Zum Inhalt springen

Kann Microsoft (Office) 365 noch rechtskonform eingesetzt werden?

Teil 3: Lösungsstrategien für den rechtskonformen Einsatz von M 365

In Teil 2 unserer Reihe „Kann Microsoft (Office) 365 noch rechtskonform eingesetzt werden ?“, haben wir die Antworten von Microsoft auf die massive Kritik der deutschen Datenschutzbehörden an den Microsoft-Produkten im Detail dargestellt. Im dritten Teil nun werden wir uns mit den verschiedenen Lösungsansätzen beschäftigen, um M 365 datenschutzkonform einzusetzen.

EuGH Schrems II

In der richtungsweisenden EuGH-Entscheidung Schrems II definiert der EuGH die Anforderungen, unter denen personenbezogene Daten weiterhin in die USA, Indien, China oder andere unsichere Drittländer übermittelt werden dürfen. Notwendig ist demnach für den Einsatz von M 365 insbesondere eine spezielle Risikoanalyse, die auch Datentransferfolgenabschätzung oder Transfer Impact Assessment (TIA) genannt wird und in Klausel 14 der neuen SCC geregelt wurde.

Der neue EU-Standardvertrag (SCC)

Die europäische Kommission hat am 04.06.2021 die neuen EU-Standard-Datenschutzklauseln (SCC) beschlossen. Die alten SCC sind seit dem 27.12.2022 unwirksam. Allerdings ist der Abschluss der neuen SCC allein für den Einsatz von M 365 nicht ausreichend. Vor Abschluss der neuen SCC und vor dem damit verbundenen Transfer personenbezogener Daten in unsichere Drittländer muss gemäß Klausel 14 der SCC ein TIA durchgeführt werden, um die Rechtslage im Drittland und die notwendigen Zusatzmaßnahmen (z.B. Zusatzvereinbarung, Verschlüsselung, Kontrolle der Supportzugriffe usw.) zu ermitteln.

Anforderungen an das TIA

Die Anforderungen an ein TIA und die damit verbundene Risikoanalyse kommt von der europäischen Ebene, insbesondere vom EDPB (European Data Protection Board = EDSA, Europäischer Datenschutzausschuss), der für das TIA wichtige Leitlinien erlassen hat. Das EDPB ist das Datenschutzgremium der EU, das die Datenschutz-Vorgaben in der EU koordiniert. In den verlinkten Leitlinien des EDPB finden sich auf Seite 3 eine „Executive summary“ mit sechs Schritten, die im Hauptteil des Dokuments im Detail erläutert werden. Wichtig auch noch „Annex 2“ mit den möglichen Zusatzmaßnahmen.

Die Datenschutzbehörden in Deutschland haben ebenfalls verschiedene Vorgaben undLeitlinien für das TIA erlassen und bekannt gegeben, dass sie die Umsetzung von Schrems II, insbesondere die notwendige Risikoanalyse, verstärkt überprüfen werden. Zu diesem Zweck wurden verschiedene Fragebögen veröffentlicht, die eine Vielzahl von Fragen und Prüfungspunkten enthalten, mit denen die Anforderungen eines TIA überprüft werden.

Rechtslage im unsicheren Drittland

Im Zuge der Risikoanalyse von M 365 ist zu klären, welche Datenschutzgesetze gelten am Speicherort im unsicheren Drittland, z.B. in den USA. Beschränken diese oder andere Gesetze den Zugriff der Ermittlungsbehörden/ Nachrichtendienste auf Personendaten ?  Welche Grund- und Abwehrrechte haben die betroffenen Personen nach diesen Gesetzen? Hier hat bereits der EuGH in seiner Schrems II-Entscheidung die nötigen Feststellungen getroffen und ein unzureichendes Datenschutzniveau in den USA ausgeurteilt.

Art und Umfang der Daten

Das Risiko für die Betroffenen richtet sich immer auch nach der Sensibilität und dem Umfang der personenbezogenen Daten der Betroffenen, die in die Cloud gestellt und dort verarbeitet werden. Sind z.B. Gesundheits- oder Religionsdaten dabei, findet eine einmalige oder kontinuierliche Übermittlung statt usw. ? Zwar fallen im Rahmen der Nutzung von M 365 oder Teams auch personenbezogene Daten an, sie sind aber häufig nicht als hochsensibel einzustufen. Die Antworten auf diese Fragen muss allerdings jeder Verantwortliche (Unternehmen oder Behörde) selbst individuell klären und dafür Sorge tragen, dass durch eine geringe Verarbeitung von personenbezogenen und sensiblen Daten in der M 365-Cloud auch das Risiko für die Betroffenen reduziert wird.

Speicherort der ruhenden Daten

Wo die Server stehen, auf denen personenbezogene Daten gehostet werden und aus welchen Ländern Supportzugriffe erfolgen, sind für die Risiken der Betroffenen maßgebliche Fragen. Es ist deshalb ein zentraler Lösungsansatz zur Risikoreduktion, alle Kerndienste, die Daten der Betroffenen hauptsächlich verarbeiten (z.B. Teams, Exchange, SharePoint, OneDrive usw.) mit Speicherort in Deutschland oder in der EU zu betreiben.

Nach den aktuellen „Product Terms“ (Produktbestimmungen) vom 15.03.23 speichert Microsoft die ruhenden Daten für M 365 in der selben Region, in welcher der Kunde seinen Mandanten (Tenant) betreibt. Der Standort der Server und gespeicherten Daten kann zudem auf der vom Kunden angegebenen Rechnungsadresse basieren. Der Kunde selbst hat es durch die Wahl seines Mandanten also in der Hand, den Speicherort innerhalb der EU zu wählen, um damit eine maßgebliche Risikoreduzierung zu erreichen.

Supportzugriffe

Liegen die ruhenden Daten von M 365 in Deutschland oder der EU, kann es lediglich im Rahmen eines Supportzugriffs durch Microsoft zu Datenübermittlungen in unsichere Drittländer kommen. Supportanfragen durch Kunden in der M 365 Cloud sind aber eher selten. Hinzukommt, dass nach den Angaben von Microsoft Kundenprobleme und Supportanfragen in der Regel durch Telemetrie- und Debuggingwerkzeuge von Microsoft behoben werden, die Microsoft für seine Dienste installiert hat, ohne dass ein Zugriff auf Kundendaten erforderlich wäre. Auch im Rahmen der seltenen Supportanfragen bildet also der Zugriff auf Kundeninhalte durch Microsoft-Techniker die Ausnahme. In einigen Fällen muss jedoch ein Microsoft-Techniker auf Kundeninhalte zugreifen, um die Ursache zu ermitteln und das Problem zu beheben.

Auch aufgrund eines eigenen IT-Supports bei der Verantwortlichen lassen sich Tickets und Supportzugriffe durch Microsoft und damit das Risiko reduzieren.

„EU Datengrenze (EU Data Boundary)“

Microsoft wird sich künftig verstärkt bemühen, die Supportzugriffe überwiegend aus dem EU-Raum umzusetzen und die Supportzugriffe aus den USA weiter zu reduzieren. Bis Ende 2022 wurde hierfür von Microsoft die sogenannte „EU Datengrenze“ („EU Data Boundary“) umgesetzt, wonach künftig ein physischer Transfer von Supportdaten nach außerhalb Europas überwiegend unterbleiben soll. Hierfür will Microsoft zusätzliche Maßnahmen wie die „Virtual Desktop Infrastructure“ (VDI) und „Screen-Rendering“ nutzen, sodass die Notwendigkeit von physischen Datenübertragungen oder -speicherungen außerhalb der EU-Datengrenze zunehmend vermieden wird.

Zusatzvereinbarung

Welche zusätzlichen Verpflichtungen zur Einhaltung rechtlicher Anforderungen oder zu technischen oder organisatorischen Schutzmaßnahmen, zur Information über Behördenersuchen oder zur Einlegung von Rechtsmitteln Microsoft akzeptiert, sollte durch Verhandlungen mit Microsoft bezüglich einer möglichen Zusatzvereinbarung ausgelotet werden. In einer Zusatzvereinbarung haben die Parteien die Möglichkeit, auf die Kritikpunkte der Datenschutzbehörden zu reagieren und die aufgezeigten rechtlichen Risiken für die Betroffenen zu reduzieren. Inhaltlich sind in einer Zusatzvereinbarung mit Microsoft z.B. die nachfolgenden Punkte denkbar:

–           keine Verarbeitung zu eigenen Zwecken

–           explizite Geltung Anhang C, Anlage 1 zum neuen DPA

–           Geltung der Mindestanforderungen des Art. 28 DSGVO

–           vollumfängliche Geltung der Standardvertragsklauseln

–           Information der Betroffenen bei Offenlegung

–           Unterauftragsverarbeiter 

–           Haftungsfragen

Technische Zusatzmaßnahmen

Microsoft verpflichtet sich in seinem AV-Vertrag in der neuesten Fassung vom 01.01.23 („Data Protection Addendum“, DPA), geeignete technische und organisatorische Maßnahmen zu ergreifen, sodass die Datenverarbeitung im Einklang mit den Anforderungen der DSGVO, insbesondere Art. 32 DSGVO, sowie ISO 27001, ISO 27002 und ISO 27018 erfolgt und der Schutz der Rechte der betroffenen Personen gewahrt wird, siehe z.B. S. 8f., 21, 22 sowie Anhang A (Sicherheitsmaßnahmen) des DPA von Microsoft.

Über das allgemeine Sicherheitskonzept hinaus sind im Rahmen von Microsoft 365 modulartig weitere spezielle Sicherheitsmaßnahmen möglich. Die Verantwortliche kann nachfolgende spezielle Sicherheitsbausteine hinzubuchen und damit das Risiko für die Betroffenen weiter reduzieren:

  • Data Loss Prevention (DLP)      
  • Information Protection and Governance
  • Customer Lockbox
  • Microsoft Defender for Office 365
  • Conditional Access + Multi-Factor Authentication (MFA)         
  • Access Reviews  
  • Privileged Identity Management (PIM)  

Fazit

Aufgrund der dargestellten Ansatzpunkte erhält die Verantwortliche die Möglichkeit, durch vielfältige Maßnahmen das Risiko für die Betroffenen durch M 365 in einem Maße zu reduzieren, dass die Defizite aufgrund der ungünstigen Datenschutzgesetze in den USA durch kompensierende Rahmenbedingungen und Zusatzmaßnahmen soweit ausgeglichen werden, dass im Zusammenspiel mit dem Abschluss des DPA von Microsoft und den neuen Standarddatenschutzklauseln insgesamt ein ausreichendes Datenschutzniveau erreicht werden kann. Allerdings ist hierfür eine umfassende Risikoanalyse im Rahmen eines TIA erforderlich.

Der Datenschutz-Podcast mit Horst Speichert und Simone Seidel – YouTube

Top