenschutzrechtliche Verantwortlichkeit begründet sei. Im Hinblick auf die „Verarbeitung zu veranlassten Geschäftstätigkeiten“ agiere das Unternehmen als Verantwortlicher und mache dies nicht hinreichend transparent. Bei den genannten Verarbeitungen handelt es sich um die Erstellung aggregierter, statistischer Daten und die datenbasierte Berechnung von Statistiken. Aus Sicht Microsofts trifft der „Vorwurf“ der eigens gesetzten Zwecke nicht zu. Die genannten Tätigkeiten seien für die Dienstleistungserbringung zwingend notwendig und erfolgten deshalb auch im Interesse des Kunden.
Man kann die Äußerung Microsofts durchaus kritisch sehen, ein immerhin geteiltes Interesse an der Verarbeitung schließt die Verantwortlichkeit des Unternehmens schließlich nicht aus. Die Beurteilung der Rollenverteilung hängt jedoch auch maßgeblich vom Bedeutungsgrad der jeweiligen Verarbeitungstätigkeit für die Leistungserbringung ab. Der Scheideweg zur eigenen Verantwortlichkeit wäre jedenfalls dann erreicht, wenn ein offensichtlicher Missbrauch der Kundendaten vorläge. Was die DSK insofern nur unzureichend zu berücksichtigen scheint, ist die Notwendigkeit der statistischen Datenverwertung für die Bereitstellung des Cloud-Diensts. Eine Argumentation in diese Richtung findet seitens der Datenschützer nicht statt.
Erster Aspekt des Interessenkonflikts ist die Art der Informationsbereitstellung. Microsoft verweist seinerseits auf umfassende Dokumentationen zu den Verarbeitungstätigkeiten, die Nutzungsbedingungen für einzelne Produkte und die – einzelfallabhängige – Einbeziehung von Verarbeitungsverzeichnissen der Kunden. Das Unternehmen bietet mit seinem übersichtlichen DPA, den vertraglich vereinbarten Nutzungsbedingungen und den nach Bedarf hinzuziehbaren Dokumentationen einen durchaus praktikablen und effizienten Ansatz. Da die jeweils betreffende Dokumentation nicht unmittelbarer Bestandteil der vertraglichen Regelung wird, genügen die Regelungen den juristischen Kriterien eines AVV in dieser Hinsicht möglicherweise nicht. Inwiefern eine Einbeziehung im Sinne verständlicher und klarer Kommunikation überhaupt umsetzbar wäre, findet seitens der DSK keine Berücksichtigung.
Unzureichende Konkretisierungen in den Auftragsverarbeitungsverträgen (AVV)
Weiterhin bemängelt die DSK die nach ihrer Auffassung nicht ausreichend detaillierte Festlegung von Art und Zwecken der Verarbeitung, sowie der Art der verarbeiteten Daten. Unter anderem könne dadurch der Verantwortliche der ihn treffenden Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nicht nachkommen.
Das zweite Knackpunkt im Zusammenhang mit der Konkretisierung von Verarbeitungstätigkeiten und Arten personenbezogener Daten, ist die Detailtiefe der Informationsbereitstellung. In Anhang B des AVV bietet Microsoft eine Aufzählung aller potenziell betroffenen Daten. „Potenzielle Betroffenheit“ ist insofern Stichwort des Problems. Als Cloud-Dienstleister ist Microsoft praktisch in jede Verarbeitungstätigkeit des Kunden mit eingebunden. Diese absehen zu können, ist auch theoretisch ein Ding der Unmöglichkeit.
Man muss Microsoft an dieser Stelle zugutehalten, dass sie – wenn auch formal nicht ganz korrekt –im Rahmen ihrer Möglichkeiten den Versuch unternommen haben, Transparenz zu schaffen. Eine konstruktive Bewertung der Problematik seitens der DSK ist nicht erfolgt.
Datenübermittlung in Drittstaaten
Die kritische Bewertung des Drittstaatentransfers ist im Grunde kein hauseigenes Problem Microsofts. Der seitens der DSK vertretene „Null-Risiko-Ansatz“ betrifft auch andere Unternehmen mit Datenflüssen in die USA. Konkret beanstanden die Datenschutzbehörden insbesondere, dass eine ihrer Ansicht nötige Verschlüsselung der „data-in-use“ technisch nicht umsetzbar ist und dadurch ein Restrisiko für den Zugriff durch US-Behörden verbleibe. Die Argumentation der DSK verweist hierzu auf die Beispiele des Europäischen Datenschutzausschusses (EDSA) aus seinen Empfehlungen 01/2020. Unberücksichtigt bleibt die konkrete vertragliche Ausgestaltung der Drittlandübermittlung, bei der Microsoft Ireland Operations Limited und Microsoft Corporations die entsprechenden Standardvertragsklauseln abschließen, nicht hingegen der Kunde.
In der Praxis hat sich dagegen vor allem ein risikobasierter Ansatz zur Beurteilung der Rechtmäßigkeit von Datenexporten durchgesetzt. Unter Berücksichtigung von betrieblichen und wirtschaftlichen Aspekten bei der Einbindung bestimmter drittstaatenbezogener Dienste, wird eine Bewertung im Einzelfall vorgenommen, die sich an der konkreten Datenverarbeitung orientiert. Dabei werden die ergriffenen Maßnahmen zu Risikominimierung und Entschädigung gegenüber dem tatsächlich bestehenden Gefahrenpotenzial abgewogen. Diese Auffassung wird auch von Microsoft vertreten. Das Unternehmen sieht dahingehend sehr umfassende Schutzmaßnahmen vor und sagt vertraglich Entschädigungsleistungen im Falle einer Datenschutzverletzung zu.
Der Streit um die dogmatisch korrekte Bewertung der Rechtmäßigkeit von Datenexporten kann an dieser Stelle nicht aufgelöst werden. Lässt man eine Beurteilung nach dem risikobasierten Ansatz jedoch grundsätzlich genügen, kann seitens Microsofts durchaus mit der Umsetzung umfassender Schutzmaßnahmen argumentiert werden.
- Die datenschutzkonforme Implementierung von MS 365
- Die Datenschutz-Folgenabschätzung am Beispiel von Microsoft 365
- Cloud-Service-Modelle und ihre vertragliche Einordnung
- Software-as-a-Service und Recht – Ein Überblick
Welche Auswirkungen sind infolge der DSK-Erklärung zu erwarten?
Die gute Nachricht zuerst: die Stellungnahme der DSK entfaltet keine unmittelbare Bindungswirkung für öffentliche oder private Nutzer:innen. Dennoch ist Vorsicht geboten. Mit der Erklärung geben die deutschen Datenschutzbehörden ihre – einhellige – Rechtsauffassung bekannt und sind in ihrem Verwaltungshandeln daran gebunden. Da die Einbindung von Microsoft 365 nach ihrer Ansicht im Regelfall nicht datenschutzkonform umsetzbar ist, kann die zuständige Behörde die ihr zustehenden Abhilfebefugnisse ausschöpfen oder – im schlimmsten Fall – ein Bußgeld verhängen. Leider lässt die DSK selbst keinen Ansatz erkennen, welches Handeln aus ihrer Sicht geboten scheint oder zu welchem Vorgehen sie den Nutzer:innen rät. Die Datenschutzbehörden vermeiden es außerdem, allzu konkret im Hinblick auf ihre eigenen Schwerpunktsetzungen und Vorgehensweisen zu werden. So teilte etwa der baden-württembergische Datenschutzbeauftragte jüngst in einem Interview mit, zunächst im öffentlichen Sektor seines Bundeslandes für Rechtsklarheit sorgen zu wollen. Gleichzeitig betonte er, sich im Nachgang den Unternehmen widmen zu wollen. Was darunter zu verstehen ist, hat er nicht verraten. Für Unternehmen hält er insofern noch den Tipp bereit, sich frühzeitig mit dem DSK-Beschluss auseinanderzusetzen und sich über die eigene Verantwortlichkeit Klarheit zu verschaffen.
Fazit
Ob eine datenschutzkonforme Umsetzung im Einzelfall möglich ist, bleibt weiterhin eine Frage der genauen Modalitäten. Eine sachgerechte Beurteilung ist nur in Kenntnis aller Eventualitäten und mit Blick auf aktuelle Entwicklungen möglich. Bei Zweifeln oder Problemen sollte lieber frühzeitige Beratung eingeholt werden. Daneben gilt es, mögliche Beschwerdeverfahren im Blick zu behalten. Auch in der Kommunikation mit Aufsichtsbehörden können erfahrene Berater:innen konstruktive Lösungsansätze erzielen. Gerne stehen wir Ihnen bei Fragen rund um die aktuelle Situation mit Rat und Tat zur Seite.