Microsoft 365 Datenschutz Schulen, Behörden, Institutionen
Microsoft 365 und der Datenschutz

Microsoft 365 und der Datenschutz

„Wie ist denn das jetzt eigentlich mit der Nutzung von Microsoft 365? Dürfen wir das einsetzen oder nicht?“ Diese Frage kommt zwangsläufig, wenn es um das Thema Datenschutz in Unternehmen geht.

Microsoftprodukte setzt fast jedes Unternehmen ein, bspw. wenn es um Betriebssysteme, Outlook oder Exchange geht. Viele nutzen auch bereits die Cloudprodukte wie Microsoft 365 oder denken über die Einführung nach. Wäre da nicht die Sache mit dem Datenschutz.

Im nachfolgenden Artikel geben wir euch einen Überblick über die Problemstellung, die Einschätzung der Aufsichtsbehörden und ein paar Handlungsempfehlungen.

 

Microsoft 365 und der Datenschutz: Worum geht es?

Die deutschen Aufsichtsbehörden haben sich schon lange damit schwergetan, sich für die Nutzung von Microsoft 365 zu begeistern. Microsoft hat sich zwar bemüht, die Baustellen zu „fixen“, um die Aufsichtsbehörden zu „beruhigen“. Aber so richtig geklappt hat das nicht.

Microsoft hat im September 2022 eine neue Fassung seines Auftragsverarbeitungsvertrags veröffentlicht. In diesem hat das Unternehmen unter anderem die neuen Standardvertragsklauseln der EU-Kommission übernommen. Dies war erforderlich, weil der Europäische Gerichtshof mit dem Schrems-II-Urteil das sog. „Privacy Shield“, welches als Grundlage für die Datenübermittlung in die USA fungierte, für ungültig erklärt hat.

Mit der Datenschutzkonformität von Microsoft 365 befasste sich nun die deutsche Datenschutzkonferenz (DSK – Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden).

 

Zweijährige Untersuchung der DSK beendet

In der Datenschutzkonferenz kommunizieren die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder miteinander. Diese haben die Arbeitsgruppe „Microsoft-Onlinedienste“ ins Leben gerufen, um abzuklären, ob das von Microsoft angebotene Bürosoftware-Paket den hiesigen Datenschutz-Vorgaben genügt und damit großflächig in Behörden, Schulen und anderen öffentlichen Einrichtungen eingesetzt werden kann.

Hinsichtlich der Nutzung von Microsoft-365-Produkten wiesen Datenschutzbeauftragte von Bund und Ländern auf schwerwiegende datenschutzrechtliche Problematiken hin. Diese Erkenntnis folgt aus einem nun erschienenen Beschluss der Datenschutzkonferenz (DSK).

Die achtseitige Zusammenfassung der Untersuchung legt dabei detailliert dar, was die Festlegung der Datenschutzkonferenz auf nur einen Absatz komprimiert. Hier heißt es:

„Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten ‚Datenschutznachtrags vom 15. September 2022‘ nicht geführt werden kann. Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden“.

Anders ausgedrückt: Microsoft kann nicht beweisen, dass es die Vorgaben des Datenschutzes einhält. Weil aber andersherum auch keine konkreten Verstöße festzustellen sind, gibt es keine Konsequenzen.

Wichtig bei der ganzen Bewertung durch den Arbeitskreis ist, dass die DSK sich nur mit dem Auftragsverarbeitungsvertrag beschäftigt hat und eine technische Prüfung nicht Teil der Untersuchung war.

 

Wie äußert sich Microsoft zum Beschluss?

Microsoft hat seinerseits mit einer Stellungnahme auf die Bewertung der Datenschutzkonferenz reagiert, die der Position der Datenschützer widerspricht.

So heißt es unter anderem:

„Microsoft aggregiert lediglich pseudonymisierte, personenbezogene Daten und berechnet Statistiken bezogen auf Kundendaten. Dies resultiert in nicht-personenbezogenen Daten, welche Microsoft dann für folgende Geschäftstätigkeiten nutzt: (i) Abrechnungs- und Kontoverwaltung, (ii) Vergütung, (iii) interne Berichterstattung und Geschäftsmodellierung und (iv) Finanzberichterstattung. Die Rechtsgrundlagen, die bereits den Einsatz von Microsoft 365 durch den Verantwortlichen (Kunden) rechtfertigen, decken auch diese Vorgänge ab. Microsoft wird seine Kunden durch geeignete Unterlagen und Dokumentation zu dieser Auffassung unterstützen.“

Des Weiteren argumentiert Microsoft, dass die Verarbeitung zur Produktverbesserung/-Forschung im Interesse des Kunden erfolgen und somit auch dafür von einem Verantwortlichen- und Auftragsverarbeiter-Verhältnis ausgegangen werden kann.

 

Microsoft zeigt sich offen

Microsoft zeigte sich offen bezüglich der Bedenken der Datenschutzkonferenz, widersprach jedoch dem Beschluss deutlich: Die Microsoft-365-Produkte würden die EU-Datenschutzgesetze durchaus beachten und könnten daher weiterhin sicher genutzt werden. Zudem sah das Unternehmen seine vorgenommenen Änderungen nicht als ausreichend anerkannt an. Zudem basierten die Bedenken der Datenschutzkonferenz auf mehreren Missverständnissen bezüglich der getroffenen Maßnahmen und dem Zusammenspiel der Dienste.

Außerdem warnt das Unternehmen davor, dass ein „ausufernder Aufsichtsansatz“ die Digitalisierung in Deutschland ausbremse und „Verantwortliche (z. B. Schulleiter bei der Erstellung einer Datenschutz-Folgenabschätzung)“ lähme und überfordere. Tatsächlich gilt die Kritik der Datenschützer grundsätzlich für alle kommerziellen IT-Angebote – von Apple bis hin zu Google. An Microsoft soll offensichtlich ein Exempel statuiert werden, vorzugsweise im Bildungsbereich – weil dort, anders als auf Unternehmen, politischer Druck ausgeübt werden kann.

 

Microsoft 365 und der Datenschutz: Die Hauptprobleme zusammengefasst

  1. Eigene Zwecke: Laut DSK verarbeitet Microsoft Daten auch zu eigenen Zwecken. Bspw. Telemetriedienste & Produktforschung.
  2. Drittlandtransfer: Selbst bei einem vereinbarten Serverstandort in Europa, gibt es noch den CLOUD Act und FISA. Somit muss immer ein potenzieller Drittlandtransfer angenommen werden.
  3. Mitarbeiterüberwachung: Durch einige Tools und Features kann es zur Verhaltungsüberwachung der Mitarbeiter kommen.
  4. Compliance: Microsoft bietet ein Security & Compliance Center an, um die eigene Instanz datenschutzkonformer und sicherer zu gestalten. Dies aber nur gegen Aufpreis.

 

Wie sieht unser Fazit dazu aus?

Grundsätzlich muss man feststellen, dass die DSK (und ihre Arbeitskreise) keine rechtlich bindenden Beschlüsse verfassen können und nur eine Stimme von 27 in Europa sind.

Aus unserer Sicht, ist es durchaus möglich Microsoft 365 einzusetzen, wenn man verschiedene Punkte dabei beachtet. Wie fast immer ist es eine Frage der Risikoabwägung und letztendlich auch der Einstellung der Instanz. Solltet Ihr einen Betriebsrat haben, ist es absolut sinnvoll diesen vor der Einführung mit hinzuzuziehen. Dasselbe gilt selbstverständlich auch für Eure Datenschutzbeauftragten.

Vielleicht relativiert sich das Thema, wenn der Nachfolger des US Privacy Shield kommt. Es scheint ja im Zuge des Trans-Atlantic Data Privacy Frameworks (TADPF) wieder ein angemessenes Datenschutzniveau in Aussicht zu stehen. Nur für wie lange?

Es gilt wie immer, solltet Ihr Fragen zu dem oder anderen Themen haben, unser Consulting-Team freut sich über Eure Nachricht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert