Microsoft 365

Ist eine datenschutzkonforme Verwendung möglich?

Microsoft 365: Ist eine datenschutzkonforme Verwendung möglich?

Spätestens seit dem EuGH-Urteil Schrems II kommen bei der Datenübertragung in die USA und andere Drittländer und somit der Nutzung von Diensten wie Microsoft 365 viele Fragezeichen auf. Oft sind sich Unternehmen unsicher, was sie beachten müssen und wie die Datenübermittlung weiterhin erfolgen kann. Wir haben Ihnen eine Übersicht zu den wichtigsten Punkten des Schrems II-Urteils sowie den Anforderungen an Unternehmen und den Umgang mit Microsoft 365 zusammengestellt.

Schrems II und seine Implikationen

Das Schrems II-Urteil ist eine Entscheidung des Europäischen Gerichtshof zum internationalen Datentransfer. Laut dem Urteil kann in den USA für europäische Bürger*innen nicht dasselbe Datenschutzniveau wie in Europa gewährleistet werden. Das bedeutet im zweiten Schritt, dass personenbezogene Daten nicht mehr ohne weiteres in die USA übermittelt werden dürfen. Auch wenn die Daten nicht direkt versandt werden, reicht ein hypothetisches Zugriffsrecht für einen Verstoß gegen die DSGVO aus. Bis zu diesem Urteil war die Datenübertragung auf Grundlage sogenannter EU-US-Privacy Shields möglich. Mit ein Auslöser für Schrems Klage und das anschließende Urteil war der bereits 2018 verabschiedete Cloud Act. Das Gesetz verpflichtet amerikanische Internet-Firmen und IT-Dienstleister, US-Behörden auf Verlangen auch dann Zugriff auf gespeicherte Daten zu gewährleisten, wenn die Speicherung nicht in den USA erfolgt. 

Dies widerspricht der DSGVO und bereitet nun vielen Unternehmen Schwierigkeiten. Denn das Schrems II-Urteil sieht keine Übergangsfrist vor, sondern hat sofortige Gültigkeit. 

Für einige Drittländer, wie z.B. die Schweiz, können Standardvertragsklauseln eine Alternative bieten. Sie funktionieren ähnlich wie das EU-US-Privacy Shield und sind Musterverträge der EU-Kommission, die eine Selbstverpflichtung der datenexportierenden und importierenden Unter-nehmen beinhalten. Diese können aber nicht problemlos für alle Drittländer angewandt werden. Hier obliegt die Verantwortung, die Eignung des Drittlands zu prüfen, bei den jeweiligen verantwortlichen Datenexportierenden. Nach den Ausführungen des EuGHs (insbesondere Rn. 185/197) ist für die USA auch der Einsatz von Standarddatenschutzklauseln – jedenfalls ohne die zusätzliche Vereinbarung geeigneter Garantien – nicht mehr möglich. Es müssen weitere Vorkehrungen getroffen werden. Wie diese aussehen können, ist bisher aber noch nicht abschließend geklärt.

Was bedeutet das für Unternehmen?

Unternehmen können beispielsweise dann von dem EuGH-Urteil betroffen sein, wenn sie Handlungsbeziehungen in die USA pflegen und personenbezogene Daten über Kund*innen oder Beschäftigte übermitteln. Auch die Speicherung von Daten in einer US-basierten Cloud ist in dem Urteil einbegriffen. Videokonferenzsysteme aus den USA, die Daten der Teilnehmenden erheben und übermitteln, sind hier ebenfalls kritisch zu betrachten. Dies gilt über die USA hinaus für alle Drittländer, die kein der DSGVO gleichwertiges Datenschutzniveau vorweisen können. 

Für Unternehmen bedeutet das Schrems II-Urteil, dass sie personenbezogene Daten auf Grundlage von EU-US-Privacy Shields nicht mehr in die USA und andere Drittländer exportieren dürfen. Außerdem sind die Datenexportierenden dafür verantwortlich, dass der Datenschutz in dem jeweiligen Drittland, in das Daten übertragen werden sollen, auf einem vergleichbaren Niveau mit der DSGVO ist und im Zweifel weitere Sicherheitsmaßnahmen zu treffen. Werden Daten ohne entsprechende Schutzmaßnahmen in die USA oder andere Drittländer exportiert, so ist dies rechtswidrig und kann Bußgelder oder Schadensersatzforderungen zur Folge haben. Daher ist es für Unternehmen sinnvoll, eine Reihe an Maßnahmen einzuleiten. Im ersten Schritt sollten Unternehmen prüfen, wann und auf welcher Rechtsgrundlage eine Übermittlung von personenbezogenen Daten in Drittländer gerechtfertigt ist. Dabei muss auch überprüft werden, ob in den Drittländern und bei den Datenimportierenden ein angemessenes Datenschutzniveau vorliegt. Sollte nicht dasselbe Niveau vorliegen, müssen zusätzliche Maßnahmen getroffen werden (Verschlüsselung usw.). Aus dieser Überprüfung lassen sich die weiteren Maßnahmen ableiten, die bis zur Einstellung von der Datenübertragung in das Drittland reichen können. 

Microsoft 365

Auch Microsoft unterliegt dem Cloud Act und anderen US-amerikanischen Überwachungsgesetzen, da sein Hauptsitz in Seattle ist. Daher muss es personenbezogene Daten seiner Tochterunternehmen – auch wenn sie außerhalb der USA liegen – auf Anfrage an US-Behörden weitergeben. Die Datenschutzbehörden in Deutschland streiten sich allerdings darüber, was genau das nun bedeutet. Laut einem Papier der Datenschutzkonferenz (DSK) ist ein datenschutzgerechter Einsatz von Microsoft 365 auf Basis der vorliegenden Unterlagen nicht möglich. Das sehen die Datenschutzaufsichtsbehörden Baden-Württembergs, Bayerns, Hessens und des Saarlandes nicht so eindeutig und vor allem noch nicht als entscheidungsreif. Sie stellen zwar auch heraus, dass es bei Microsoft in Bezug auf Datenschutz Verbesserungspotenzial gibt und unterstützen die DSK bei ihrer grundsätzlichen Zielsetzung, Verbesserungen bei Microsoft zu erreichen, die Gesamtbeurteilung fällt den Behörden allerdings zu undifferenziert aus. 

Außerdem hat Microsoft seine Vertragsbestimmungen in der Zwischenzeit mehrfach aktualisiert. Der DSK lagen allerdings noch alte Bestimmungen vor. Hinzu kommt, dass Microsoft bisher noch nicht förmlich angehört wurde. Die DSK hat allerdings eine Arbeitsgruppe eingesetzt, die mit Microsoft in Dialog treten soll. Die Datenschutzbehörden hoffen auf eine datenschutzrechtliche Nachbesserung seitens Microsofts auf Grundlage von Schrems II. 

Diese Uneinigkeit zwischen den Behörden zeigt bereits, dass es kaum möglich ist, ein abschließendes Fazit zu dem Umgang mit Microsoft 365 zu ziehen. Da es noch keine konkreteren Aussagen von Behörden gibt, ist die Nutzung von Microsoft 365 bis auf weiteres nicht datenschutzwidrig. Das weitere Geschehen sollte aber aufmerksam beobachtet werden. 

Quellen

Brink, Stefan Dr. (2020): Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, „Unsere Freiheiten: Daten nützen – Daten schützen. Orientierungshilfe: Was jetzt in Sachen internationaler Datentransfer?“, 07. September 2020, https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/08/Orientierungshilfe-Was-jetzt-in-Sachen-internationaler-Datentransfer.pdf, letzter Zugriff am 28. Oktober 2020. 

Datenschutzkanzlei (2020): „Kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich?“, 13. Oktober 2020, https://www.datenschutzkanzlei.de/kein-datenschutzgerechter-einsatz-von-microsoft-office-365-moeglich/, letzter Zugriff am 28. Oktober 2020. 

Kremer Rechtsanwälte (2020): „‘Schrems II‘ in der Praxis: Handlungsmöglichkeiten bei Drittlandübermittlungen“, 21. Juli 2020, https://kremer-rechtsanwaelte.de/2020/07/21/schrems-ii-in-der-praxis-handlungsmoeglichkeiten-bei-drittlanduebermittlungen/, letzter Zugriff am 28. Oktober 2020. 

Unabhängiges Datenschutzzentrum Saarland (2020): „Microsoft Office 365_ Bewertung der Daten-schutz-Konferenz zu undifferenziert – Nachbesserungen gleichwohl geboten“, Pressemitteilung, 02. Oktober 2020, https://www.datenschutz.saarland.de/ueber-uns/oeffentlichkeitsarbeit/detail/pressemitteilung-vom-02102020-stuttgart-muenchen-ansbach-wiesbaden-saarbruecken, letzter Zugriff am 28. Oktober 2020. 

Wir verwenden Cookies
Cookie-Einstellungen
Unten finden Sie Informationen über die Zwecke, für welche wir und unsere Partner Cookies verwenden und Daten verarbeiten. Sie können Ihre Einstellungen der Datenverarbeitung ändern und/oder detaillierte Informationen dazu auf der Website unserer Partner finden.
Analytische Cookies Alle deaktivieren
Funktionelle Cookies
Andere Cookies
Wir verwenden Cookies, um die Inhalte und Funktionen unserer Webseite darzustellen und Ihren Besuch bei uns zu erleichtern. Wir nutzen keine Tracking- oder Analysecookies. Mehr über unsere Cookie-Verwendung
Einstellungen ändern Alle akzeptieren
Cookies