Hintergrund
Bereits im September 2020 bat die Datenschutzkonferenz (DSK) um Gespräche mit Microsoft und fasste nach intensiver vorheriger Prüfung durch ihren Arbeitskreis Verwaltung einen kritischen Beschluss, dass auf Basis der damaligen Unterlagen „kein datenschutzgerechter Einsatz von Microsoft 365 möglich“ sei. Der Beschluss wurde nur mit einer knappen Mehrheit verabschiedet. Nach diesem Beschluss wurde eine neue Arbeitsgruppe mit dem Namen „Arbeitsgruppe Microsoft-Onlinedienste“ gegründet, die das Thema erneut prüfte und mit Microsoft umfangreiche Arbeitsgespräche führte (14 mehrstündige Videokonferenzen).
Diese Gespräche kann man wohl als gescheitert bewerten, denn im November 2022 gab die DSK auf Grundlage der Ausarbeitung dieser Arbeitsgruppe eine öffentliche Stellungnahme ab, dass die von Microsoft bereitgestellte Auftragsverarbeitungsvereinbarung nicht den Anforderungen des Art. 28 Abs. 3 DS-GVO entspricht. Weitere Informationen zu dieser Stellungnahme können in diesem Beitrag gefunden werden.
Die Handreichung, die von 7 Datenschutzbehörden am 22.09.2023 herausgegeben wurde, darunter Bayern, Hessen, NRW, Rheinland-Pfalz, Schleswig-Holstein und Thüringen, soll Verantwortlichen helfen, den Cloud-Dienst Microsoft 365 datenschutzkonform zu nutzen.
Zielsetzung der Handreichung
Die Handreichung hat das Ziel, individuelle Zusatzvereinbarungen zur Auftragsverarbeitung (AVV) mit Microsoft auf Grundlage der DSK-Hinweise von November 2022 abzuschließen. Sie soll die Verantwortlichen bei den Verhandlungen unterstützen. Allerdings gibt es Kritik hinsichtlich ihrer Praxistauglichkeit, da Microsoft in der Regel keine juristischen Vertragsergänzungen mit Kunden unterhalb einer bestimmten Größenordnung verhandelt.
Problematik: Rechenschaftspflicht
Die Kernproblematik rund um den Einsatz von Microsoft 365 liegt in der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO. Verantwortliche müssen die Einhaltung der Verarbeitungsgrundsätze aus Art. 5 Abs. 1 DS-GVO nachweisen können. Kritisiert wurde 2022 bereits, dass bei der Nutzung von Microsoft 365 nicht ausreichend offengelegt wird, welche Verarbeitungen im Auftrag des Kunden und welche für eigene Zwecke durchgeführt werden.
Zuständigkeiten – Verantwortliche oder Microsoft?
Schon in der Vorbemerkung der Handreichung wird deutlich, dass den Aufsichtsbehörden zufolge die Problematik um den gescheiterten Einigungsversuch auch die Kunden von Microsoft etwas angehen soll (Seite 1). Die Kunden sind aber nicht die richtigen Ansprechpartner für die strukturellen Datenschutzprobleme bei Microsoft.
In der Wortwahl der Handreichung fällt bereits auf, dass die Aufsichtsbehörden davon ausgehen, dass es eine wirkliche Möglichkeit gäbe individuelle Vereinbarungen mit Microsoft zu treffen um damit rechtliche Unsicherheiten in Bezug auf die Nutzung des AVV beseitigt werden könnten.
Zusatzvereinbarung und Regelung der Rangfolge
Im Anschluss an die Vorbemerkung der Handreichung beinhaltet das erste, in der Handreichung vorgeschlagene „To-Do“ die explizite Festlegung der Rangfolge zwischen den Microsoft-Bedingungen und der angestrebten AVV-Zusatzvereinbarung (siehe Seite 3 der Handreichung).
In deutschem Recht ist eine solche Klarstellung grundsätzlich nicht erforderlich. Die Product Terms (PST) und eventuelle andere Vertragsbedingungen von Microsoft Ireland Operations Limited (MIOL) sind zweifellos als Allgemeine Geschäftsbedingungen (AGB) im Sinne von § 305 Abs. 1 Satz 1 BGB anzusehen. Gemäß § 305b BGB haben individuelle Vertragsabreden wie eine „AVV-Zusatzvereinbarung“ Vorrang vor den AGB, und dieser Grundsatz gilt auch im Geschäftsverkehr zwischen Unternehmen (B2B) gemäß § 310 BGB.
Allerdings ist es im komplexen Vertragswerk von Microsoft, insbesondere in Bezug auf die Product Terms (PST), nicht immer auf den ersten Blick ersichtlich, welches Recht genau Anwendung findet. In diesem Kontext ist der Vorschlag zur Klarstellung der Rangfolge verständlich und könnte zur Rechtssicherheit beitragen.
Im Folgenden werden in der Handreichung die Handlungshinweise für die Verantwortlichen, welche sich auf den DPA beziehen, vorgestellt (Seite 3-7). Eine ausführliche Begründung, mit blau hervorgehobenen To-Do-Punkten, welche die Umsetzung erleichtern sollen, können auf Seite 8-21 gefunden werden.
1. Handlungshinweis: Festlegung von Art und Zweck der Verarbeitung, Art der personenbezogenen Daten
Microsoft soll unter anderem verpflichtet werden, die Art und Zwecke der Verarbeitung personenbezogener Daten sowie die Art der personenbezogenen Daten offenzulegen.
Das Problem, welches sich hier ergibt, liegt darin, dass die Entscheidung für die Speicherung von Daten ausschließlich beim Verantwortlichen oder den jeweiligen Anwendern liegt. Der Dienstleister (Microsoft) hat keinen Einfluss und sollte auch keine Überwachung durchführen, welche Art von Daten dort zu welchem Zweck wie lange gespeichert wird und welche Personen und Kategorien von Daten betroffen sind.
Deshalb ist es nicht möglich, eine zu detaillierte vertragliche Festlegung vorzunehmen. Im Anhang B des DPA findet sich bereits eine umfassende, aber natürlich nur beispielhafte Aufzählung von möglicherweise betroffenen Personen und Daten.
2. Handlungshinweis:Umgang mit der Verarbeitung von Microsoft zu eigenen Geschäftszwecken
Der wohl wichtigste Kritikpunkt im Zusammenhang mit Microsoft betrifft die Verwendung von Daten für eigene Zwecke, anstatt diese nur als Auftragsverarbeiter zu nutzen. Es wird verlangt, dass die „eigenen Geschäftszwecke Microsofts“ sowie der für die jeweiligen einzelnen Zwecke verarbeiteten Kategorien personenbezogener Daten konkret benannt werden. Diese genauen Angaben müssten die Verantwortlichen von Microsoft erfragen.
3. Handlungshinweis: Weisungsbindung, Offenlegung verarbeiteter Daten, Erfüllung rechtlicher Verpflichtungen
Es sollen zudem Anpassungen bezüglich der Vorschriften zur Weisungsbindung vorgenommen werden. Außerdem soll festgelegt werden, dass Microsoft Nutzerdaten nur im Einklang mit gesetzlichen Erfordernissen offenlegen darf. Es wird den Verantwortlichen empfohlen, ihre grundlegenden Kontaktinformationen nach Möglichkeit zu beschränken. Also ihre persönlichen Kontaktdaten, wie z. B. die Telefonnummer, nur begrenzt bzw. gar nicht weiterzugeben.
Die anderen Handlungshinweise beziehen sich auf die Notwendigkeit für Microsoft, die Datenverarbeitung im Rahmen der Umsetzung der Technischen und Organisatorischen Maßnahmen (4. Handlungshinweis) genauer zu spezifizieren. Bislang haben die Aufsichtsbehörden bemängelt, dass es nicht ausreichend klar sei, welche Maßnahmen in Bezug auf welche Kategorien personenbezogener Daten ergriffen werden, um die Sicherheit zu gewährleisten. Zudem sind Anpassungen, Kürzungen und Klarstellungen der vertraglichen Löschfristen und Löschprozesse erforderlich (5. Handlungshinweis). Microsoft wird aufgefordert, umfangreichere Informationen über den Einsatz von Unterauftragsverarbeitern bereitzustellen (6. Handlungshinweis). Es gibt außerdem weitere Empfehlungen und Hinweise (7. Handlungshinweis) in Bezug auf die „On-Premise-Lösung“ (den Betrieb von Microsoft in eigenen IT-Strukturen) sowie den Einsatz in Bildungseinrichtungen und BYOD.
Fazit
Insgesamt gibt die Handreichung viele gutgemeinte Tipps, deren Umsetzung aber in der Praxis gegenüber Microsoft kaum durchsetzbar sind.
Es bleibt festzuhalten, dass die Handreichung auf eine überholte Sach- und Rechtslage verweist (veraltetes DPA, ohne Berücksichtigung des DPF). Wie bereits beim DSK-Beschluss, handelt es sich allein um die rechtliche Meinung der Aufsichtsbehörden. Diese Meinung ist zweifellos respektabel, aber angesichts der Gewaltenteilung hat die Auslegung des Rechts durch die Exekutive keinen verbindlichen Charakter. Zudem ist zu beachten, dass die Handreichung lediglich von sieben der 18 DSK-Aufsichtsbehörden unterstützt wird, wodurch abweichende Meinungen selbst innerhalb der strengen Aufsichtsbehörden denkbar sind.