202207.12.

Microsoft 365 – Datenschutzrechtliche Bewertung durch die DSK und Microsofts Stellungnahme dazu

von Tags: , , ,

Mit ihrer am 25.11.2022 veröffentlichten Festlegung haben die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder in Deutschland (Datenschutzkonferenz- DSK) Bedenken und Anmerkungen in Bezug auf die Datenschutzkonformität von Microsoft 365 geäußert.

Zu diesem Themenkomplex nahm Microsoft Deutschland GmbH bereits am 17.08.2022  Stellung und führt Ihre Verteidigung im Bezug auf das Positionspapier der DSK am 25.11.2022 weiter fort. Dabei verdeutlicht die Microsoft Deutschland GmbH, dass sie die von der DSK geäußerten Bedenken sehr ernst nehmen und sich auch angesichts Ihrer Transparenzstandards verpflichten sich stetig weiterzuentwickeln und zu verbessern. Die Microsoft Deutschland GmbH betont aber im selben Zug zu den Verbesserungsversprechen, dass viele der datenschutzrechtlichen Einschätzungen sowie Schlussfolgerungen seitens der DSK ihrer Ansicht nach grundlegend falsch und unpräzise sind.

Im Einzelnen:

Microsoft 365 und teilweise Office 365 ist eine Kombination bestehend aus einem Onlinedienst, einer Office-Webanwendung und einem Office-Software-Abonnement von Microsoft Office. Microsoft 365 gibt es als Single- oder Family-Version, die für Privatkunden bestimmt ist, sowie als Business-Paket. Die Lösung kombiniert die bekannte Microsoft Office-Desktopsuite mit cloudbasierten Versionen der Kommunikations- und Zusammenarbeitsdienste der nächsten Generation von Microsoft (einschließlich Office für das Web, Microsoft Exchange Online, Microsoft Teams und Microsoft Office SharePoint Online, OneDrive, Outlook.com). Nach Microsofts Auffassung berücksichtigen die von der DSK geäußerten Bedenken die von Microsoft bereits vorgenommenen Änderungen nicht angemessener Weise und beruhen auf mehreren Missverständnissen hinsichtlich der Funktionsweise der Microsoft-Dienste und der von Microsoft bereits ergriffenen Maßnahmen.

Auch unterstützt Microsoft das derzeit in der Verhandlung befindliche EU-US Data Privacy Framework, das Microsoft-Kunden wichtige Rechtssicherheit und mehr Klarheit über den Datenschutz bei der transatlantischen Übermittlung von Daten bieten soll. Microsoft sieht dabei einem positiven Angemessenheitsbeschluss der Europäischen Kommission im Rahmen der DSGVO im Jahr 2023 entgegen.

Grundsätzlich lässt sich zu dem Einsatz von Microsoft 365 festhalten, dass entweder die eigenen Prozesse im Unternehmen an die Softwarelösung angepasst werden müssen oder das man das verbleibende datenschutzrechtliche Risiko in Kauf nimmt. Es sollte dabei beachtet werden, dass die Aufsichtsbehörden im Worst-Case-Szenario die Nutzung von Microsoft 365 untersagen kann. Sofern dann bereits das gesamte Unternehmen und Prozesse in die Microsoft-365-Umgebung migriert bzw. dort etabliert wurden, kann dies das Unternehmen vor erhebliche Probleme stellen.

 Die folgenden Optionen schlagen wir vor, um datenschutzfreundliche Einstellungsänderungen durchzuführen :

  • Einstellung „weder noch“ („neither“) bei Diagnosedaten in MS 365,
  • Einstellung „Diagnosedaten aus (Sicherheit)“ („Diagnostic data off (Security)“) in Windows 10,
  • Deaktivieren der Programme zur Verbesserung der Kundenerfahrung („Customer Experience Improvement Program“ / CEIP),
  • Deaktivieren von Aktivitätsberichten („Activity Reports“) bzw. Ausblenden von Benutzerdetails,
  • Deaktivieren der LinkedIn-Integration;
  • Deaktivieren der verbundenen Erfahrungen („Connected Experiences“)
  • Deaktivieren der optionalen verbundenen Erfahrungen („Optional Connected Experiences“), insbesondere Standortvorschläge, interessante Kalender, Reisezeit im Ausblick, Wetter im Kalender, Lebenslauf-Assistent (siehe weiterführend hier),
  • Deaktivieren von „Senden von persönlichen Informationen an Microsoft, um Office zu verbessern“ und „Office die Verbindung mit Microsoft-Onlinediensten erlauben, um für Ihren Standort und Ihre Voreinstellungen relevante Funktionen bereitzustellen“ in Microsoft Office (siehe weiterführend hier),
  • Deaktivierung des Teilens von Links gegenüber jeden (Option „Neue und vorhandene Gäste“ einstellen),
  • Implementierung der Ende-zu-Ende-Verschlüsselung bei 1:1-VoIP-Anrufen in Teams, die seit dem 28.06.2021 erstmals (als Preview) verfügbar ist,
  • Nutzung der Option „Premium-SKU“ im „Azure Key Vault“ zur Aktivierung der Verschlüsselung mittels gemeinsam genutztem Hardware Security Module (HSM), z.B. mit Microsoft 365 Enterprise E5 möglich,
  • Nutzung der Option „EU Data Boundary for the Microsoft Cloud“, welche ab Ende 2022 angeboten wird.

Nachfolgend werden die Festlegung der DSK und die Stellungnahme der Microsoft Deutschland GmbH im Hinblick auf die einzelnen Bedenken gegenübergestellt und aufgezeigt wie die Datenschutzkonformität von Microsoft 365 in der Praxis erreicht werden kann.

a)      Anforderungen an die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO

Verantwortliche müssen jederzeit in der Lage sein, ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachzukommen. Die Rechenschaftspflicht des Verantwortlichen hat zwei Bestandteile: die Einhaltung der Grundsätze aus Art. 5 Abs. 1 DSGVO (Verantwortlichkeit), sowie der Nachweis zur Einhaltung dieser Grundsätze (Nachweispflicht).

Laut der DSK lege Microsoft nicht vollumfänglich offen, welche Verarbeitungen im Einzelnen stattfinden. Das führt dazu, dass Verantwortliche Ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nur schwer nachkommen können.

Microsoft widerspricht dieser Aussage und zeigt auf, dass die nötige Transparenz über Verarbeitungstätigkeiten durch umfangreiche Dokumentation vorliege. Die Dokumentation sei auch für die Öffentlichkeit und teils für Kunden zugänglich, wobei weitere technische Details über die bereitgestellte Dokumentation keine größere Klarheit für Verantwortliche schaffe.  Demnach solle es Verantwortlichen möglich sein, auf Grundlage der vorliegenden Informationen der Rechenschaftspflicht nachzugehen.

Gerade die oben genannte Dokumentation sei von der DSK nicht im vollen Umfang bei der Analyse gewürdigt worden, wodurch der Eindruck erweckt werden, dass der notwendige Detailgrad über die technische Funktionsweise von Microsoft 365 nicht ausreiche.

b)      Festlegen des Vertragsgegenstandes

Die DSK fährt fort:

Zudem legt Microsoft weder vollständig dar, welche Verarbeitungen im Auftrag des Kunden noch welche zu eigenen Zwecken stattfinden. Die Vertragsunterlagen sind in der Hinsicht nicht präzise und erlauben im Ergebnis nicht abschließend bewertbare, ggf. sogar umfangreiche Verarbeitungen auch zu eigenen Zwecken. Eine Verwendung personenbezogener Daten der Nutzenden (z.B. Mitarbeitenden oder Schüler:innen) zu eigenen Zwecken des Anbieters schließt den Einsatz eines Auftragsverarbeiters im öffentlichen Bereich (insbesondere an Schulen) aus. Die Rechtsgrundlage des berechtigten Interesses nach Art. 6 Abs. 1 lit. f DS-GVO ist für Behörden nicht einschlägig (vgl. Art. 6 Abs. 1 Satz 2 DS-GVO).

Microsoft teilt diese Einschätzung der DSK nicht. Das Data Processing Agreement (DPA) enthalte alle notwendigen Informationen gemäß Art. 28 Abs. 3 Satz 1 DSGVO im Abschnitt „Verarbeitungsdetails“ (welcher auf das Verarbeitungsverzeichnis des Kunden gemäß Art. 30 DSGVO verweist) und in Anhang B.

Dies entspreche den Anforderungen des unabhängigen ISO/IEC 19944 Standards an die Darstellung von Datenerhebungskategorien und Nutzungszwecken im Kontext der Cloud. Microsoft betont hier besonders, dass die Kontrolle über die Verarbeitungsdetails beim Kunden liege und dieser bestimme, welche Daten er wie lange für welchen Zweck von der Microsoft Cloud verarbeiten möchte.

Eine weitere Konkretisierung im DPA führe in der Praxis dazu, dass die gemachten Angaben regelmäßig veralten und somit nicht mehr richtig seien.

c)      Verarbeitungen für Geschäftstätigkeiten von Microsoft

Ein weiteres Bedenken der DSK ist, dass das DPA unzureichend eingegrenzte Verarbeitungsbefugnisse der möglichen Geschäftstätigkeiten enthalten würde und dieser Mangel öffentliche Stellen bei der Erfüllung ihrer Rechenschaftspflicht vor erhebliche Herausforderungen und Hindernisse stelle. So ist laut der DSK auch Art. 6 Abs. 1 lit. e DSGVO im jeweiligen Spezialrecht als Rechtsgrundlage schwer begründbar.

Microsoft nimmt zu diesem Punkt wie folgt Stellung:

Microsoft aggregiert lediglich pseudonymisierte, personenbezogene Daten und berechnet Statistiken bezogen auf Kundendaten. Dies resultiert in nicht-personenbezogenen Daten, welche Microsoft dann für folgende Geschäftstätigkeiten nutzt: (i) Abrechnungs- und Kontoverwaltung, (ii) Vergütung, (iii) interne Berichterstattung und Geschäftsmodellierung und (iv) Finanzberichterstattung. Die Rechtsgrundlagen, die bereits den Einsatz von Microsoft 365 durch den Verantwortlichen (Kunden) rechtfertigen, decken auch diese Vorgänge ab. Microsoft wird seine Kunden durch geeignete Unterlagen und Dokumentation zu dieser Auffassung unterstützen.

Nach Ansicht von Microsoft ist es widersprüchlich und nicht im Einklang mit der Systematik der DSGVO, Verantwortlichen Verarbeitungen und Maßnahmen zuzurechnen, zu deren Erbringung Auftragsverarbeiter verpflichtet und durch eine eigenständige Bußgeldnorm bedroht sind und für diese falsch zugeordneten Verarbeitungen und Maßnahmen dann eine fehlende Rechtsgrundlage anzumahnen. Ferner stellt Microsoft fest, dass Inhaltsdaten von Kunden unberührt bleiben und kein Zugriff auf diese erfolgt.

d)      Mutmaßlicher Konflikt zwischen Weisungsbindung des Auftragsverarbeiters und Offenlegungs-Verpflichtungen drittstaatlichen Rechts (CLOUD Act, FISA 702)

Nach den Bedenken der DSK schränke das DPA das Weisungsrecht des Kunden in Bezug auf Offenlegungen der im Auftrag verarbeiteten Daten ein. Aus den Untersuchungen der DSK ergibt sich ebenfalls, dass sich Microsoft auch weit reichende Offenlegungen vertraglich vorbehält, die im Falle ihrer Umsetzung nicht den in Art. 48 DSGVO aufgestellten Anforderungen entsprechen würden.

Nach Ansicht von Microsoft wird das DPA zwischen Kunden und Microsoft vereinbart. Es enthält die allgemeinen Weisungen sowie Bestimmungen für weitere Weisungen des Kunden an Microsoft. Bei Cloud-Diensten sei es bei objektiver Betrachtung ein Industriestandard, dass sich der Kunde die Erbringung der Dienste wie vertraglich und in der Produktdokumentation beschrieben als Weisung zu eigen macht. Nur mit diesen beschriebenen Weisungen sei es möglich, dass der Kunde die gewünschten Vorteile der Cloud nutzen könne. Beispiele für die gewünschten Vorteile seien etwa die mit der Cloud einhergehende Innovation, das Kostenersparnis und die Verbesserung der organisatorischen internen Abläufe und Prozesse.

Die Europäische Kommission arbeitet zurzeit an einem Angemessenheitsbeschluss, wonach das Datenschutzniveau in den USA als angemessen bewertet werden könnte. Grundlage dafür ist, dass die USA mit Wirkung ab dem 7. Oktober 2022 bedeutende Änderungen an ihren Rechtsvorschriften vorgenommen haben und angekündigt haben noch vorzunehmen, welche das Schrems-II-Urteil in vollem Umfang berücksichtigen. So soll eine datenschutzrechtliche Lösung für den gesamten Themenkomplex nach Art. 45 DSGVO geschaffen werden.

e)      Umsetzung technischer und organisatorischer Maßnahmen (TOMs) nach Art. 32 DSGVO

Laut der DSK bleiben weiterhin Rechtsunsicherheiten bei dem Einsatz von Microsoft 365 bestehen, da die Garantien über „Sicherheitsmaßnahmen“ formal nur eine Teilmenge der vertragsgegenständlichen personenbezogen Daten erfassen.

Microsoft teilt diese Einschätzung der DSK nicht. Microsoft verpflichtet sich zur Einhaltung von TOMs nach Art. 32 DSGVO für alle verarbeiteten Daten und dass die Maßnahmen den Anforderungen von ISO 27001, ISO 27002 und ISO 27018 entsprechen. Dies gilt für alle Services, insbesondere auch die sogenannten Non-Core Services, die im Übrigen in der Gesamtschau der vom DPA abgedeckten Leistungen eine sehr kleine Teilmenge bilden. Weitere Details dazu finden Kunden im Service Trust Portal.

f)       Löschung und Rückgabe personenbezogener Daten

Auch im Hinblick auf die Löschung und Rückgabe personenbezogener Daten hat die DSK Bedenken zur Datenschutzkonformität von Microsoft. Microsoft jedoch erwidert, dass das DPA dies sehr wohl in datenschutzkonformer Weise die Löschung und Extraktion von Daten ermöglicht. Vor allem praxisrelevant sei die Extraktion von Daten, da dies die einzige mögliche Variante bei Cloud-Diensten ist.

g)      Informationen über Unterauftragsverarbeiter

Die DSK stellt fest:

Microsoft informiert nur darüber, dass Änderungen an Unterauftragsverarbeitern geplant sind, nicht jedoch welche Änderungen konkret beabsichtigt sind. Die bereitgestellten Informationen sind nicht detailliert genug.

Microsoft teilt auch diese Einschätzung der DSK nicht. Microsoft stelle Kunden jederzeit eine Übersicht der von Microsoft eingesetzten Unterauftragsverarbeiter zur Verfügung. Bereits in der Vergangenheit konnten Kunden Updates per E-Mail abonnieren.  Darüber hinaus ist Microsoft dem Wunsch der DSK nachgekommen, ein Benachrichtigungsverfahren per E-Mail einzuführen, welches alle Kunden von Microsoft 365 aktiv über Aktualisierungen informiert. Diese Benachrichtigung verweist auf die online verfügbare Liste der Unterauftragsverarbeiter, welche Änderungen konkret und leicht nachvollziehbar benennt. Microsoft arbeitet bereits an einer detaillierteren Liste von Unterauftragsverarbeitern, welche zukünftig veröffentlich wird.

h)      Datenübermittlungen in Drittstaaten: Zusätzliche Schutzmaßnahmen entsprechend der Schrems II-Rechtsprechung

Als letztes Bedenken thematisiert die DSK, dass die zusätzlichen Schutzmaßnahmen des DPA mit Bezug auf Datentransfers nicht ausreichen und neu konzipiert werden müssen.

Microsoft widerspricht dieser Einschätzung und führt an, dass keine rechtliche Grundlage zu der Annahme existiere, jedes theoretische Risiko, etwa eines behördlichen Zugriffs im Drittstaat, im Zusammenhang mit einer internationalen Datenübermittlung auszuschließen. Microsoft setzt gemäß Art. 32 DSGVO und dem aktuellen Stand der Technik umfangreiche, differenzierte und wirkungsvolle TOMs (insbesondere im Rahmen der Verschlüsslung) ein.

Wir beraten Sie gerne!

Gerne beraten wir Sie zum Einsatz von Microsoft 365 oder anderen Softwarelösungen von US-Anbietern. Sprechen Sie uns einfach an.

Vor dem Hintergrund der Rechtsprechung des Europäischen Gerichtshof zu Übermittlungen in die USA (C-311/18 – Facebook Ireland und Schrems, 16.07.2020) führen wir hinsichtlich der Softwarelösung ein sog. Transfer Impact Assessment durch.

Bei dieser Prüfung orientieren wir uns an der Empfehlung 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten des Europäischen Datenschutzausschusses vom 10. November 2020.

RA Sebastian Schwiering
Wissenschaftlicher Mitarbeiter Jamal Lale