Microsoft 365 nicht datenschutzkonform?
Die Datenschutzkonferenz (DSK) stellte vor kurzem fest, dass Datenschutzverantwortliche keinen Nachweis darüber erbringen könnten, dass die Software Microsoft 365 datenschutzkonform betrieben werde.
Diese Meinung wurde in einer Veröffentlichung festgehalten, die seitdem in Fachkreisen für Diskussionen sorgt. Wenig überraschend hält auch Microsoft „… viele der datenschutzrechtlichen Einschätzungen sowie die Schlussfolgerungen der DSK für grundlegend falsch…“.
Thüringens Landesdatenschutzbeauftragter Lutz Hasse will mit Unternehmerverbänden und Behörden über die Umsetzung eines Beschlusses der Datenschutzkonferenz zur Office-Software des US-Unternehmens Microsoft sprechen. „Dieser Beschluss richtet sich an alle Behörden und alle Unternehmen“, sagte Hasse der Deutschen Presse-Agentur (dpa).
Konsequenz könnte laut Hasse sein, dass die Software nicht mehr verwendet werden kann. Allerdings wolle er nun zunächst herausfinden, wie stark sie in der Unternehmerschaft verbreitet sei. Zudem wolle er unter anderem mit der Industrie- und Handelskammer über die Auswirkungen des Beschlusses sprechen.
Nun, wie weit verbreitet die Software in Unternehmen ist, dürfte leicht rauszufinden sein, denn immerhin gilt Microsoft im Bereich der Office-Produkte als Marktführer und doch haben die Cloudumsätze die Umsätze der Softwarepakete bereits überholt.
Verantwortlichkeit und Nachweispflicht
Stefan Brink: „Ich kann das nur für Baden-Württemberg beantworten: Wir werden uns zunächst um öffentliche Stellen kümmern. Da werden wir uns diejenigen ansehen, die mit besonders sensiblen Daten umgehen. … Erst wenn wir im öffentlichen Sektor Klarheit geschaffen haben und hinreichend Erfahrungen gesammelt haben in der Umsetzung des Beschlusses, werden wir auf die Unternehmen zugehen. … Erreichen uns Aufsichtsbehörden konkrete Beschwerden, so kann dies natürlich auch Anlass zu Prüfungen sein. Aber auch hier müssen wir realistisch bleiben: Wir werden nicht alle Beschwerden gleichzeitig bearbeiten können, auch da müssen wir priorisieren.“
„Die Botschaft an die Unternehmen ist, dass sie selbst die Verantwortlichen sind und dass sie als Verantwortlicher selbst die Datenschutzkonformität ihrer Prozesse nicht nur sicherstellen, sondern auch nach Artikel 5 Abs. 2 DSGVO nachweisen müssen. Dieser Nachweis kann nicht allein durch Bezugnahme auf Unterlagen von Microsoft geführt werden, sondern die Verantwortlichen müssen sich selbst von der Rechtskonformität aller Verarbeitungen überzeugen und gegebenenfalls auch weitergehende Ermittlungen dazu anstellen.“
Wir schätzen die Meinung von Dr. Brink, da er immer wieder den Datenschutz mit pragmatischen und realisierbaren Ideen verbindet. Auch diesmal freut uns, dass er erst einmal bei den öffentlichen Stellen beginnen will und damit mit gutem Beispiel vorangehen will. Speziell die Aussage, dass die Überprüfung der Rechtskonformität auch weitergehende Ermittlungen benötigen kann, wundert uns bei den von Microsoft bereitgestellten Nachweisen doch etwas. Denn gerade das OLG Karlsruhe hatte im Urteil zur Vergabekammer Baden-Württemberg festgestellt, dass den vertraglichen Zusicherungen eines Dienstleisters grundsätzlich erst einmal Vertrauen geschenkt werden darf.
Eigene Zwecke in der Auftragsverarbeitung?
Weiter gibt Hr. Brink zu bedenken: „Bewegung gibt es auch in dem Punkt, dass Microsoft sich in seinen Vertragsbestimmungen immer noch die Nutzung von Kundendaten zu eigenen Zwecken vorbehält. In dem Bereich kann man sicher noch mehr Klarheit hinbekommen. Denn sie nutzen Kundendaten eben nicht, wie sie jetzt betonen, für eigene Zwecke, wenn sie diese im Rahmen der Auftragsverarbeitung für Abrechnungen von Leistungen verwenden. Das ist tatsächlich kein eigener Zweck von Microsoft.“
Dies unterstreicht einmal mehr unsere Ansicht, dass eine Auftragsverarbeitung keine eigenen Zwecke zulässt. Die Weisungsgebundenheit des Dienstleisters gilt so gesehen ausnahmslos. Allerdings kann man unserer Meinung nach zwischen den Zeilen herauslesen, dass die Abrechnung der Leistungen und die Gewährleistung der Sicherheit und die Verarbeitung dazu benötigter Daten letztendlich Teil der (beauftragten) Auftragsverarbeitung sind und nicht als eigener Verarbeitungszweck zu betrachten ist.
Dies bedeutet unserer Auffassung nach, dass die DSK hier einen formalen inhaltlichen Fehler des Vertrages zur Auftragsverarbeitung bemängelt, obwohl andererseits das Vorhandensein dieser Verarbeitungen erwartungsgemäß ist und ein Hinweis darauf im Rahmen des Transparenzgebotes auch sinnvoll erscheint. Microsoft’s Fehler ist es dabei nur, diese Verarbeitungen als eigene Zwecke zu betrachten.
Andere Meinungen zum Thema…
So verwundert es dann auch nicht, dass die Rechtsanwälte Stefan Hessel, LL.M. und Christina Kiefer, LL.M. der Reusch Rechtsanwaltsgesellschaft mbH zu der Erkenntnis kommen, dass die Forderungen der DSK an die Auftragsverarbeitung durch Microsoft höher ausfallen, als es der Art. 28 DSGVO oder die Veröffentlichung der EDSA aus 2020 vorgeben.
Datenübermittlung ins Drittland
Zuletzt bleibt, wie bei fast allen Cloud-Angeboten das Totschlagargument, dass die Weitergabe an die US-Strafverfolgung im Rahmen des CloudAct bzw. FISA702 nicht vermeidbar wäre und damit eine Verarbeitung im Auftrag durch eine Tochtergesellschaft eines US-Dienstleisters mit hoher Wahrscheinlichkeit nicht mit dem Datenschutz vereinbar ist.
Zumindest diesbezüglich gibt es erste gute Nachrichten der EU. Im März hatten wir auf die Gespräche zwischen der EU und den USA hingewiesen, wonach ein neuer „transatlantischer Datenschutzrahmen“ im Gespräch sei. Im Oktober gab es dann eine „Executive Order“ vom US-Präsidenten Joe Biden, welche als direkte Anweisung dazu führen soll, dass die US-Strafverfolgung die Rechte von EU-Bürgern stärker berücksichtigt und die Arbeit der Behörden dadurch mit den Datenschutzvorgaben der EU kompatibel wird. Was nun noch fehlt ist eine Anerkennung der EU-Kommission, dass dieses Ziel erreicht wurde. Ein entsprechender Beschlussentwurf liegt nun vor! Ob die Regelungen der Executive Order ausreichend sind, damit der Datenschutz auch in den USA angemessen berücksichtigt wird, wird heftig diskutiert und auch Max Schrems äußert seine Skepsis diesbezüglich. Es besteht daher die Gefahr eines weiteren Verfahrens bis zu einem potenziellen „Schrems III“-Urteil. Angesichts der hohen Akzeptanz und Beliebtheit der Microsoft-Services würde ein Angemessenheitsbeschluss aber wenigstens für eine gewisse Zeit eine Rechtssicherheit für viele Unternehmen bedeuten, denn aktuell ist die Nutzung dieser Services alles andere als sicher.
Unser Fazit
Trotz aller Unklarheiten und Kritikpunkte an der Executive Order und einem potenziellen Angemessenheitsbeschluss der EU-Kommission, für viele Unternehmen würde dies eine Zeit zum Durchschnaufen bedeuten, denn die aktuelle Unsicherheit ist für alle betroffenen Unternehmen schädlich! Auch die Verträge vieler Cloud-Anbieter, wie z.B. Microsoft im oben genannten Beispiel, sind in Bezug auf die Anzahl bereitgestellter Nachweise und Informationen, meist detailreich und aussagekräftig. Wir erleben da gerade bei kleineren Dienstleistern in der EU noch oft genug unvollständige Verträge oder Nachweise, die selbst bei mehrfacher Nachfrage nicht wirklich aufschlussreich sind. Mit gutem Willen kann man hier oft nur von der Erfüllung der Basisanforderungen sprechen.
Zusammen mit dem Beschluss des OLG Karlsruhe kommen wir für uns zu dem Ergebnis, dass die Forderungen und Erkenntnisse der DSK zu weit gehen und nicht mehr angemessen sind.
Der Beitrag Microsoft 365 nicht datenschutzkonform? erschien zuerst auf CompliPro GmbH.