Ist Microsoft 365 datenschutzkonform einsetzbar?

Einige Voraussetzungen sind einzuhalten

Was ist das Grundproblem bei der Nutzung von Microsoft 365 (früher Office 365)?

Microsoft hat seinen Sitz in den USA und Microsoft 365 ist eine Cloud-Lösung, das heißt, die Daten liegen auf Servern, v.a. auch in den USA. Man nennt das einen sog. Drittstaatentransfer d.h. es findet eine Verarbeitung von Daten außerhalb der EU statt. Doch sogar, wenn die Daten nur auf deutschen Servern liegen würden, wären aufgrund der rechtlichen Situation in den USA so, dass Microsoft bestimmte Daten an US-Behörden herausgeben müssten, wenn diese danach fragen.

Nun ist es aber leider so, dass die Datenschutzbestimmungen in den USA nicht konform sind mit der in Deutschland geltenden DSGVO. Deshalb braucht man mit Anbietern außerhalb der EU eine gesonderte Rechtsgrundlage. Das Privacy Shield ist als Rechtsgrundlage weggefallen, das heißt, Unternehmen, die Microsoft 365 einsetzten, brauchen eigene vertragliche Regelungen (v.a. Auftragsverarbeitungsverträge und sog. Standarddatenschutzklauseln), die die Datenverarbeitung regeln.

Man könnte sich vorstellen: ok, dann schließe ich halt diese Verträge ab – und dann bin ich rechtskonform unterwegs? Dem ist aber leider nicht so. Die DSK hat 2020 entschieden, dass Office 365 rechtswidrig ist, weil es eigentlich de facto nicht datenschutzkonform genutzt werden kann. Es gibt viele Datenschützer, die das differenziert sehen.

Das verlinkte Positionspapier der Datenschutzbehörden BW, Bayern, Hessen und Saarland ist datiert auf den 02.10.2020 und bezieht sich auf die damalige Entscheidung der DSK die Bewertungen des Arbeitskreises Verwaltung anzunehmen, wogegen die Datenschutzbehörden der Länder Baden-Württemberg, Bayern, Hessen, Rheinland-Pfalz, Saarland, Sachsen gestimmt haben.

Das Stimmverhältnis bezüglich der kürzlich – am 24.11.2022 – ergangenen Entscheidung der DSK ist noch nicht einsehbar, da ein Protokoll (noch) nicht veröffentlich ist.

Jedoch hat die DSK den vollständigen Abschlussbericht der Arbeitsgruppe DSK „Microsoft-Onlinedienste“ am 07.12.2022 veröffentlicht.

Unter Einhaltung bestimmter Voraussetzungen kann Microsoft 365 datenschutzkonform eingesetzt werden

Was steht im DSK Beschluss vom 24.11.2022?

Mit Beschluss vom 24.11.2022 – unter Verweis auf den Bericht der Arbeitsgruppe DSK „Microsoft- Onlinedienste“ und dessen Zusammenfassungen – hat die DSK (Datenschutzkonferenz) festgestellt, „dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann“.

Was waren die Hauptkritikpunkte im DSK Beschluss vom 24.11.2022?

  1. Fehlende Transparenz der Verarbeitung:
    Microsoft hat bzw. konnte nicht aufschlüsseln, welche Daten es als Auftragsverarbeiter und welche es als eigener Verantwortlicher zu eigenen Zwecken verarbeitet. Wenn bereits Microsoft dies nicht kann, wie kann ein Verantwortlicher, der Microsoft 365 nutzt, wissen, welche Daten noch in seinem Auftrag verarbeitet werden und welche Daten er Microsoft zu dessen eigener Verarbeitung offenlegt. Insofern ist es einem solchen Verantwortlichen nicht möglich, seine Nutzer hinreichend zu informieren.
    Interessant in diesem Zusammenhang die Pressemitteilung des TLfDI vom 26.11.2022. Er schlussfolgert daraus, dass der Nutzer keine informierte Einwilligung abgegeben kann und damit Art. 6 Abs. 1 lit. a DSGVO als Rechtsgrundlage für die Verarbeitung ausscheidet. Des Weiteren verletzt der Verantwortliche seine Informationspflicht aus Art. 13 DSGVO.
  1. Keine TOMs bezüglich aller personenbezogenen Daten – Verletzung von 32 DSGVO
  2. Keine hinreichende Ausgestaltung von Rückgabe- und Löschfristen (Art. 28 Abs. 3 Uabs. 1 S. 2 lit. g DSGVO)
  3. Keine ausreichende Informationen über die Änderung bei dem Einsatz von Unterauftragsverarbeitern (Art. 28 Abs. 2 DSGVO)
  4. Datenübermittlung in die USA

Pressemitteilung des Thüringer Landesbeauftragten für Datenschutz und die Informationsfreiheit.

Der Landesbeauftragte ist der Ansicht, dass sich die DSK hier nicht an Microsoft wendet, sondern an die Verantwortlichen.

Wie bindend ist diese Einstufung? Vor Behörden und Firmen?

 

Bindungswirkung der „Festlegung“

Die vorliegende Information hat für die Verantwortlichen keine (unmittelbare) Bindungswirkung. Es handelt sich um eine „Festlegung“ (= Festlegung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder); Festlegungen sind Positionen zu internen inhaltlichen, technischen oder organisatorischen Fragen einschließlich der Gremienarbeit.

Hier die aktuelle Geschäftsordnung der DSK

Eine solche Festlegung hat auch keine Bindungswirkung für die Behörden. Für den Verantwortlichen hat eine Festlegung erst Bindungswirkung, wenn er einen von einer Behörde erlassenen Verwaltungsakt nicht (erfolgreich) anficht.

Gilt das auch für die On-Premise-Lizenzen?

 

On-Premises Office-Produkte meint die „klassischen“ Office Produkte, die auf dem PC lokal installiert werden, ohne Abo erwerbbar sind und nicht tief in die Microsoft Cloud eingebunden sind. Die aktuellste Version ist derzeit Microsoft Office 2021. Mit einem Blick auf die Microsoft Homepage lässt sich leicht sehen, dass Microsoft verstärkt Microsoft 365 bewirbt und kaum Informationen zu Microsoft Office 2021 zu finden sind. Es könnte also passieren, dass Microsoft die „On-Premises“ Office Produktsparte ganz einstellt.
Der Einsatz eines On-Premise Produkts dürfte datenschutzrechtlich nur dann einen Unterschied machen, wenn es keine Cloud-Einbindung gibt. In der Praxis dürfte es wohl aber wohl so sein, dass Microsoft 365 das Microsoft Office 2021 mit direkter Anbindung an die Microsoft Cloud und einigen zusätzlichen Features ist (siehe Microsoft Produktseite). Zwar besteht also bei Office 2021 keine Cloudanbindung jedoch ist davon auszugehen, dass auch bei den On-Premise Produkten ein erheblicher Datenfluss zu Microsoft stattfindet, wie die z.B. die Untersuchungen des LfDI zu Microsoft 365 nahelegen. Beispielsweise kommt es zu einer umfangreichen Übertragung von Telemetrie- und Diagnosedaten.


Letztlich ist dem Verantwortlichen auch beim Einsatz von einem On-Premise Produkt nicht klar, welche Daten erhoben werden und zu welchem Zweck sowie welche Daten Microsoft im Auftrag des Verantwortlichen verarbeitet und welche selbst als Verantwortlicher. Damit kann der Verantwortliche z.B. beim Einsatz eines (nicht komplett vom Internet abgeschotteten) On-Premise Produkts nicht seiner Verpflichtung aus Art. 13 DSGVO gerecht werden.

Datenablage und Sicherung für M365 soll ab 2023 nur noch in der EU stattfinden. Greift dann auch der Patriot Act nicht mehr?

Was ist der Patriot Act?

Gemäß dem Patriot Act von 2001 müssen US-Unternehmen personenbezogene Daten auf Verlangen von US-Behörden oder auf richterliche Anordnung hin herausgeben.

Wann greift der Patriot Act nicht mehr?

Gemäß dem Patriot Act von 2001 müssen US-Unternehmen personenbezogene Daten auf Verlangen von US-Behörden oder auf richterliche Anordnung hin herausgeben. Microsoft hatte sich nach einer richterlichen Anordnung auf Datenherausgabe widersetzt, weil sich die Daten nicht in den USA, sondern in einem Rechenzentrum in Irland  - und damit in Europa - befanden. Nach Ansicht Microsofts wäre es dann so, dass das Datenschutzrecht des Landes gelte, in dem die Daten gespeichert sind und die DSGVO erlaubt eben keine Herausgabe der Daten in die USA.

Danach erließ die Regierung TRUMP den CLOUD Act (= Clarifying Lawful Overseas Use of Data Act). Er verpflichtet US-Unternehmen selbst dann zur Datenherausgabe, wenn lokale Gesetze (wie z.B. die DSGVO) dies am Ort des Datenspeichers verbieten. Seitdem muss sich Microsoft also entscheiden, welches Recht es verletzen möchte – und welches es einhält.

Ergo: Wenn Unternehmen sicher DSGVO-konform arbeiten wollen, müssen sie nicht nur darauf achten, wo die Daten gespeichert sind, sondern auch, wo das speichernde Unternehmen seinen Sitz hat.

Mehr Infos

Kann Microsoft 365 nun datenschutzkonform eingesetzt werden?

Da die Lösung der datenschutzrechtlichen Probleme (größtenteils) nur durch Microsoft selbst erzielt werden kann, können jetzt auch kaum Maßnahmen durch den Verantwortlichen ergriffen werden, um Microsoft 365 vollständig und ohne Beanstandung der Aufsichtsbehörden rechtskonform einzusetzen.

Ein breites Vorgehen der Aufsichtsbehörden gegen Verantwortliche ist bis jetzt nicht ersichtlich. Allerdings gibt es anlassbezogene Prüfungen, bei denen der Einzelfall genau geprüft wird. Aus Gründen der Datenschutzkonformität empfehlen wir ausdrücklich die Abarbeitung der folgenden Liste:

Voraussetzungen für eine datenschutzkonforme Nutzung von Microsoft 365

  • Prüfen Sie, ob es evtl. europäische Alternativen für MS 365 gibt
  • Zerlegen Sie MS 365 in die relevanten Apps und nehmen Sie nur das, was Sie wirklich brauchen
  • Buchen Sie Azure Europe/Deutschland
  • Sperren Sie „gefährliche Apps“, wie z.B. Delve, Graph, Yammer
  • Überprüfen Sie kontinuierlich nach relevanten Änderungen
  • Deaktivieren Sie Administrator Auswertungsmöglichkeiten der Benutzeraktivitäten
  • Stellen Sie die Übermittlung von Telemetriedaten ab (GPO)
  • Implementieren Sie Sicherheitsmaßnahmen (v.a. Verschlüsselung)
  • Erlassen Sie verbindliche Regelungen (DA, BV, Richtlinie …)
  • Schulen Sie die Mitarbeiter
  • Sorgen Sie für datenschutzkonforme Verträge (AVV, SCC)
  • Tragen Sie MS 365 in das VVT ein (Block oder modular)?
  • Dokumentieren Sie Ihre Entscheidungen und Maßnahmen

Stand: Dezember 2022

Sie brauchen Unterstützung?

Wir stehen Ihnen gerne für weitere Fragen und zur Beratung zur Verfügung - kontaktieren Sie uns!
Kontakt
envelopephonemap-markerlocation