Die Datenschutzkonferenz hat eine neue Bewertung zur Nutzung von Microsoft 365 veröffentlicht, die öffentliche sowie nicht-öffentliche Anwender betrifft. Schulen, Behörden und Unternehmen müssen jetzt prüfen, wie sie die Office-Lösung aus der Cloud datenschutzkonform einsetzen können.
Es ist eine viel beachtete Festlegung, welche die Datenschutzkonferenz, bestehend aus den Datenschutzbehörden des Bundes und der Länder, veröffentlicht hat. Es geht um die Frage, ob man nach EU-Recht Microsoft 365 datenschutzkonform betreiben kann. Die Entscheidung der Aufsichtsbehörden richtet sich nicht an Microsoft, sondern an die Nutzer von Microsoft 365.
Die Datenschutz-Grundverordnung (DSGVO) enthält Vorgaben für Verantwortliche und Auftragsverarbeiter. Demnach müssen die Verantwortlichen nachweisen können, dass ihre Nutzung von Microsoft 365 den Datenschutzbestimmungen genügt. Das ist nur dann möglich, wenn ausschließlich mit Auftragsverarbeitern zusammengearbeitet wird, die nachweisen können, dass die personenbezogenen Daten der Auftraggeber datenschutzkonform verarbeitet werden.
Das Ergebnis der Prüfung der Verträge von Microsoft
Für die Nutzung von Microsoft 365 gibt es Verträge, die auch Aussagen zu den Datenschutzmaßnahmen enthalten, die Microsoft garantiert. Hierzu hat Microsoft einen „Datenschutznachtrag vom 15. September 2022“ erstellt, der Bestandteil dieser Verträge wird. Auf Basis des Berichts der Arbeitsgruppe DSK „Microsoft-Online-Dienste“ stellt die DSK fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzkonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten Datenschutznachtrags vom 15. September 2022 nicht geführt werden kann. Ohne diesen Nachweis kann ein Unternehmen die Vorgaben der DSGVO für Auftragsverarbeitung jedoch nicht einhalten. Die DSK macht deutlich, dass solange insbes. die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, dieser Nachweis nicht erbracht werden kann.
Das sagen die Aufsichtsbehörden zur Situation
Der Aufsichtsbehörden erklären die Situation wie folgt: Gemäß der DSGVO müssen die Verantwortlichen nachweisen können, dass Microsoft 365 transparent und rechtmäßig verwendet werden kann. Das können sie aber nicht, solange Microsoft – seinen eigenen Unterlagen zufolge – personenbezogene Daten für eigene Zwecke verwendet und dazu auch keine weitergehenden Angaben macht. Überdies kann vor diesem Hintergrund der Verantwortliche den Auftragsverarbeiter (Microsoft) gar nicht anweisen, die Daten in bestimmter Weise zu verarbeiten oder eben nicht zu verarbeiten, solange sich Microsoft vorbehält, Daten auch für eigene Zwecke zu verarbeiten – ein klarer Verstoß gegen die DSGVO. Hinzu kommen die Fragen der Datenübermittlung in die USA.
Aus Sicht der Aufsichtsbehörden lässt sich konstatieren, dass es hinsichtlich Microsoft 365 in den sog. „OST“ (Online Service Terms) bzw. dem DPA (Date Processing Agreement) weiterhin Regelungen gibt, die den datenschutzrechtlichen Anforderungen an die Transparenz der Datenverarbeitung, die Einwirkungsmöglichkeiten des Auftraggebers, die Zwecke der Datenverarbeitung oder die Löschung von Daten nicht entsprechen. Für die Datenschützer steht außer Frage, dass weitere Regelungen und Maßnahmen erforderlich sind, um einen datenschutzkonformen Betrieb von Microsoft 365 zu erreichen.
Das sagt Microsoft zum Prüfungsergebnis
Microsoft sieht die datenschutzrechtliche Situation anders: „Wir teilen die Position der DSK nicht und stellen sicher, dass Microsoft-365-Produkte die strengen EU-Datenschutzgesetze nicht nur erfüllen, sondern oft sogar übertreffen. Kunden in Deutschland und in der gesamten EU können Microsoft-365-Produkte weiterhin bedenkenlos und rechtssicher nutzen.“
Die eigene Position untermauert Microsoft damit, dass die von der DSK geäußerten Bedenken die bereits vorgenommenen Änderungen nicht angemessen berücksichtigen und auf mehreren Missverständnissen hinsichtlich der Funktionsweise der Dienste und bereits ergriffenen Maßnahmen beruhen. Überdies ist der US-Konzern der Meinung, dass der DSK-Bericht wichtige rechtliche Änderungen nicht berücksichtigt, die einen größeren Schutz der Privatsphäre für den Datenverkehr zwischen der EU und den USA bieten werden.
Zur Transparenz bei der Datenverarbeitung ergänzte Microsoft, dass man sich die Forderung der DSK nach mehr Transparenz zu Herzen nähme und im Rahmen der geplanten EU-Datengrenze im Sinne der Transparenz weitere Dokumentationen zu den Datenströmen bezüglich der Kunden und Verarbeitungszwecke bereitstellen werde. Zudem werde auch mehr Transparenz über die Standorte und Verarbeitung durch Unterauftragsverarbeiter und Microsoft Mitarbeiter außerhalb der EU geschaffen.
Es bleibt also spannend, wie die weiteren Bewertungen Aufsichtsbehörden ausfallen werden und welche Möglichkeiten gefunden werden, um die bemängelten Punkte auszuräumen. Als Unternehmen muss man hier am Ball bleiben, denn die Verantwortung für den Datenschutz liegt nicht nur bei Microsoft, sondern eben auch bei den Verantwortlichen. Sie müssen entscheiden, ob Microsoft 365 (weiterhin) genutzt wird oder nicht.
05.01.2022
