Mehr Infos
Menü Zum Kontakt Telefon: +49 6151 - 99 55 0

 

 

 
 
 

 

 

 

Microsoft 365 gehört sowohl im unternehmerischen als auch im öffentlichen Bereich zu den meistgenutzten cloudbasierten Office-Anwendungen. Jedoch bestehen seit längerer Zeit Zweifel an der Datenschutzkonformität der Nutzung der Software-Produkte, die sich spätestens seit dem Schrems II-Urteil des EuGH verstärkt haben (Urteil vom 16. Juli 2020, Rs. C-311/18). Seit Jahren sprechen sich die deutschen Datenschutzbehörden gegen die Nutzung der Online-Tools aus. So kommt das Gremium der unabhängigen Datenschutzbehörden des Bundes und der Länder, der sogenannten Datenschutzkonferenz (DSK) auch in seiner diesjährigen Zwischenkonferenz vom 22. September 2022 wieder zu dem Ergebnis, dass ein rechtskonformer Einsatz des Office-Pakets Microsoft 365, das von Unternehmen, Behörden und Schulen eingesetzt wird, ohne zusätzliche technische Maßnahmen nicht in möglich ist.

 

Das Wichtigste in Kürze

  • Die DSK kommt im Rahmen ihrer Untersuchung von Microsoft 365 zu dem Ergebnis, dass ein datenschutzkonformer Einsatz nicht möglich sei.
  • Die überarbeitete Fassung des Auftragsverarbeitungsvertrages liefere weiterhin nicht die notwendige Transparenz.
  • Es sei nicht erkennbar, welche Daten von dem US-Unternehmen für eigene Zwecke verarbeitet werden bzw. verarbeitet werden können.
  • Das Ergebnis der Untersuchung der DSK stellt kein formales Verbot des Einsatzes von Microsoft 365 dar, da es sich um einen unverbindlichen Beschluss handelt.

 

Das Problem beim Einsatz von Microsoft 365

Das Problem beim Einsatz von Microsoft 365 ist seit jeher, dass im Rahmen der Nutzung eine große Menge an personenbezogenen Daten für verschiedene Zwecke verarbeitet werden und oft nicht überschaubar ist, ob und welche Datendirekt an den Softwareanbieter in den USA übermittelt werden. Seitdem der EuGH in seiner Schrems II-Entscheidung das EU-US-Privacy Shield für ungültig erklärt hat, ist eine Datenübermittlung in die USA mit dem europäischen Datenschutzrecht zudem nur noch schwer vereinbar.

 

Untersuchung der Microsoft-Onlinedienste im Jahr 2020

Die DSK hat bereits im Jahr 2020 einen Bericht veröffentlicht, in dem sie auf Basis der Ergebnisse einer von ihr durchgeführten Untersuchung der Lizenz- und Datenschutzbestimmungen der Microsoft-Onlinedienste zu dem Ergebnis kam, dass ein datenschutzkonformer Einsatz der Softwareprodukte nicht möglich ist. Bei der Untersuchung nahmen die Behörden insbesondere die Einhaltung der Anforderungen von Art. 28 DSGVO ins Visier. Art. 28 DSGVO regelt die Verarbeitung personenbezogener Daten durch einen Auftragsverarbeiter. Darunter sind z.B. Unternehmen zu verstehen, die personenbezogene Daten vom Verantwortlichen zum Zwecke der auftragsgebundenen und weisungsabhängigen Datenverarbeitung erhalten. Die DSGVO stellt an dieses Vorgehen hohe Anforderungen. Als Softwaredienstleister ist Microsoft auch ausweislich der Lizenzbedingungen Auftragsverarbeiter i.S.d. Art. 28 DSGVO. Auftraggeber ist dabei jeweils das die Dienste nutzende Unternehmen.

 

Nachprüfung aufgrund einer neuen Fassung des Auftragsverarbeitungsvertrages

Der Softwaredienstleister hat im September eine neue Version des „Microsoft Products and Services Date Protektion Addendum“, in dem unter anderem die neuen Standardvertragsklauseln der EU-Kommission übernommen wurden, veröffentlicht. Dies nahmen die Behörden zum Anlass, eine neue Bewertung von Microsoft 365 vorzunehmen.

Insbesondere hat Microsoft nähere Angaben dazu gemacht, welche Daten zu eigenen Zwecken genutzt werden. So werden beispielsweise statistische Daten, die keinen Personenbezug aufweisen, aus pseudonymisierten Daten aggregiert, um daraus anschließend Statistiken zu erstellen. Auf Inhalte von Kundendaten erfolge kein Zugriff. Zwecke, die bisher aufgezählt wurden, wie der Kampf gegen Betrug oder Cyberkriminalität, werden nicht mehr aufgeführt.

 

DSGVO-konformer Einsatz aufgrund fehlender Transparenz nicht möglich

Auch wenn Microsoft zwischenzeitlich Besserungen des Produkts im Hinblick auf den Datenschutz vorgenommen hat, sei es dem Unternehmen nicht gelungen, die DSGVO-Konformität des Produkts sicherzustellen, so die Datenschützer.

Von zentraler Bedeutung war unter anderem die Frage der Behörden, in welchen Fällen Microsoft als Auftragsverarbeiter tätig ist und wann eine eigene Verantwortlichkeit im Sinne der DSGVO vorliegt. Dies konnte im Rahmen der Zusammenarbeit mit Microsoft nicht abschließend geklärt werden.

Problematisch ist dies auch deshalb, weil Verantwortliche i.S.d. Art. 5 Abs. 2 DSGVO zur Rechenschaft verpflichtet sind. Beim Einsatz von Microsoft 365 gestaltet sich der Nachweis der Einhaltung der DSGVO-Vorgaben auch auf Grundlage des „Datenschutznachtrags“ weiterhin schwierig, da der Dienstleister nicht vollumfänglich offenlegt, welche Verarbeitungen im Einzelnen stattfinden. Die überarbeitete Fassung des Auftragsverarbeitungsvertrages liefert nach Auffassung der Datenschutzbehörden immer noch nicht die notwendige Transparenz, da nicht erkennbar ist, welche Daten von dem US-Unternehmen für eigene Zwecke verwendet werden können, sodass sich nicht prüfen lässt, ob alle Verarbeitungsschritte rechtmäßig sind.

 

Zusätzliche Maßnahmen erforderlich

Der Bundesdatenschutzbeauftragte kündigte an, dass die Datenschutzbehörden in Einzelfällen prüfen müssen, ob nicht doch ein datenschutzkonformer Einsatz möglich ist. Dies betrifft den Umgang mit Biometrie-, Diagnose und Telemetriedaten. Zudem wäre es denkbar, eine Mikrovirtualisierung oder einen Proxyserver einzusetzen, um verhindern zu können, dass die genannten Daten zu Microsoft abfließen. Jedenfalls sollte das Softwarepaket nicht ohne zusätzliche Schutzmaßnahmen auf dem Rechner genutzt werden.

 

Verantwortliche müssen ausreichende Datenschutz-Garantien prüfen

Nach der DSGVO dürfen Verantwortliche grundsätzlich nur solche Dienstleister beauftragen, die ausreichende Garantien für den Datenschutz bieten. Daher liegt es im Verantwortungsbereich des Unternehmens, dies vor dem Einsatz von Microsoft-Produkten zu prüfen. Für den Einsatz der Dienste ist zu empfehlen, die Programmeinstellungen zur Verbesserung der Benutzerfreundlichkeit zu deaktivieren und Diagnosedaten in den Einstellungen auf die Mindestmenge zu beschränken. Selbstverständlich sollten Auftragsverarbeitungsverträge unter Beachtung der neuen Standardvertragsklauseln abgeschlossen und eine Datenschutzfolgenabschätzung durchgeführt werden. Letztlich sollten sämtliche Maßnahmen umfassend dokumentiert werden, um im Falle einer behördlichen Prüfung nachweisen zu können, dass man als Verantwortlicher sämtliche Maßnahmen getroffen hat, die im Rahmen der Nutzung von Microsoft 365 möglich sind.

 

Kein formelles Verbot des Einsatzes von Microsoft 365

Der Beschluss der DSK stellt kein formales Verbot des Einsatzes von Microsoft 365 dar, da die Beschlüsse der DSK nicht rechtsverbindlich sind. Zudem handelt es sich bei er aktuellen Veröffentlichung der DSK nicht um eine vollständige Datenschutzbewertung des Cloud-Dienstes Microsoft 365, sondern lediglich um eine Bewertung der Datenschutzbestimmungen als Teil der Nutzungsverträge für Microsoft 365. Dennoch können und werden einzelne Aufsichtsbehörden der Bundesländer die Bewertung zum Anlass nehmen, um den Einsatz der Dienste intensiver zu überprüfen.

 

Ausblick

An der datenschutzrechtlichen Bewertung der Softwareprodukte durch die DSK hat sich nichts geändert. Der Einsatz von Microsoft 365 ist und bleibt damit grundsätzlich ein Risiko für Unternehmen und muss genau geprüft werden. Insoweit besteht nicht nur das Risiko einer Prüfung durch die Datenschutzbehörden, die im gravierendsten Fall mit einem empfindlichen Bußgeld enden kann. Vielmehr könnten auch Kunden des Unternehmens, das Microsoft 365-Dienste einsetzt, Betroffenenrechte geltend machen. Es ist zu erwarten, dass Bund und Länder unterschiedlich mit dem Beschluss umgehen werden. Konkrete Maßnahmen, insbesondere Sanktionen sind in nächster Zeit noch nicht zu erwarten. Vielmehr werden die Behörde zunächst in den Dialog mit den Unternehmen gehen, um gemeinsam Lösungsmöglichkeiten oder Alternativen zu erörtern. Dennoch sollten sich Verantwortliche jetzt schon mit der Thematik auseinandersetzen und auf eine datenschutzkonforme Lösung hinarbeiten, die je nach Nutzungsumfang durchaus möglich sein kann.

 

Call Now ButtonKontakt aufnehmen