701467699 © BalanceFormCreative, Shutterstock

Microsoft 365: Ist eine datenschutzkonforme Verwendung möglich?

Zuletzt aktualisiert: 29. November 2022

Spätestens seit dem EuGH-Urteil Schrems II kommen bei der Datenübertragung in die USA und andere Drittländer und somit der Nutzung von Diensten wie Microsoft 365 viele Fragezeichen auf. Oft sind sich Unternehmen unsicher, was sie beachten müssen und wie die Datenübermittlung weiterhin erfolgen kann. Wir haben Ihnen eine Übersicht zu den wichtigsten Punkten des Schrems II-Urteils sowie den Anforderungen an Unternehmen und den Umgang mit Microsoft 365 zusammengestellt.

Update: Datenschutzkonferenz stuft Microsoft 365 als nicht-datenschutzkonform ein

Eine Arbeitsgruppe der Datenschutzkonferenz (DSK) hat untersucht, ob Microsoft 365 datenschutzkonform einsetzbar ist. Basis für diese Beurteilung war der von Microsoft bereitgestellte „Datenschutznachtrag“ vom 15. September 2022. Dieser baut auf einer Bewertung des Arbeitskreises Verwaltung von 2020 auf und ist das Ergebnis von intensiven Gesprächen zwischen Microsoft sowie der Arbeitsgruppe. Der Bericht ist somit keine gesamtheitliche Prüfung, sondern auf ausgewählte rechtliche Anforderungen beschränkt.

Für die deutschen Aufsichtsbehörden hat sich im Zusammenhang mit Microsoft primär die Frage gestellt, ob die einzelnen Verarbeitungstätigkeiten der in Deutschland ansässigen Verantwortlichen rechtmäßig sind und ob der Auftragsverarbeitungsertrag die Anforderungen nach Art. 28 DSGVO erfüllt.

Das Ergebnis des Berichts: Verantwortliche können keinen Nachweis bringen, dass sie Microsoft 365 datenschutzkonform nutzen. Die Arbeitsgruppe bemängelt dabei vor allem, dass Microsoft nicht transparent macht, wie es personenbezogene Daten, die es aus der Auftragsverarbeitung erhält, für eigene Zwecke verarbeitet. Für diese Verarbeitung kann Microsoft zudem die Rechtmäßigkeit nicht belegen.

Problematisch ist außerdem, dass in vielen Fällen unklar ist, wann Microsoft Auftragsverarbeiter und wann Verantwortlicher ist. Denn: Microsoft legt nicht dar, welche Verarbeitungen im Einzelnen stattfinden und welche im Auftrag und welche zu eigenen Zwecken erfolgen.

Laut dem Bericht der Arbeitsgruppe haben die Nachbesserungen von Microsoft das Datenschutzniveau nicht signifikant erhöht. Nicht selten handelt es sich lediglich um begriffliche Änderungen; die Verarbeitungen dahinter haben sich oft nicht geändert.

Außerdem räumt sich Microsoft weiterhin umfassende Rechte ein, ohne diese ausreichend offenzulegen. Auch technische und organisatorische Maßnahmen, die Ausgestaltung von Rückgabe- und Löschverpflichtungen, die Weisungsbindung sowie Informationen über Unterauftragsverarbeiter genügen nicht den gesetzlichen Mindestanforderungen.

Das Ergebnis ist somit, dass eine datenschutzkonforme Nutzung von Microsoft 365 nicht möglich ist – nicht zuletzt, da eine Übermittlung personenbezogener Daten in die USA nicht ausgeschlossen werden kann. Im Bericht werden daher weitere Nachbesserungen gefordert. So soll Microsoft beispielsweise den Gegenstand der Auftragsverarbeitung umfassend, spezifisch und so detailliert wie möglich beschreiben.

Microsoft hat angekündigt, die Datenverarbeitung künftig verstärkt in die EU zu verlagern. Dies könnte durchaus helfen, ist aber auch vor dem Hintergrund etwaiger extraterritorial wirkender Rechtsvorschriften zu beobachten und zu bewerten. Weiterhin hat Microsoft in einer Stellungnahme den Bericht der DSK kritisiert. Microsoft habe vollumfänglich mit der DSK kooperiert, der Bericht lasse wichtige rechtliche Änderungen außen vor und möchte in Zukunft mehr Transparenz zeigen. Laut Microsoft erfülle und übertreffe Microsoft 365 europäische Datenschutzgesetze.

Wie die Aufsichtsbehörden nun mit dem Bericht umgehen und ob sie aktiv Prüfungen durchführen, ist noch unklar. Es ist aber davon auszugehen, dass der Einsatz von Microsoft 365 bei anderen Prüfungen mitbetrachtet wird. Insbesondere öffentliche Stellen sollten damit rechnen, dass die jeweilige Aufsicht konkrete Anforderungen stellen wird (siehe das Verbot des Einsatzes von MS 365 in Schulen in Baden-Württemberg).

Für den Einsatz von Microsoft 365 empfehlen wir folgendes Vorgehen: 

  1. Identifizierung der Verarbeitungsvorgänge und jeweilige Zwecke der Verarbeitung
  2. Identifizierung der Rechtsgrundlagen für die Verarbeitungszwecke
  3. Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
  4. Abhilfemaßnahmen zur Bewältigung der Risiken
  5. Durchführung einer Datenschutzfolgenabschätzung
  6. Exit-Strategie zurechtlegen 

Stand der folgenden Kapitel: 06. November 2020

Schrems II und seine Implikationen

Das Schrems II-Urteil ist eine Entscheidung des Europäischen Gerichtshof zum internationalen Datentransfer. Laut dem Urteil kann in den USA für europäische Bürger:innen nicht dasselbe Datenschutzniveau wie in Europa gewährleistet werden

Das bedeutet im zweiten Schritt, dass personenbezogene Daten nicht mehr ohne weiteres in die USA übermittelt werden dürfen. Auch wenn die Daten nicht direkt versandt werden, reicht ein hypothetisches Zugriffsrecht für einen Verstoß gegen die DSGVO aus. Bis zu diesem Urteil war die Datenübertragung auf Grundlage sogenannter EU-US-Privacy Shields möglich. Mit ein Auslöser für Schrems Klage und das anschließende Urteil war der bereits 2018 verabschiedete Cloud Act. Das Gesetz verpflichtet amerikanische Internet-Firmen und IT-Dienstleister, US-Behörden auf Verlangen auch dann Zugriff auf gespeicherte Daten zu gewährleisten, wenn die Speicherung nicht in den USA erfolgt. 

Dies widerspricht der DSGVO und bereitet nun vielen Unternehmen Schwierigkeiten. Denn das Schrems II-Urteil sieht keine Übergangsfrist vor, sondern hat sofortige Gültigkeit. 

Für einige Drittländer, wie z.B. die Schweiz, können Standardvertragsklauseln eine Alternative bieten. Sie funktionieren ähnlich wie das EU-US-Privacy Shield und sind Musterverträge der EU-Kommission, die eine Selbstverpflichtung der datenexportierenden und importierenden Unter-nehmen beinhalten. Diese können aber nicht problemlos für alle Drittländer angewandt werden. Hier obliegt die Verantwortung, die Eignung des Drittlands zu prüfen, bei den jeweiligen verantwortlichen Datenexportierenden. Nach den Ausführungen des EuGHs (insbesondere Rn. 185/197) ist für die USA auch der Einsatz von Standarddatenschutzklauseln – jedenfalls ohne die zusätzliche Vereinbarung geeigneter Garantien – nicht mehr möglich. Es müssen weitere Vorkehrungen getroffen werden. Wie diese aussehen können, ist bisher aber noch nicht abschließend geklärt.

Was bedeutet das für Unternehmen?

Unternehmen können beispielsweise dann von dem EuGH-Urteil betroffen sein, wenn sie Handlungsbeziehungen in die USA pflegen und personenbezogene Daten über Kund:innen oder Beschäftigte übermitteln. Auch die Speicherung von Daten in einer US-basierten Cloud ist in dem Urteil einbegriffen. Videokonferenzsysteme aus den USA, die Daten der Teilnehmenden erheben und übermitteln, sind hier ebenfalls kritisch zu betrachten. Dies gilt über die USA hinaus für alle Drittländer, die kein der DSGVO gleichwertiges Datenschutzniveau vorweisen können. 

Für Unternehmen bedeutet das Schrems II-Urteil, dass sie personenbezogene Daten auf Grundlage von EU-US-Privacy Shields nicht mehr in die USA und andere Drittländer exportieren dürfen. Außerdem sind die Datenexportierenden dafür verantwortlich, dass der Datenschutz in dem jeweiligen Drittland, in das Daten übertragen werden sollen, auf einem vergleichbaren Niveau mit der DSGVO ist und im Zweifel weitere Sicherheitsmaßnahmen zu treffen. Werden Daten ohne entsprechende Schutzmaßnahmen in die USA oder andere Drittländer exportiert, so ist dies rechtswidrig und kann Bußgelder oder Schadensersatzforderungen zur Folge haben. Daher ist es für Unternehmen sinnvoll, eine Reihe an Maßnahmen einzuleiten. Im ersten Schritt sollten Unternehmen prüfen, wann und auf welcher Rechtsgrundlage eine Übermittlung von personenbezogenen Daten in Drittländer gerechtfertigt ist. Dabei muss auch überprüft werden, ob in den Drittländern und bei den Datenimportierenden ein angemessenes Datenschutzniveau vorliegt. Sollte nicht dasselbe Niveau vorliegen, müssen zusätzliche Maßnahmen getroffen werden (Verschlüsselung usw.). Aus dieser Überprüfung lassen sich die weiteren Maßnahmen ableiten, die bis zur Einstellung von der Datenübertragung in das Drittland reichen können. 

Microsoft 365

Auch Microsoft unterliegt dem Cloud Act und anderen US-amerikanischen Überwachungsgesetzen, da sein Hauptsitz in Seattle ist. Daher muss es personenbezogene Daten seiner Tochterunternehmen – auch wenn sie außerhalb der USA liegen – auf Anfrage an US-Behörden weitergeben. 

Die Datenschutzbehörden in Deutschland streiten sich allerdings darüber, was genau das nun bedeutet. Laut einem Papier der Datenschutzkonferenz (DSK) ist ein datenschutzgerechter Einsatz von Microsoft 365 auf Basis der vorliegenden Unterlagen nicht möglich. Das sehen die Datenschutzaufsichtsbehörden Baden-Württembergs, Bayerns, Hessens und des Saarlandes nicht so eindeutig und vor allem noch nicht als entscheidungsreif. Sie stellen zwar auch heraus, dass es bei Microsoft in Bezug auf Datenschutz Verbesserungspotenzial gibt und unterstützen die DSK bei ihrer grundsätzlichen Zielsetzung, Verbesserungen bei Microsoft zu erreichen, die Gesamtbeurteilung fällt den Behörden allerdings zu undifferenziert aus. 

Außerdem hat Microsoft seine Vertragsbestimmungen in der Zwischenzeit mehrfach aktualisiert. Der DSK lagen allerdings noch alte Bestimmungen vor. Hinzu kommt, dass Microsoft bisher noch nicht förmlich angehört wurde. Die DSK hat allerdings eine Arbeitsgruppe eingesetzt, die mit Microsoft in Dialog treten soll. Die Datenschutzbehörden hoffen auf eine datenschutzrechtliche Nachbesserung seitens Microsofts auf Grundlage von Schrems II. 

Diese Uneinigkeit zwischen den Behörden zeigt bereits, dass es kaum möglich ist, ein abschließendes Fazit zu dem Umgang mit Microsoft 365 zu ziehen. Bisher gibt es noch keine konkreteren Aussagen von Behörden. Das weitere Geschehen sollte aber aufmerksam beobachtet werden. 

Quellen

Brink, Stefan Dr. (2020): Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, „Unsere Freiheiten: Daten nützen – Daten schützen. Orientierungshilfe: Was jetzt in Sachen internationaler Datentransfer?“, 07. September 2020, https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/08/Orientierungshilfe-Was-jetzt-in-Sachen-internationaler-Datentransfer.pdf, letzter Zugriff am 28. Oktober 2020. 

Datenschutzkanzlei (2020): „Kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich?“, 13. Oktober 2020, https://www.datenschutzkanzlei.de/kein-datenschutzgerechter-einsatz-von-microsoft-office-365-moeglich/, letzter Zugriff am 28. Oktober 2020. 

Kremer Rechtsanwälte (2020): „‘Schrems II‘ in der Praxis: Handlungsmöglichkeiten bei Drittlandübermittlungen“, 21. Juli 2020, https://kremer-rechtsanwaelte.de/2020/07/21/schrems-ii-in-der-praxis-handlungsmoeglichkeiten-bei-drittlanduebermittlungen/, letzter Zugriff am 28. Oktober 2020. 

Unabhängiges Datenschutzzentrum Saarland (2020): „Microsoft Office 365_ Bewertung der Daten-schutz-Konferenz zu undifferenziert – Nachbesserungen gleichwohl geboten“, Pressemitteilung, 02. Oktober 2020, https://www.datenschutz.saarland.de/ueber-uns/oeffentlichkeitsarbeit/detail/pressemitteilung-vom-02102020-stuttgart-muenchen-ansbach-wiesbaden-saarbruecken, letzter Zugriff am 28. Oktober 2020. 

Wir verwenden Cookies
Cookie-Einstellungen
Unten finden Sie Informationen über die Zwecke, für welche wir und unsere Partner Cookies verwenden und Daten verarbeiten. Sie können Ihre Einstellungen der Datenverarbeitung ändern und/oder detaillierte Informationen dazu auf der Website unserer Partner finden.
Analytische Cookies Alle deaktivieren
Funktionelle Cookies
Andere Cookies
Wir verwenden technische Cookies, um die Inhalte und Funktionen unserer Webseite darzustellen und Ihren Besuch bei uns zu erleichtern. Analytische Cookies werden nur mit Ihrer Zustimmung verwendet. Mehr über unsere Cookie-Verwendung
Einstellungen ändern Alle akzeptieren
Cookies