Hintergrund
Bei der DSK handelt es sich um ein Gremium, welches sich mit aktuellen Fragen des Datenschutzes in Deutschland beschäftigt und dazu Stellung nimmt. Sie besteht aus dem Bundesdatenschutzbeauftragten, den Landesdatenschutzbeauftragten der 16 Bundesländer und dem Präsidenten des Bayerischen Landesamtes für Datenschutzaufsicht. Bereits 2020 überprüfte sie die Online Service Terms (OST) und die Datenschutzbestimmungen für Microsoft-Onlinedienste (Data Processing Addendum/DPA) auf die Einhaltung der Anforderungen von Art. 28 Abs. 3 DS-GVO hin. Dabei kam der DSK-Arbeitskreis Verwaltung zu dem Entschluss, dass auf Basis der geprüften Unterlagen kein datenschutzgerechter Einsatz von Microsoft 365 (M365) möglich sei. Auf Wunsch der DSK nahm daraufhin eine Arbeitsgruppe unter Federführung Brandenburgs (LDA Brandenburg) und Bayerns (BayLDA) Gespräche mit Microsoft auf, um zeitnah Nachbesserungen sowie Anpassungen auszuführen um den durch die Schrems II-Entscheidung des EuGH aufgezeigten Maßstäbe an Drittstaatentransfer für die Anwendungspraxis öffentlicher und nicht öffentlicher Stellen gerecht zu werden. Weitere Teilnehmer der Arbeitsgruppen waren der Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI) sowie die Aufsichtsbehörden von Baden-Württemberg, Berlin, Hessen, Mecklenburg-Vorpommern, Sachsen, Saarland und Schleswig-Holstein. Auf Seiten von Microsoft nahmen teil Beschäftigte der Microsoft Deutschland GmbH einschließlich eines Mitglieds der Geschäftsleitung und je nach Schwerpunkt Ansprechpartner der Microsoft Corporation (USA).
Wesentliche Ergebnisse
Microsoft hat im September 2022 sein aktualisiertes "Privacy Addendum for Microsoft Products and Services" vorgestellt. Änderungen im Vergleich zum Vorgänger wurden insbesondere im Bereich der vertraglichen Formulierungen bezogen auf die Verantwortlichkeit von Microsoft im Rahmen der Verarbeitung vorgenommen. Die Arbeitsgruppe konnte jedoch trotz der Änderungen nur geringe Verbesserungen bei den vom Arbeitskreis Verwaltung vorgebrachten Kritikpunkten feststellen. Ein wesentlicher Kritikpunkt war und ist die mangelnde Klarheit darüber, wann Microsoft als Auftragsverarbeiter und wann als Verantwortlicher für die Datenverarbeitung agiert. Dies ist besonders wichtig, da die für die Verarbeitung Verantwortlichen auch für die Einhaltung der Verarbeitungsgrundsätze gem. Art. 5 Abs. 2 DS-GVO verantwortlich sind und dies im Rahmen ihrer Rechenschaftspflicht jederzeit nachweisen können müssen. Problematisch bei der Verwendung von Microsoft ist in diesem Zusammenhang, dass nicht vollständig offengelegt wird, welche Verarbeitungen im Einzelnen stattfinden und das nicht deutlich genug definiert wird, welche Verarbeitungen im Auftrag des Kunden und welche für eigene Zwecke des Kunden durchgeführt werden.
Kritikpunkte der DSK
- Auch nach aktualisiertem DPA sei keine signifikante Nachbesserung hinsichtlich der Festlegung von Arten und Zwecken der Verarbeitung sowie der Arten der verarbeiteten personenbezogenen Daten eingetreten.
Die DSK fordert, dass der Gegenstand der Auftragsverarbeitung nicht nur umfassend, sondern auch spezifisch und so detailliert wie möglich beschrieben wird. Eine Möglichkeit sei eine kundenspezifische Konkretisierung ähnlich Anhangs II der Standardvertragsklauseln gem. Art. 28 Abs. 7 DS-GVO. - Eigene Verantwortlichkeit Microsofts im Rahmen der Verarbeitung für legitime Geschäftszwecke.
Die DSK kritisiert weiter, dass die seitens Microsofts stattfindende Verarbeitung personenbezogener Daten nicht konkret genug bestimmt sei und die Microsoft eingeräumten Rechte unzureichend eingegrenzt sein. Insbesondere bleibe unklar, welche personenbezogenen Daten von Microsoft mit legitimen Geschäftstätigkeiten gemeint seien und auf welcher Rechtsgrundlage die Überführung der im Auftrag verarbeiteten personenbezogenen Daten in die Verantwortlichkeit von Microsoft für die anschließende Verarbeitung zu Zwecken Microsofts beruht. Insbesondere für öffentliche Stellen sei dies problematisch, da diese nicht auf Art. 6 Abs. 1 lit. f) DS-GVO zurückgreifen können. - Weisungsbindung, Offenlegung verarbeiteter Daten, Erfüllung rechtlicher Verpflichtungen.
Nach Art. 28 Abs. 3 lit. a) DS-GVO dürfen personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeitet werden, es sei denn, der für die Verarbeitung Verantwortliche ist durch EU-Recht oder das Recht eines Mitgliedstaats, in dem der Auftragsverarbeiter ansässig ist, dazu verpflichtet. Microsofts Datenschutznachtrag führe jedoch dazu, dass Weisungsrechte der Kunden in Bezug auf Offenlegung der im Auftrag verarbeiten Daten eingeschränkt werden. - Umsetzung technischer und organisatorischer Maßnahmen nach Art. 32 DS-GVO.
Die DSK sieht weiterhin Rechtsunsicherheiten, da Microsofts Garantien über Sichermaßnahmen formal nur für eine Teilmenge der vertragsgegenständlichen personenbezogenen Daten gelten sollen. - Löschung und Rückgabe personenbezogener Daten.
Die Lösch- und Rückgabefristen von Microsoft entsprächen nicht in allen Fällen den Verpflichtungen aus Art. 28 Abs. 3 lit. g) DS-GVO. - Information über Unterauftragsverarbeiter.
Die DSK ist der Ansicht, dass die von Microsoft vorgelegten Informationen zu ungenau seien. Sie würden nur die Information enthalten, dass Änderungen an Unterauftragsverarbeitern geplant sind, aber nicht, welche konkreten Änderungen beabsichtigt seien. - Datenübermittlung in Drittstaaten.
Aus den Gesprächen zwischen der Arbeitsgruppe und Microsoft ergab sich, dass die Nutzung von Microsoft 365 gänzlich ohne eine Übermittlung personenbezogener Daten nicht möglich sei. Nach Ansicht der DSK seien die daher benötigten zusätzlichen Schutzmaßnahmen im Datenschutznachtrag von Microsoft mit Bezug auf Datentransfers nicht ausreichend.
Stellungnahme Microsoft
Inzwischen hat auch Microsoft Stellung zu der Bewertung der DSK genommen. Dabei gibt Microsoft zu verstehen, dass sie eine andere Meinung als die DSK vertreten. M365-Dienste würden die Anforderungen der DS-GVO sogar übertreffen, sodass für Kunden in der gesamten EU keine Risiken bei entsprechender Nutzung drohten. Die Ergebnisse der DSK seien darauf zurückzuführen, dass die von Microsoft vorgenommenen Änderungen nicht angemessen berücksichtigt seien. Zudem sei die Einschätzung von Missverständnissen hinsichtlich der Funktionsweise der Dienste und von bereits ergriffenen Maßnahmen geprägt. Wichtige rechtliche Änderungen, die einen größeren Schutz der Privatsphäre für Datenströme zwischen der EU und den USA boten, seien ferner nicht berücksichtigt worden. Dennoch verspricht Microsoft weitere Datenströme ihrer Kunden und die Zwecke der Verarbeitung bereitzeitstellen sowie mehr Transparenz über die Standorte und die Verarbeitung durch Unterauftragsverarbeiter und Microsoft Mitarbeiter außerhalb der EU zu schaffen.
Handlungsempfehlung
Mit der aktuellen Stellungnahme hat die DSK die bisherige Einschätzung zu M365 in aller Deutlichkeit bestätigt. Ein entsprechender Einsatz ist mit einem konkreten Risiko einer Datenschutzverletzung verbunden. Konsequenteste Empfehlung zum weiteren Umgang müsste demnach lauten, dass ein Anbieterwechsel durchzuführen sei.
Wenn weiterhin am Einsatz festgehalten wird, gilt es darauf hinzuweisen, dass dies eine Risikoentscheidung darstellt. Um das in Kauf genommene Risiko zu minimieren, sollten jedoch die folgenden Schritte ausgeführt werden:
- Erstellung einer Datenschutz-Folgenabschätzungen (DSFA)
Damit können Risiken, die sich aus der Nutzung von M365 ergeben, erkannt, bewertet und bewältigt werden.
- Durchführung eines Legitimate Interests Assesments (LIA)
Ein LIA ist dem Grunde nach eine dokumentierte und ausführliche Interessensabwägung, um eine Verarbeitung auf Grundlage des überwiegenden berechtigten Interesses i.S.d. Art. 6 lit. f) DS-GVO zu legitimieren.
- Durchführung eines Transfer Impact Assesments (TIA)
Die Übermittlung personenbezogener Daten aus dem EU / EWR Gebiet erfordert zusätzlich die Einhaltung der Vorgaben des Kapitel 5 DS-GVO. Im Verhältnis mit Microsoft ist der Abschluss von Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. c) DS-GVO möglich. Zusätzlich dazu ist zwingend ein TIA durchzuführen. Damit wird das Schutzniveau des jeweiligen Empfängerdrittlandes analysiert, um festzustellen, ob dem vertraglich zugesagten Schutz der Daten gesetzliche Regelungen entgegenstehen. Ist dies der Fall, so müssen zusätzliche Schutzmaßnahmen ergriffen werden, um das Schutzniveau an den EU-Standard anzupassen.
- Anpassung optionaler Einstellungen
Die Einstellungen bezogen auf Cloud-Services sollten eine freiwillige Nutzung ermöglichen. Weitere optionale Einstellungen sollten immer mit dem Ziel konfiguriert werden, den geringsten Datenfluss zuzulassen.