Teil 2: Reaktion auf die Behördenkritik und Abhilfemaßnahmen von Microsoft
In Teil 1 unserer Reihe „Kann Microsoft (Office) 365 noch rechtskonform eingesetzt werden ?“, waren wir im Detail auf die Kritik der deutschen Datenschutzbehörden an den Microsoft-Produkten eingegangen. Die massive Kritik blieb nicht unbeantwortet, vielmehr hat sich Microsoft in einer Reihe von Publikationen mit den Vorwürfen auseinandergesetzt.
Auf die jüngst am 24.11.2022 von der DSK veröffentlichte Feststellung, wonach Microsoft auf der Grundlage seines bereitgestellten „Datenschutznachtrags vom 15.09.2022“ nicht nachweisen könne, M 365 datenschutzkonform zu betreiben, hat Microsoft unmittelbar reagiert, vgl. hierzu insbesondere die umfassende „Stellungnahme zur datenschutzrechtlichen Bewertung von Microsoft 365 durch die DSK“.[1] Microsoft teilt darin die Positionen der DSK nicht, sondern versichert, dass M365-Produkte die strengen EU-Datenschutzgesetze nicht nur erfüllen, sondern sogar übertreffen, und in Deutschland und in der gesamten EU, die M365-Produkte weiterhin rechtssicher genutzt werden können.
Bereits mit seiner Stellungnahme vom 17.08.2022[2] hatte Microsoft auf Bedenken der Datenschutzbehörden reagiert und ausführlich erläutert, warum Microsoft Produkte in der Privatwirtschaft und im öffentlichen Sektor (z. B. an Schulen) datenschutzkonform eingesetzt werden können. Die Anregungen der DSK seien aufgenommen und durch einen verbesserten Auftragsverarbeitungsvertrag (DPA)[3] vom 15.09.2022
umgesetzt worden.
Microsoft wirft der DSK einen ausufernden Aufsichtsansatz vor, der keinen Betroffenenschutz mehr verfolge, sondern Datenschutz zum dogmatischen Selbstzweck mache. Er überfordere und lähme Unternehmen und Behörden (z.B. Schulen) und verhindere die erfolgreiche Digitalisierung Deutschlands. Es drohe ein Rückstand des deutschen Bildungssystems und der Digitalisierung der deutschen
Verwaltung.
Nachfolgend finden Sie jeweils die Kritikpunkte der DSK und die konkrete Reaktion von Microsoft darauf dargestellt.
Datentransfer in unsichere Drittländer
Nach den Ausführungen von Microsoft speichere das Unternehmen Kundendaten bereits aktuell weitgehend regional in Rechenzentren in der EU. Über die gesetzlichen Anforderungen hinaus will Microsoft in naher Zukunft durch die sogenannte „EU-Datengrenze“ den in der EU ansässigen Kunden noch weitergehend ermöglichen, ihre Daten innerhalb der EU zu speichern und zu verarbeiten. Durch die „EU-Datengrenze“ sollen Datenflüsse nach außerhalb der EU reduziert und größere Transparenz bezüglich der verbleibenden, notwendigen Datenflüsse hergestellt werden.[4]
Anforderungen an die Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO
Nacht Ansicht der DSK lege Microsoft nicht vollumfänglich offen, welche Verarbeitungen im Einzelnen stattfinden. Verantwortliche könnten auf dieser Grundlage ihren Rechenschaftspflichten nach Art. 5 Abs. 2 DSGVO nicht ausreichend nachkommen. Darauf erwidert Microsoft, dass an die Rechenschaftspflicht der Verantwortlichen keine übermäßigen Anforderungen gestellt werden dürfen. Als Gesamtlösung sei Microsoft 365 notwendigerweise technisch sehr komplex, sodass Kunden die technische Funktionsweise von M 365 nicht vollständig verstehen müssten. Microsoft stelle die erforderliche Transparenz durch umfangreiche Dokumentationen her. Die DSK habe im Rahmen ihrer Untersuchung nicht den vollen Umfang der von Microsoft publizierten Dokumentationen beachtet.
Festlegung des Vertragsgegenstandes
Nach Ansicht der DSK konkretisiere Microsoft in seinem DPA die Verarbeitungstätigkeiten nicht ausreichend, was den Anforderungen von Art. 28 Abs. 3 Satz 1 DSGVO nicht genüge. Darauf entgegnet Microsoft, dass das DPA die gemäß Art. 28 Abs. 3 Satz 1 DSGVO geforderten Informationen enthalte, indem es im Abschnitt „Verarbeitungsdetails“ auf das Verarbeitungsverzeichnis des Kunden gemäß Art. 30 DSGVO verweist, was den Anforderungen gemäß ISO/IEC 19944 an die Darstellung von Datenerhebungskategorien und Nutzungszwecken im Kontext der Cloud entspräche. Eine weitere Konkretisierung der „Verarbeitungsdetails“ sei nicht zielführend, da die Datenverarbeitung weitgehend durch den Kunden selbst bestimmt würde.
Verarbeitungen für Geschäftstätigkeiten von Microsoft
Aufgrund der Bedenken der DSK schränke das DPA die Verarbeitungsbefugnisse von Microsoft nur unzureichend ein. Dies weist Microsoft zurück. Microsoft aggregiere lediglich pseudonymisierte, personenbezogene Daten und berechne Statistiken bezogen auf Kundendaten. Dies resultiere in nicht-personenbezogenen Daten, welche Microsoft dann lediglich für folgende Geschäftstätigkeiten nutze:
- Abrechnungs- und Kontoverwaltung
- Vergütung
- interne Berichterstattung und Geschäftsmodellierung
- Finanzberichterstattung
Von „eigenen Zwecken“ Microsofts zu sprechen sei irreführend. Die Verarbeitung für Geschäftstätigkeiten von Microsoft sei durch die Bereitstellung der Produkte und Dienste an den Kunden veranlasst und erfolge auch im Interesse der Kunden. Die datenschutzrechtliche Relevanz der Geschäftstätigkeiten von Microsoft sei minimal, da Microsoft nicht auf Inhaltsdaten von Kunden zugreife. Bei vernünftiger Betrachtung handele es sich um eine rein akademische, den Interessen der Betroffenen und Kunden in keiner Weise dienende Diskussion. Im Übrigen seien sich die europäischen Aufsichtsbehörden in der Beurteilung der Rolle der Cloud-Anbieter (Verantwortlicher oder Auftragsverarbeiter) nicht einig, was auch die DSK anerkenne.
Umsetzung der technischen und organisatorischen Maßnahmen (TOM) nach Art. 32 DS-GVO
Nach dem Vorwurf der DSK erfassen die Sicherheitsmaßnahmen von Microsoft nur eine Teilmenge der vertragsgegenständlichen, personenbezogenen Daten. Auch diese Einschätzung der DSK teilt Microsoft nicht. Vielmehr verpflichte sich Microsoft zur Einhaltung
von TOM für alle verarbeiteten Daten und erfülle damit die Anforderungen von ISO 27001, ISO 27002 und ISO 27018.
Informationen über Unterauftragsverarbeiter
Nach der Kritik der DSK informiere Microsoft nur darüber, dass Änderungen an Unterauftragsverarbeitern geplant seien, nicht jedoch welche Änderungen konkret beabsichtigt sind. Die bereitgestellten Informationen seien nicht detailliert genug. Darauf erwidert Microsoft, dass den Kunden jederzeit eine Übersicht der von Microsoft eingesetzten Unterauftragsverarbeiter zur Verfügung gestellt werde. Darüber hinaus sei Microsoft dem Wunsch der DSK nachgekommen, ein Benachrichtigungsverfahren per E-Mail einzuführen, welches alle Kunden von Microsoft 365 aktiv über Aktualisierungen informiert und auf die online verfügbare Liste der Unterauftragsverarbeiter verweise.
Fazit
Insgesamt ist Microsoft der Meinung, dass die von der DSK geäußerten Bedenken die bereits vorgenommenen Änderungen nicht angemessen berücksichtige und zum Teil auf Missverständnissen hinsichtlich der Funktionsweise der Dienste und der bereits ergriffenen Maßnahmen beruhe.
Der Datenschutz-Podcast mit Horst Speichert und Simone Seidel – YouTube
Der beiden ersten Teile unserer dreiteiligen Serie zum rechtskonformen Einsatz von Microsoft (Office) 365 wird in Kürze fortgesetzt mit:
Teil 3: Detaillierte Lösungsstrategien zum rechtssicheren Einsatz von M 365
[1] https://news.microsoft.com/wp-content/uploads/prod/sites/40/2022/11/2022.11_Stellungnahme-MS-zu-DSK_25NOV2022_FINAL.pdf
[2] https://news.microsoft.com/de-de/sind-microsoft-365-und-microsoft-teams-datenschutzkonform-die-antwort-lautet-ja/
[3] https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA
[4] https://news.microsoft.com/de-de/unsere-antwort-an-europa-microsoft-ermoeglicht-speicherung-und-verarbeitung-von-daten-ausschliesslich-in-der-eu/; https://blogs.microsoft.com/eupolicy/2021/12/16/eu-data-boundary-for-the-microsoft-cloud-a-progress-report/