Umgang mit Microsoft 365 nach Stellungnahme der DSK

Die Online-Dienste von Microsoft sind sowohl aus dem privatunternehmerischen als auch aus dem öffentlichen (u.a. Schulen und Behörden) Alltag nicht mehr wegzudenken. Die Datenschutzkonferenz (DSK) hat in ihrer Stellungnahme vom 24.11.2022 jedoch festgestellt, dass Microsoft 365 die Anforderungen der Datenschutzgrundverordnung (DS-GVO) nicht erfülle und die Nutzung des Dienstes damit rechtswidrig sei.

Hintergrund

Bei der DSK handelt es sich um ein Gremium, welches sich mit aktuellen Fragen des Datenschutzes in Deutschland beschäftigt und dazu Stellung nimmt. Sie besteht aus dem Bundesdatenschutzbeauftragten, den Landesdatenschutzbeauftragten der 16 Bundesländer und dem Präsidenten des Bayerischen Landesamtes für Datenschutzaufsicht. Bereits 2020 überprüfte sie die Online Service Terms (OST) und die Datenschutzbestimmungen für Microsoft-Onlinedienste (Data Processing Addendum/DPA) auf die Einhaltung der Anforderungen von Art. 28 Abs. 3 DS-GVO hin. Dabei kam der DSK-Arbeitskreis Verwaltung zu dem Entschluss, dass auf Basis der geprüften Unterlagen kein datenschutzgerechter Einsatz von Microsoft 365 (M365) möglich sei. Auf Wunsch der DSK nahm daraufhin eine Arbeitsgruppe unter Federführung Brandenburgs (LDA Brandenburg) und Bayerns (BayLDA) Gespräche mit Microsoft auf, um zeitnah Nachbesserungen sowie Anpassungen auszuführen um den durch die Schrems II-Entscheidung des EuGH aufgezeigten Maßstäbe an Drittstaatentransfer für die Anwendungspraxis öffentlicher und nicht öffentlicher Stellen gerecht zu werden. Weitere Teilnehmer der Arbeitsgruppen waren der Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI) sowie die Aufsichtsbehörden von Baden-Württemberg, Berlin, Hessen, Mecklenburg-Vorpommern, Sachsen, Saarland und Schleswig-Holstein. Auf Seiten von Microsoft nahmen teil Beschäftigte der Microsoft Deutschland GmbH einschließlich eines Mitglieds der Geschäftsleitung und je nach Schwerpunkt Ansprechpartner der Microsoft Corporation (USA).

Wesentliche Ergebnisse

Microsoft hat im September 2022 sein aktualisiertes "Privacy Addendum for Microsoft Products and Services" vorgestellt. Änderungen im Vergleich zum Vorgänger wurden insbesondere im Bereich der vertraglichen Formulierungen bezogen auf die Verantwortlichkeit von Microsoft im Rahmen der Verarbeitung vorgenommen. Die Arbeitsgruppe konnte jedoch trotz der Änderungen nur geringe Verbesserungen bei den vom Arbeitskreis Verwaltung vorgebrachten Kritikpunkten feststellen. Ein wesentlicher Kritikpunkt war und ist die mangelnde Klarheit darüber, wann Microsoft als Auftragsverarbeiter und wann als Verantwortlicher für die Datenverarbeitung agiert. Dies ist besonders wichtig, da die für die Verarbeitung Verantwortlichen auch für die Einhaltung der Verarbeitungsgrundsätze gem. Art. 5 Abs. 2 DS-GVO verantwortlich sind und dies im Rahmen ihrer Rechenschaftspflicht jederzeit nachweisen können müssen. Problematisch bei der Verwendung von Microsoft ist in diesem Zusammenhang, dass nicht vollständig offengelegt wird, welche Verarbeitungen im Einzelnen stattfinden und das nicht deutlich genug definiert wird, welche Verarbeitungen im Auftrag des Kunden und welche für eigene Zwecke des Kunden durchgeführt werden.

Kritikpunkte der DSK

  • Auch nach aktualisiertem DPA sei keine signifikante Nachbesserung hinsichtlich der Festlegung von Arten und Zwecken der Verarbeitung sowie der Arten der verarbeiteten personenbezogenen Daten eingetreten.
    Die DSK fordert, dass der Gegenstand der Auftragsverarbeitung nicht nur umfassend, sondern auch spezifisch und so detailliert wie möglich beschrieben wird. Eine Möglichkeit sei eine kundenspezifische Konkretisierung ähnlich Anhangs II der Standardvertragsklauseln gem. Art. 28 Abs. 7 DS-GVO.
  • Eigene Verantwortlichkeit Microsofts im Rahmen der Verarbeitung für legitime Geschäftszwecke.
    Die DSK kritisiert weiter, dass die seitens Microsofts stattfindende Verarbeitung personenbezogener Daten nicht konkret genug bestimmt sei und die Microsoft eingeräumten Rechte unzureichend eingegrenzt sein. Insbesondere bleibe unklar, welche personenbezogenen Daten von Microsoft mit legitimen Geschäftstätigkeiten gemeint seien und auf welcher Rechtsgrundlage die Überführung der im Auftrag verarbeiteten personenbezogenen Daten in die Verantwortlichkeit von Microsoft für die anschließende Verarbeitung zu Zwecken Microsofts beruht. Insbesondere für öffentliche Stellen sei dies problematisch, da diese nicht auf Art. 6 Abs. 1 lit. f) DS-GVO zurückgreifen können.
  • Weisungsbindung, Offenlegung verarbeiteter Daten, Erfüllung rechtlicher Verpflichtungen.
    Nach Art. 28 Abs. 3 lit. a) DS-GVO dürfen personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeitet werden, es sei denn, der für die Verarbeitung Verantwortliche ist durch EU-Recht oder das Recht eines Mitgliedstaats, in dem der Auftragsverarbeiter ansässig ist, dazu verpflichtet. Microsofts Datenschutznachtrag führe jedoch dazu, dass Weisungsrechte der Kunden in Bezug auf Offenlegung der im Auftrag verarbeiten Daten eingeschränkt werden.
  • Umsetzung technischer und organisatorischer Maßnahmen nach Art. 32 DS-GVO.
    Die DSK sieht weiterhin Rechtsunsicherheiten, da Microsofts Garantien über Sichermaßnahmen formal nur für eine Teilmenge der vertragsgegenständlichen personenbezogenen Daten gelten sollen.
  • Löschung und Rückgabe personenbezogener Daten.
    Die Lösch- und Rückgabefristen von Microsoft entsprächen nicht in allen Fällen den Verpflichtungen aus Art. 28 Abs. 3 lit. g) DS-GVO.
  • Information über Unterauftragsverarbeiter.
    Die DSK ist der Ansicht, dass die von Microsoft vorgelegten Informationen zu ungenau seien. Sie würden nur die Information enthalten, dass Änderungen an Unterauftragsverarbeitern geplant sind, aber nicht, welche konkreten Änderungen beabsichtigt seien.
  • Datenübermittlung in Drittstaaten.
    Aus den Gesprächen zwischen der Arbeitsgruppe und Microsoft ergab sich, dass die Nutzung von Microsoft 365 gänzlich ohne eine Übermittlung personenbezogener Daten nicht möglich sei. Nach Ansicht der DSK seien die daher benötigten zusätzlichen Schutzmaßnahmen im Datenschutznachtrag von Microsoft mit Bezug auf Datentransfers nicht ausreichend.

Stellungnahme Microsoft

Inzwischen hat auch Microsoft Stellung zu der Bewertung der DSK genommen. Dabei gibt Microsoft zu verstehen, dass sie eine andere Meinung als die DSK vertreten. M365-Dienste würden die Anforderungen der DS-GVO sogar übertreffen, sodass für Kunden in der gesamten EU keine Risiken bei entsprechender Nutzung drohten. Die Ergebnisse der DSK seien darauf zurückzuführen, dass die von Microsoft vorgenommenen Änderungen nicht angemessen berücksichtigt seien. Zudem sei die Einschätzung von Missverständnissen hinsichtlich der Funktionsweise der Dienste und von bereits ergriffenen Maßnahmen geprägt. Wichtige rechtliche Änderungen, die einen größeren Schutz der Privatsphäre für Datenströme zwischen der EU und den USA boten, seien ferner nicht berücksichtigt worden. Dennoch verspricht Microsoft weitere Datenströme ihrer Kunden und die Zwecke der Verarbeitung bereitzeitstellen sowie mehr Transparenz über die Standorte und die Verarbeitung durch Unterauftragsverarbeiter und Microsoft Mitarbeiter außerhalb der EU zu schaffen.

Handlungsempfehlung

Mit der aktuellen Stellungnahme hat die DSK die bisherige Einschätzung zu M365 in aller Deutlichkeit bestätigt. Ein entsprechender Einsatz ist mit einem konkreten Risiko einer Datenschutzverletzung verbunden. Konsequenteste Empfehlung zum weiteren Umgang müsste demnach lauten, dass ein Anbieterwechsel durchzuführen sei.

Wenn weiterhin am Einsatz festgehalten wird, gilt es darauf hinzuweisen, dass dies eine Risikoentscheidung darstellt. Um das in Kauf genommene Risiko zu minimieren, sollten jedoch die folgenden Schritte ausgeführt werden:

  • Durchführung eines Legitimate Interests Assesments (LIA)
    Ein LIA ist dem Grunde nach eine dokumentierte und ausführliche Interessensabwägung, um eine Verarbeitung auf Grundlage des überwiegenden berechtigten Interesses i.S.d. Art. 6 lit. f) DS-GVO zu legitimieren.
  • Durchführung eines Transfer Impact Assesments (TIA)
    Die Übermittlung personenbezogener Daten aus dem EU / EWR Gebiet erfordert zusätzlich die Einhaltung der Vorgaben des Kapitel 5 DS-GVO. Im Verhältnis mit Microsoft ist der Abschluss von Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c) DS-GVO möglich. Zusätzlich dazu ist zwingend ein TIA durchzuführen. Damit wird das Schutzniveau des jeweiligen Empfängerdrittlandes analysiert, um festzustellen, ob dem vertraglich zugesagten Schutz der Daten gesetzliche Regelungen entgegenstehen. Ist dies der Fall, so müssen zusätzliche Schutzmaßnahmen ergriffen werden, um das Schutzniveau an den EU-Standard anzupassen.
  • Anpassung optionaler Einstellungen
    Die Einstellungen bezogen auf Cloud-Services sollten eine freiwillige Nutzung ermöglichen. Weitere optionale Einstellungen sollten immer mit dem Ziel konfiguriert werden, den geringsten Datenfluss zuzulassen.

(AG) Die neue EU-Verordnung DORA ist da und stellt einen wichtigen Schritt in Richtung einer erhöhten digitalen operationalen Resilienz bzw.…

Combined Shape

27.03.2024 Blog | Cybersecurity, Informationssicherheit

Die Netz- und Informationssicherheitsrichtlinie 2 (NIS-2) ist eine neue Sicherheitsrichtlinie der EU, die die Cyber- und Informationssicherheit in der…

Combined Shape

27.12.2023 Blog | Update-News, Datenschutz, Informationssicherheit

Der Einsatz von generativer Künstlicher Intelligenz (KI) in Unternehmen eröffnet neue Möglichkeiten, geht jedoch mit erheblichen…

Combined Shape

13.11.2023 Blog | Cybersecurity, Informationssicherheit

(MB) Bei einem Hackerangriff auf die deutsche Hotelkette Motel One ist es Angreifern gelungen, Daten in einem großen Umfang zu erbeuten.

Combined Shape

18.10.2023 Blog | Update-News, Datenschutz, Informationssicherheit

(AG) In Deutschland nutzen ca. 80% der Bevölkerung ab 14 Jahren Kommunikationsdienste wie WhatsApp. Doch was ist, wenn wir in einem privaten Chat…

Combined Shape

17.10.2023 Blog | Update-News, Datenschutz, Informationssicherheit

(AR) In einer zunehmend vernetzten Welt sind öffentliche WLAN-Netzwerke zu einem festen Bestandteil unseres Alltags geworden. Ob in Cafes, Flughäfen…

Combined Shape

14.12.2022 Blog | Informationssicherheit

Die Online-Dienste von Microsoft sind sowohl aus dem privatunternehmerischen als auch aus dem öffentlichen (u.a. Schulen und Behörden) Alltag nicht…

Combined Shape

08.06.2022 Blog | Update-News, Datenschutz, Informationssicherheit

Wie das Nachrichtenportal „heise online“ berichtete (Zero Day Lücke in Microsoft Office erlaubt Codeschmuggel), haben Sicherheitsforscher eine…

Combined Shape

01.02.2022 Blog | Cybersecurity, Informationssicherheit

Für ziemlich alle angebotenen Dienste im Internet wird heutzutage ein persönliches Benutzerkonto inklusive Passwort benötigt. Passwörter sind damit…

Combined Shape

15.06.2021 Blog | Cybersecurity, Informationssicherheit

Wie schlimm die möglichen Folgen der sog. FragAttacks (Fragmentation and Aggregation Attacks) in WLAN-Netzwerken wirklich sind und welche…

Combined Shape

Podcasts

Ein IT-Sicherheitsvorfall kann für Unternehmen schwerwiegende Folgen haben.

Combined Shape

Der Digital Operational Resilience Act (DORA) soll in der EU einen einheitlichen Rahmen für ein effektives und umfassendes Management von…

Combined Shape

21.05.2024 Podcast | Update-News, Datenschutz, Informationssicherheit

Begleite uns in die Welt der Künstlichen Intelligenz (KI) und ihrer neuen Regulierung!

Combined Shape

In diesem Podcast nehmen wir dich mit auf eine Reise durch die Vorbereitung auf NIS-2.

Combined Shape

In dieser Folge geht es um die Chancen und Risiken des Einsatzes von KI in Unternehmen. Es geht um Anforderungen, rechtliche Unsicherheiten und…

Combined Shape

In dieser Folge geht es um den Wert der Priavtsphäre und warum Datenschutzmanagement wichtig ist.

Combined Shape

Gute Nachrichten! Die Ära der Passwörter ist vorbei!

Combined Shape

In diesem Podcast geht es um das Thema ISO-Zertifizierungen im digitalen Zeitalter.

Combined Shape

28.02.2023 Podcast | Cybersecurity, Informationssicherheit

In diesem Podcast befassen wir uns mit potenziellen IT-Sicherheitsrisiken, denen öffentliche Einrichtungen beim Betrieb von Open-Source-Software im…

Combined Shape

In unserer neusten Folge geht es um das wichtige Thema Business Continuity Management.

Combined Shape

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ geht es um das Zusammenspiel von physischer Sicherheit und…

Combined Shape

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ geht es um die technische Anwendung von Datenschutz auf…

Combined Shape

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ geht es um Business Continuity Management.

Combined Shape

22.03.2022 Podcast | Informationssicherheit

In der neuen Folge geht es um die anlasslose Prüfung durch das BayLDA.

Combined Shape

22.02.2022 Podcast | Cybersecurity, Informationssicherheit

In der neuen Folge „audatis DIALOG – Datenschutz und Informationssicherheit praxisnah“ geht es um das Zero Trust Sicherheitsmodell.

Combined Shape

02.11.2021 Podcast | Informationssicherheit

In der neuen Folge "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um Videoüberwachung.

Combined Shape

19.10.2021 Podcast | Update-News, Datenschutz, Informationssicherheit

In der neuen Folge "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um Datenpannen.

Combined Shape

In der neuen Folge geht es um Sicherheit in Lieferketten und welche Rolle die Dienstleister dabei spielen.

Combined Shape

13.04.2021 Podcast | Update-News, Datenschutz, Informationssicherheit

Die neue Folge behandelt den Drittstaatentransfer mit aktuellem Bezug zum US-Anbieter Mailchimp, nachdem eine Beschwerde gegen ein Unternehmen…

Combined Shape

30.03.2021 Podcast | Informationssicherheit

Im aktuellen Podcast geht es um den aktuellen Vorfall und die Sicherheitslücken bei Microsoft Exchange.

Combined Shape

02.03.2021 Podcast | Update-News, Datenschutz, Informationssicherheit

In der neuen Folge geht es um KI und wie diese mit datenschutzrechtlichen Anforderungen zusammenzubringen ist.

Combined Shape

02.02.2021 Podcast | Update-News, Datenschutz, Informationssicherheit

In der neuen Folge geht es um den Hype um die neue, exklusive Social Media Plattform Clubhouse und ihren Datenschutz.

Combined Shape

In der neuen Folge geht es um Incident Management und IT-Sicherheitsvorfälle.

Combined Shape

10.11.2020 Podcast | Informationssicherheit

In der neuen Folge geht es um die Sicherheit von Passwörtern, die Auswirkungen von unsicherer Passwortverwaltung und dem Einsatz von Passwortmanagern.

Combined Shape

27.10.2020 Podcast | Informationssicherheit

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um Datensammelflut bei Alltagsgegenständen.

Combined Shape

29.09.2020 Podcast | Informationssicherheit

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um den TISAX® Standard zur Informationssicherheit.

Combined Shape

01.09.2020 Podcast | Informationssicherheit

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um die sichere Softwareentwicklung.

Combined Shape

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um Sprachassistenten und Kameras im Gesundheitswesen.

Combined Shape

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um Security Awareness und Social Engineering im Zusammenhang…

Combined Shape

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um die aktuelle IT-Security Bedrohungslage für Unternehmen.

Combined Shape

26.05.2020 Podcast | Update-News, Datenschutz, Informationssicherheit

In dieser Folge geht es um Startups und Unternehmensgründung und die pragmatische Umsetzung vom Datenschutz und der Informationssicherheit sowie das…

Combined Shape

Im aktuellen "audatis DIALOG - Datenschutz und Informationssicherheit praxisnah" geht es um die Arbeitszeiterfassung per App oder in der Cloud.

Combined Shape

28.04.2020 Podcast | Update-News, Datenschutz, Informationssicherheit

In der Folge geht es um die Einführung von Microsoft 365 (vormals bekannt als Office 365) sowie die Risiken aus Sicht eines Unternehmens.

Combined Shape