Microsoft 365 und Datenschutz: Best Practice für die Nutzung im Jahr 2023
Die mehr als zweijährige Auseinandersetzung um die Möglichkeit datenschutzkonformer Nutzung des Cloud-Diensts Microsoft 365 (M365 oder MS365) ist mittlerweile zum Politikum geworden. Das Gremium der unabhängigen Datenschutzbehörden des Bundes und der Länder, die Datenschutzkonferenz (DSK), hat sich zuletzt im November 2022 kritisch geäußert. Die neuerliche Beanstandung hat zu entschiedener Gegenwehr seitens Microsoft geführt und das Unternehmen zu einer Neuauflage seines Datenschutznachtrags zum 01.01.2023 veranlasst. Die raschen und komplexen Entwicklungen stellen Unternehmen, die Microsoft 365 weiterhin nutzen möchten, vor Herausforderungen. In diesem Artikel ordnen wir die wesentlichen Kritikpunkte ein und zeigen Lösungen auf.
Wie ist die Festlegung der DSK einzuordnen?
In ihrer Festlegung bestätigt die DSK zunächst nur – etwas kryptisch – ihre „Kenntnisnahme“ der Bewertung des Datenschutznachtrags vom 15.09.2022 durch die Arbeitsgruppe Microsoft-Onlinedienste (AG MS-Onlinedienste). Diese hat im Auftrag der DSK geprüft, ob Unternehmen, Behörden und sonstige nutzende Stellen beim Einsatz von M365 rechtmäßig handeln und insbesondere, ob die Auftragsverarbeitung den Anforderungen nach Art. 28 Datenschutz-Grundverordnung (DSGVO) gerecht werden. Die AG MS-Onlinedienste wurde im Jahr 2020 infolge eines Berichts des Arbeitskreises Verwaltung (AK Verwaltung) ins Leben gerufen, um Gespräche mit Microsoft aufzunehmen und eine datenschutzgerechte Nachbesserung bei M365 zu erwirken. Aus Sicht des AK Verwaltung wurden die gesetzlichen Anforderungen an einen Auftragsverarbeitungsvertrag durch die Online Service Terms (OST) und Datenschutzbestimmungen, dem Data Processing Agreement (DPA), Microsofts nicht erfüllt. Aufgrund dieser konkreten vertraglichen Mängel sei keine datenschutzkonforme Nutzung von M365 möglich. Mit dem Datenschutznachtrag vom 15.09.2022 sollte eine Nachbesserung der beanstandeten Punkte verwirklicht werden. Die Bewertung der AG MS-Onlinedienste im November 2022 beschränkt sich deshalb im Wesentlichen auf eine Überprüfung des Datenschutznachtrags hinsichtlich der bereits im Jahr 2020 benannten Mängel. Das potenziell einschlägige vertragliche Gesamtwerk Microsofts wird ausdrücklich nicht mit einbezogen. Auch technische Untersuchungen oder die Prüfung datenschutzrechtlicher Fragen des TTDSG finden nicht statt. Im Ergebnis kommt die AG MS-Onlinedienste zu der Feststellung, dass mit dem Datenschutznachtrag vom 15.09.2022 bezüglich der geprüften Kritikpunkte nur geringfügige Verbesserungen erreicht worden seien. Auf Basis zahlreicher Prämissen wird die Möglichkeit der datenschutzkonformen Nutzung vom M365 für hiesige Verantwortliche somit weiterhin verneint. Die Frage nach der grundsätzlichen Datenschutzkonformität des Produkts M365 wurde insofern bewusst offengelassen. Da die europäische Hauptniederlassung des Konzerns im irischen Dublin liegt und im Rahmen von M365 grenzüberschreitende Verarbeitungen durchgeführt werden, wäre nach Art. 56 Abs. 1 DSGVO die irische Datenschutzbehörde in diesem Anliegen federführend. Dass die Festlegung der Datenschützer:innen in Teilen auf konkreten Handlungsbedarf seitens Microsofts abstellt, erscheint vor diesem Hintergrund fragwürdig, ebenso wie der Umstand, dass die Äußerung einer Produktwarnung gleichkommt.
Welche Wirkung hat der neue Datenschutznachtrag von Microsoft?
Mit dem Update seines Datenschutznachtrags zum 01.01.2023 hat Microsoft unverzüglich auf die Festlegung der DSK reagiert. Soweit dies von den Unternehmen vereinbart wird und sich die streitigen Passagen geändert haben, entzieht der neue Datenschutznachtrag der vorgebrachten Kritik formal die Angriffsfläche. Da die datenschutzrechtlichen Würdigungen dadurch jedoch nicht aus der Welt geschafft werden, bietet der Nachtrag einige inhaltliche Änderungen. Entgegen der früheren Begrenzung auf Volumen-Lizenzverträge gelten die neuen Regelungen für sämtliche in Betracht kommende Vereinbarungen über Produkte oder Dienste Microsofts. Außerdem verpflichtet sich das Unternehmen im Anwendungsbereich des europäischen Datenschutzrechts beispielsweise zur Implementierung und Bereitstellung der Sicherheitsmaßnahmen nach Anhang II der Standardvertragsklauseln. Damit wird bezüglich der vormals gerügten Umsetzungsmängel bei den technisch-organisatorischen Maßnahmen (TOM) nachgebessert. Mit Blick auf die rechtliche und politische Brisanz sind jedoch insbesondere die nachfolgend dargestellten Neuerungen zu Rechenschaftspflicht und Drittstaatentransfer interessant.
Das könnte Sie auch interessieren:
- Stellungnahme der DSK: Ist Microsoft 365 noch datenschutzkonform umsetzbar?
- Scrum-Verträge: Herausforderungen und Lösungsansätze für die Vertragsgestaltung
- Die datenschutzkonforme Implementierung von MS 365
Kritikpunkt: Verstoß gegen die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO
Hauptkritikpunkt der Datenschützer:innen ist, dass die Verantwortlichen anhand des Datenschutznachtrags vom 15.09.2022 nicht den erforderlichen Nachweis rechtmäßiger Verarbeitung im Rahmen des M365–Einsatzes erbringen könnten. Dadurch seien die Verantwortlichen nicht in der Lage, die sie treffende Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO zu erfüllen. Dieser Auffassung legt die AG MS-Onlinedienste zwei aus ihrer Sicht bestehende vertragliche Mängel zugrunde. Zum einen sei die Konkretisierung des vertraglichen Gegenstands nicht hinreichend präzise. Darüber hinaus handle Microsoft bei den Verarbeitungen zu eigenen Zwecken („Geschäftstätigkeiten“) in eigener datenschutzrechtlicher Verantwortung und mache dies nicht im notwendigen Maß transparent.
1. Festlegung des vertraglichen Gegenstands
Microsoft agiert bei der Datenverarbeitung für Kund:innen grundsätzlich als Auftragsverarbeiter. Das Unternehmen ist insofern nicht selbst datenschutzrechtlich verantwortlich, sondern verarbeitet Daten auf Weisung der Kund:innen. Nach Art. 28 Abs. 3 DSGVO müssen der Gegenstand der Verarbeitung (die vorgenommene Dienstleistung), sowie Art und Zwecke der Verarbeitung, einschließlich der Daten selbst, vertraglich geregelt werden. Detailtiefe und Umfang dieser Beschreibungen werden gesetzlich nicht festgelegt. Aus Sicht der DSK wurden die durch Kund:innen intendierten Verarbeitungstätigkeiten durch den Datenschutznachtrag vom 15.09.2022 jedoch nicht ausreichend konkretisiert. Diese müssten spezifisch und detailliert beschrieben werden, was beispielsweise durch die formgerechte Einbeziehung des Verzeichnisses der Verarbeitungstätigkeiten (VVT) der Kund:innen geschehen könne. Diese Auffassung hat aus verschiedenen Gründen Kritik erfahren. Als Cloud-Dienst ist M365 in jede nur potenzielle Verarbeitungstätigkeit der Kund:innen in der M365-Umgebung eingebunden. Da die Anwendungen in M365 zu diversen Zwecken verwendet werden können, ist es schlichtweg unmöglich, alle in Betracht kommenden Verarbeitungstätigkeiten vorab zu dokumentieren. Aus juristischer Perspektive kann deshalb kritisiert werden, dass der geforderte Detailgrad ohne Berücksichtigung der spezifischen Funktionsweise – und damit unsachgerecht – hergeleitet wurde. Die vorgeschlagene Konkretisierung des Vertragsgegenstands anhand einer Einbindung des Kund:innen-VVT geht an der Realität des Geschäftsmodells einer standardisierten Cloud-Anwendung vorbei. Die Festlegung des Vertragsgegenstands ist Kern jeder vertraglichen Vereinbarung und setzt eine beidseitige Beschäftigung mit der verabredeten Leistung voraus. Der DSK zufolge müsste Microsoft jedes einzubeziehende VVT einsehen und Leistungsgegenstand individuell konkretisieren.
2. Verarbeitung zu Geschäftstätigkeiten
Bei der Nutzung von M365 durch Kund:innen erstellt Microsoft anhand pseudonymisierter Einzeldaten Statistiken. Da anhand dieser aggregierten Statistiken keine Rückschlüsse auf individuelle natürliche Personen gezogen werden können (sog. anonyme Daten), findet die DSGVO auf die Ergebnisse keine Anwendung. Anhand der ermittelten Werte werden beispielsweise Abrechnungen durchgeführt und Vergütungen berechnet. Die Aggregation pseudonymisierter Kund:innendaten zu statistischen Zwecken ist im SaaS-Umfeld deshalb üblich. Aus dem notwendigen Zwischenschritt der Anonymisierung leiten die Datenschützer einen eigenen Verarbeitungszweck – und im Ergebnis die eigene datenschutzrechtliche Verantwortlichkeit – Microsofts her. Der Datenschutznachtrag sei dahingehend jedoch nicht hinreichend konkret und berge die Gefahr, dass sich Microsoft umfassende Verarbeitungen zu eigenen Zwecken offenhalte. Dem widerspricht Microsoft mit Blick auf die Notwendigkeit der statistischen Auswertung zur Aufrechterhaltung seines Geschäftsmodells. Ohne entsprechende Abrechnungsgrundlagen sei es nicht möglich, den Kund:innen die gebotene Leistung zur Verfügung zu stellen. Bei der Verwertung der Kund:innendaten handele es sich deshalb lediglich um einen Annex zur Auftragsverarbeitung. Die diesbezüglichen Pflichten würden durch den Datenschutznachtrag erfüllt. Beide Auffassungen sind aus rechtlicher Sicht vertretbar und müssen letztlich übergeordnet – etwa durch die Herbeiführung einer gerichtlichen Entscheidung – geklärt werden.
3. Was ändert sich durch den neuen Datenschutznachtrag?
Mit seinem neuen Datenschutznachtrag verpflichtet sich Microsoft zur Unterstützung des Verantwortlichen bei der Einhaltung seiner Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Durch den Datenschutznachtrag und die Bereitstellung von Produktdokumentationen soll eine bedarfsgemäße und einzelfallbezogene Unterstützung gewährleistet werden. Aufgrund der umfangreichen Produktdokumentationen bietet diese Supportverpflichtung eine praxisgerechte Lösung. Ob die Aufsichtsbehörden ihre Kritik dadurch entkräftet sehen, bleibt jedoch abzuwarten. Wie die Datenschützer betont haben, müssen „Verantwortliche (…) jederzeit in der Lage sein, ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachzukommen“. Dass die verlangten vollumfänglichen Offenlegungen im Einzelfall von der praktischen Unterstützung Microsofts abhängen, könnte deshalb weiterhin als problematisch aufgefasst werden.
4. Best Practices für Nutzer:innen
Die DSK verfolgt das zentrale Anliegen, dass die Verantwortlichen den Datenschutz und die Belange der Betroffenen ernst nehmen. Die durch die Datenschützer gerügten Punkte, insbesondere die Tragweite der eigenen Rechenschaftspflicht, sollten nachvollzogen und ernst genommen werden. Formale Aspekte und Rahmenbedingungen der M365 – Nutzung – beispielsweise in der Regel die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO sollten lückenlos verwirklicht werden. Die über M365 stattfindenden Verarbeitungstätigkeiten sollten umfassend und detailliert dokumentiert werden. In diesem Zusammenhang sollte beispielsweise das VVT gepflegt, geprüft und ggf. nachgebessert werden. Da bestimmte Voreinstellungen die Durchführung hintergründiger Datenverarbeitungen durch Microsoft erlauben, sollten die individuellen Nutzer:inneneinstellungen überprüft und entsprechende Befugnisse deaktiviert werden. Interne Leitlinien zur M365-Nutzung können bei der Umsetzung eines unternehmensweiten Datenschutzstandards und der Sensibilisierung der Mitarbeiter unterstützen.
Kritikpunkt: Drittstaatentransfer
Durch den Datenschutznachtrag vom 15.09.2022 beauftragt der Kunde Microsoft zur Datenübermittlung in die USA. Die dortigen gesetzlichen Regelungen erlauben unter Umständen eine – aus Sicht des EuGH – unverhältnismäßige Zugriffsbefugnis durch die US-Behörden. Der fehlende Rechtsschutz für EU-Bürger macht den Datentransfer in die USA deshalb zu einem grundsätzlichen Problem. Aus Sicht der DSK gelingt es Microsoft nicht, das Risiko behördlichen Zugriffs effektiv zu verhindern. Gegenüber dem seitens der Datenschützer vertretenen „Null-Risiko-Ansatz“ wird zum Teil eine im Ergebnis risikobasierte Handhabung des Problems praktiziert. Durch Gewährleistungen zum Schutz der Daten und Schadenskompensation kann das verbleibende Restrisiko gegenüber den EU-Bürgern zumindest effektiv verringert werden. Der neue Datenschutznachtrag begegnet den Bedenken im Zusammenhang mit Drittstaatenübermittlungen mit der Einführung des „EU Data Boundary“. Für Kund:innen des öffentlichen Sektors und Unternehmenskund:innen soll dadurch schrittweise die Verarbeitung ihrer Daten innerhalb der EU-Datengrenze ermöglicht werden. Die Änderung zum 01.01.2023 bezieht sich zunächst nur auf die Speicherung und Verarbeitung der Kund:innendaten. In der zweiten und dritten Phase des Rollout sollen schließlich bis 2024 auch die Verarbeitung personenbezogener Daten aus Logdateien und bei der Inanspruchnahme von Supportdiensten in diesen Raum verlegt werden. Insgesamt wird die Drittstaatenproblematik dadurch zwar nicht vollständig aufgelöst, der bald erwartete Angemessenheitsbeschluss der Kommission dürfte der Thematik jedoch einiges an Gewicht nehmen. Verantwortlichen verbleibt die Aufgabe, die Entwicklungen im Blick zu behalten und ihr DSFA schon jetzt hinsichtlich der EU-Datengrenze anzupassen.
M365 – ein vertretbares Risiko?
Durch die jüngste Festlegung der DSK hat sich die Rechtsunsicherheit bei der Nutzung von M365 neuerlich vertieft. Einige der offenen Fragen setzen aufsichtsbehördliche oder gerichtliche Entscheidungen voraus und sind dem unmittelbaren Einfluss der Nutzer:innen dadurch entzogen. Infolge dieser Unklarheiten bleibt der Einsatz von M365 für Unternehmen vorerst risikobehaftet. Die Argumentation der Datenschutzaufsichtsbehörden ist jedoch in vielen Punkten schwach geblieben. Mit dem Handlungsspielraum seitens der Nutzer:innen und dem neuen Datenschutznachtrag sprechen gleichzeitig gute Gründe für die Möglichkeit datenschutzkonformer M365-Verwendung. Unternehmen stehen somit weiterhin vor der Herausforderung, eigenständig die Vertretbarkeit der Risiken des M365-Einsatzes abzuwägen und für sich zu bewerten. Das zentrale Anliegen der DSK, den Datenschutz und die Belange der Betroffenen ernst zu nehmen, muss im Falle der Nutzung unbedingt berücksichtigt werden. Vor diesem Hintergrund sollte eine bewusste Auseinandersetzung mit den datenschutzrechtlichen Problemen stattfinden und bestehende Chancen – etwa durch datenschutzfreundliche Einstellungen und eine zeitnahe DSFA – genutzt werden.
Sie möchten MS 365 bei sich im Unternehmen weiterhin nutzen und haben tiefergehenden Beratungsbedarf?