Kann Microsoft (Office) 365 noch rechtskonform eingesetzt werden?

Teil 1: Meinungsstand der Datenschutzbehörden

In immer neuen Publikationen ziehen die deutschen Datenschutzbehörden den rechtskonformen Einsatz von Microsoft (Office) 365 in Zweifel. Gleichzeitig aber bleibt der Nutzungsanteil von Microsoft 365 in den Unternehmen so hoch, dass der alternative Einsatz von Konkurrenzprodukten weitgehend ausgeschlossen scheint. In dieser Situation stellen viele Verantwortliche die Frage, ob ein rechtskonformer Einsatz von Microsoft 365 noch möglich oder zumindest vertretbar ist. Im ersten Teil unserer dreiteiligen Serie befassen wir uns ausführlich mit dem derzeitigen Meinungsstand der Datenschutzbehörden.

Die Beauftragung von Microsoft 365 erfolgt im Rahmen eines Vertrages zur Auftragsverarbeitung nach Art. 28 DSGVO in Verbindung mit den Standarddatenschutzklauseln, soweit ein Drittlandtransfer erfolgt. Nach Meinung des Koordinierungsgremiums der deutschen Datenschutzbehörden, der Datenschutzkonferenz (DSK), werden die von Microsoft zur Verfügung gestellten Vertragsdokumente nicht allen Anforderungen von Art. 28 DSGVO gerecht.[1] In einer Stellungnahme des Arbeitskreises Verwaltung der DSK vom 15.07.20 zu Microsoft 365 kommt der Arbeitskreis der DSK zu dem Ergebnis, dass kein datenschutzgerechter Einsatz von Microsoft (Office) 365 möglich sei.[2]

Die Stellungnahme des Arbeitskreises Verwaltung wurde von der DSK zwar mehrheitlich angenommen, die Abstimmung war mit neun Zustimmungen und acht Ablehnungen aber denkbar knapp. Darüber hinaus hatten die Datenschutzbehörden von Baden-Württemberg, Bayern, Hessen, Rheinland-Pfalz, Saarland und Sachsen ausdrücklich darum gebeten, ihre Ablehnung der Entscheidung im Protokoll kenntlich zu machen.

Das Ergebnis der fraglichen Stellungnahme war also auch bei den Datenschutzbehörden selbst stark umstritten. Dies ging soweit, dass sich verschiedene Datenschutzbehörden in einer eigenen Pressemitteilung ausdrücklich von der Stellungnahme distanziert hatten, da kein faires Verfahren stattfand und keine Anhörung von Microsoft erfolgte.[3] Eine weitere Arbeitsgruppe hatte dann Gespräche mit Microsoft aufgenommen, um datenschutzgerechte Nachbesserungen und Anpassungen an die durch die Schrems ll-Entscheidung des EuGH aufgezeigten Maßstäbe an Drittstaatentransfers für die Anwendungspraxis zu erreichen, sodass man zunächst über einen konstruktiven Dialog auf eine Verhandlungslösung hoffte.

Beanstandet wurden in der Stellungnahme der DSK u.a. nachfolgende Mängel der Vertragsdokumente (Auftragsverarbeitungsvertrag, DPA):

die Darstellung, welche Arten von personenbezogenen Daten durch Microsoft verarbeitet werden, war nicht detailliert genug
eigene Verantwortlichkeit Microsofts im Rahmen der Verarbeitung personenbezogener Daten für eigene Geschäftszwecke
Offenlegung verarbeiteter Daten gegenüber US-Behörden, z.B. im Rahmen des Cloud Acts
Umsetzung technischer und organisatorischer Maßnahmen (TOM) nach Art. 32 DSGVO war nicht detailliert genug dargestellt

Microsoft hatte daraufhin mit der Veröffentlichung einer verbesserten Version des DPA reagiert und u.a. bei den TOM nachgebessert.[4] Auch bot Microsoft eine Zusatzvereinbarung zu den Standardvertragsklauseln[5] an, die von verschiedenen Datenschutzbehörden positiv aufgenommen wurde.[6] Allerdings dürfte diese Zusatzvereinbarung inzwischen wegen der neuen Standarddatenschutzklauseln weitgehend obsolet sein. Darüber hinaus gibt es zwischenzeitlich eine Initiative einiger Cloud-Anbieter, darunter auch Microsoft, zur Schaffung eines zentralen Code of Conduct für Cloud-Anbieter.[7]

Die Berliner Datenschutzbehörde hat in Veröffentlichungen vom 03.07.20 und 18.02.21 explizit die verschiedenen Verträge zur Auftragsverarbeitung der Anbieter von Videokonferenz-Diensten untersucht.[8] Zu MS Teams wurden Mängel im Auftragsverarbeitungsvertrag (DPA) von Microsoft sowie unzulässige Einschränkungen der Standarddatenschutzklauseln beanstandet, die jedoch inzwischen durch Nachbesserungen von Microsoft behoben oder zumindest abgemildert wurden. Microsoft hat hierzu eine Gegendarstellung[9] veröffentlicht und argumentiert u.a, dass die Bestimmungen der DSGVO eingehalten werden und dass das DPA eine Vorrangregelung für die Standarddatenschutzklauseln enthält, die somit gültig seien. Beanstandet wird, dass in der Stellungnahme der Berliner Datenschutzbehörde rote Ampeln vergeben werden, obwohl die Datensicherheit der Produkte nicht Gegenstand der Untersuchung war.

Der Datenschutzbeauftragte von Rheinland-Pfalz hat im März 2021 einem Kompromiss zugestimmt, wonach Schüler und Lehrer die Videolösung Teams bis 2022 verwenden können. Microsoft 365 könne in Verbindung mit Cloud-Funktionen datenschutzrechtlich nur verwendet werden, wenn letztere auf eigenen IT-Strukturen des Verantwortlichen oder von Stellen innerhalb der EU technisch umgesetzt werden.[10] In einer weiteren Handreichung zur Rechtskonformität von Videokonferenzsystemen vom 08.12.2021 hat die Datenschutzbehörde von Baden-Württemberg MS Teams untersucht.[11]

Am 25.04.2022 hat ebenfalls die Datenschutzbehörde von Baden-Württemberg den Schulen die Nutzung von M 365 aufgrund der festgestellten datenschutzrechtlichen Mängel untersagt. Zu diesen Mängeln gehören insbesondere auch der Datentransfer in die USA, weil keine ausreichenden risikomindernden Maßnahmen (wie z.B. Verschlüsslung) umgesetzt werden.[12]

Am 24.11.2022 hat die DSK eine Feststellung veröffentlicht, wonach Microsoft den Nachweis, M 365 datenschutzkonform zu betreiben, auf der Grundlage seines bereitgestellten „Datenschutznachtrags vom 15.09.2022“ nicht führen könne. Es fehle insbesondere die notwendige Transparenz bezüglich der im Rahmen der Auftragsverarbeitung für eigene Zwecke von Microsoft verarbeiteten personenbezogener Daten, deren Rechtmäßigkeit Microsoft nicht belegt habe. Für eine vertiefte Bewertung verweist die DSK auf die Zusammenfassung der Arbeitsgruppe, welche M 365 im Detail untersucht hat. Microsoft hat auf die Feststellungen der DSK umgehend bereits am 25.11.22 mit einer ausführlichen Stellungnahme reagiert und weist die Kritik der DSK zurück. Nach Ansicht von Microsoft erfüllen die M365-Produkte die strengen EU-Datenschutzgesetze und können deshalb weiterhin rechtssicher genutzt werden. Mit den Argumenten und der Position von Microsoft werden wir uns im zweiten Teil unserer Serie im Detail beschäftigen.

Fazit

Insgesamt kann festgestellt werden, dass eine einheitliche oder abschließende Einschätzung der deutschen Datenschutzbehörden zur Verwendung von Microsoft 365 nicht vorliegt, die Kritik aber seit Jahren anhält. Aus den von den Datenschutzbehörden vorgetragenen Bedenken lassen sich insbesondere jene Kritikpunkte und Risiken für die Betroffenen ableiten, die auch der EuGH in seiner Schrems II-Entscheidung formuliert hat. Allen Verantwortlichen, die sich fragen, wie Microsoft 365 rechtskonform einsetzbar ist, kann deshalb bereits vorab geraten werden, die rechtlichen Risiken durch die Durchführung eines detaillierten Transfer Impact Assessment (TIA) zu minimieren. Für die Anforderungen an ein TIA im Detail verweisen wir auf den Beitrag „Transfer Impact Assessment – Umsetzung von Schrems II – Der Countdown läuft !“ von RA Horst Speichert. Darüber hinaus werden wir uns mit den Lösungsansätzen im dritten Teil unserer Serie im Detail beschäftigen.

Der erste Teil unserer dreiteiligen Serie zum rechtskonformen Einsatz von Microsoft (Office) 365 wird fortgesetzt mit den beiden weiteren Teilen: