Damit nimmt das Land Niedersachsen in Deutschland eine Vorreiterrolle bei der Nutzung von Microsoft Teams in der Verwaltung ein. Der Europäische Datenschutzbeauftragte verkündete im März 2024 hingegen, dass die Nutzung von Microsoft 365 seitens der Europäischen Kommission (EU-Kommission) einen Verstoß gegen das Datenschutzrecht darstellt. Dies wirft die Frage auf, wie es der Niedersächsischen Landesregierung möglich ist, eine datenschutzrechtliche Vereinbarung mit Microsoft für die Nutzung von Microsoft Teams abzuschließen, während die EU-Kommission bei der Nutzung von Microsoft 365 gegen das Datenschutzrecht verstößt.
Das Land Niedersachsen und Microsoft Teams
In der entsprechenden Pressemitteilung wird erläutert, dass in enger Abstimmung mit dem Landesbeauftragten für den Datenschutz (LfD) in Niedersachsen kritische „Big Points“ des Datenschutzes verhandelt und geklärt worden seien. Die datenschutzkonforme Implementierung sei durch die Erstellung einer spezifischen Datenschutzfolgeabschätzung für das Land ermöglicht worden, die eine Risikobewertung und verschiedene technische und organisatorische Maßnahmen (TOM) beinhalte. Ein entscheidender Faktor für die DS-GVO-Konformität von Teams sei Microsofts Entscheidung gewesen Daten in Europa zu speichern und zu verarbeiten („EU-Boundary“).
Bislang wurden die Datenschutzvereinbarung und die DSFA, auf die in der Pressemitteilung Bezug genommen wurde, nicht veröffentlicht. Eine Anfrage zur Veröffentlichung dieser Dokumente auf dem Portal “Frag den Staat”, die am 27.04.2024 an den LfD Niedersachsen gerichtet wurde, wurde abgelehnt.
Infolgedessen bleibt die genaue Natur der getroffenen Vereinbarungen ungewiss. Es lässt sich lediglich vermuten, dass sich die Vereinbarungen an der Handreichung für den Umgang mit dem Standardvertrag zur Auftragsverarbeitung von Microsoft für den Einsatz von Microsoft 365 orientieren. Diese Handreichung wurde vom LfD Niedersachsen in Zusammenarbeit mit sechs weiteren Datenschutzaufsichtsbehörden als Reaktion auf die Kritik der Datenschutzkonferenz (DSK) an der Nutzung von Microsoft 365 erstellt.
Der LfD Niedersachsen war nach eigenen Angaben nicht direkt an den Verhandlungen mit Microsoft beteiligt. Stattdessen hat er das Ministerium mit datenschutzrechtlichen Einschätzungen unterstützt und die Ergebnisse der Verhandlungen bewertet. Nach Ansicht des LfD Niedersachsen sei die getroffene Auftragsverarbeitungsvereinbarung akzeptabel. Dennoch seien weiterhin Möglichkeiten für datenschutzfreundlichere Einstellungen denkbar, besonders hinsichtlich des Umfangs der EU-Boundary. Diese Regelung stellt sicher, dass Daten überwiegend innerhalb der EU und der EFTA gespeichert und verarbeitet werden. Falls dennoch Datenübertragungen in Drittstaaten erfolgen, müssten Verantwortliche dies berücksichtigen. Zusätzlich seien zahlreiche interne Maßnahmen wie Dienstanweisungen und Konfigurationseinstellungen zur Datenminimierung notwendig. Vor der Einführung müssten Verantwortliche eine individuelle Datenschutzfolgenabschätzung erstellen und die technischen sowie organisatorischen Datenschutzmaßnahmen prüfen.
Der LfD Niedersachsen erwartet, dass alle aus den vertraglichen Regelungen resultierenden Maßnahmen von den Verantwortlichen konsequent vor dem Start der Nutzung von Microsoft-Online-Diensten umgesetzt und regelmäßig auf ihre Wirksamkeit hin überprüft würden. Dies gelte besonders für die Einhaltung der Transparenz- und Dokumentationspflichten.
Der LfD Niedersachsen betont abschließend, dass die erzielten Verhandlungsergebnisse keine Abkehr von der bisherigen Sensibilisierung für die Risiken der Microsoft-Produkte darstellten. Die Datenschutzbehörde Niedersachsen fordere die Beschaffungsstellen weiterhin dazu auf, nach Alternativen zu Microsoft zu suchen.
Die EU-Kommission und Microsoft 365
Im Gegensatz zum beschriebenen Vorgehen des Niedersächsischen Ministeriums für Inneres und Sport, welches eine enge Zusammenarbeit mit der zuständigen Datenschutzaufsicht beinhaltete, war der Europäische Datenschutzbeauftragte (EDSB) im Fall der EU-Kommission nicht frühzeitig involviert worden.
Seit 2021 liefen Ermittlungen des EDSB, Wojciech Wiewiórowski, in welchen er überprüfte, ob die EU-Kommission die vom EDSB im Juli 2020 veröffentlichten Empfehlungen zur Nutzung von Microsoft-Produkten und -Diensten einhält. Die Untersuchungen sind nun beendet und der EDSB stellte fest, dass die EU-Kommission bei der Nutzung von Microsoft 365 gegen mehrere der Datenschutzvorschriften für die EU-Institutionen (Verordnung (EU) 2018/1725) verstoßen hat.
Die Verstöße betreffen unter anderem die unzureichenden Garantien für den Schutz personenbezogener Daten, die außerhalb der EU übertragen werden, und mangelnde Klarheit im Vertrag mit Microsoft bezüglich der Art und Zwecke der Datenerhebung. Der EDSB, begründet seine Entscheidung damit, dass EU-Institutionen strenge Datenschutzvorschriften sicherstellen müssten, insbesondere bei der Verarbeitung von personenbezogenen Daten durch Cloud-Dienste.
Der EDSB hat daher beschlossen, dass die EU-Kommission bis zum 9.Dezember 2024 alle Datenübermittlungen an Microsoft und verbundenen Unternehmen außerhalb der EU, die keinen ausreichenden Datenschutz bieten, aussetzen muss. Zudem muss die Kommission ihre Nutzung von Microsoft 365 in Übereinstimmung mit den EU-Datenschutzvorschriften bringen und diese bis zum 9. Dezember 2024 nachweisen.
Reaktion der EU-Kommission
Als Reaktion des EDSB erhob die EU-Kommission am 17. Mai 2024 eine Klage vor dem Europäischen Gerichtshof (EuGH), Rechtssache T-262/24. Des Weiteren hat auch Microsoft selbst eine Klage gegen den EDSB angestrengt, Rechtssache T-265/24. Die Kläger bringen vor, dass es "Rechts- und Tatsachenfehler" sowie "fehlerhafte Auslegung und Anwendung" von EU-Recht gegeben habe, weshalb der Untersuchungsbericht für nichtig erklärt werden solle.
Die EU-Kommission erhebt den Einwand, dass sie die Art und den Zweck der Verarbeitung personenbezogener Daten in der Lizenzvereinbarung nicht unzureichend festgelegt habe. Des Weiteren wird die Behauptung, nicht ausreichend klar dokumentierte Anweisungen gegeben zu haben, zurückgewiesen. Sowohl die Kommission als auch Microsoft erachten die vom EDSB angeordneten Maßnahmen als "unverhältnismäßig" und unbegründet.
Fazit
Insgesamt kann bezogen auf die unterschiedliche Bewertung des Einsatzes von Microsoft 365 gesagt werden, dass ein Einsatz sowohl nach Ansicht des LfD Niedersachsen als auch nach Ansicht des EDSB grundsätzlich möglich ist, sofern weitere vertragliche Regelungen getroffen werden. Der Standardvertrag, welcher von Microsoft bereitgestellt wird, wird von beiden hingegen als unzureichend bewertet. Dies zumindest für den in den konkreten Fällen beschriebenen Einsatz. Genau hier lag der Unterscheid der auf den ersten Blick sehr ähnlichen Fälle. Die zusätzlich getroffenen Vereinbarungen scheinen zumindest in Niedersachsen umfangreicher und zielführender zu sein, als es im Fall der EU-Kommission der Fall war. Wobei eine Überprüfung dieser Behauptung aus Niedersachsen Stand jetzt nicht möglich ist.
Der Disput über die Verwendung von Microsoft 365 durch die EU-Kommission wirft zudem essenzielle Fragestellungen in Bezug auf Datenschutz, Datenübermittlung und die Inanspruchnahme von Cloud-Diensten innerhalb der EU auf. Der Versuch der EU-Kommission und Microsoft, die Maßnahmen des EDSB zu annullieren, birgt das Risiko, dass die Integrität und Sicherheit personenbezogener Daten beeinträchtigt werden, insbesondere im Falle einer Entscheidung des EuGH zugunsten der Kläger.
Andererseits könnte eine Bestätigung der Position des EDSB zu strengeren Datenschutzrichtlinien führen, was eine weitere Einschränkung der Nutzung von US-basierten Cloud-Diensten zur Folge hätte.
Handlungsempfehlung
Die Chancen, dass Microsoft mit jedem Nutzer der Microsoft 365 Dienste in Verhandlungen tritt und die Verträge in der Form anpasst, dass alle datenschutzrechtlichen Anforderungen erfüllt sind, ist sehr gering, bzw. gleich Null. Um die Risiken aus datenschutzrechtlicher Sicht bei der Nutzung von Microsoft 365-Diensten dennoch zu minimieren, empfehlen wir Ihnen folgende Punkte zu beachten:
- Verzeichnis der Verarbeitungstätigkeiten
Nehmen Sie alle Verarbeitungen im Zusammenhang mit den Microsoft 365 Diensten in Ihrem VVT auf. Bei Nutzung unserer Datenschutzmanagement-Software audatis MANAGER, haben Sie die Möglichkeit zur Arbeitserleichterung kostenpflichtige VVT-Vorlagen zu nutzen.
- Erstellung einer Datenschutzfolgeabschätzung (DSFA):
Mit der Erstellung einer DSFA können die Risiken, die sich aus der Nutzung von Microsoft 365 ergeben, erkannt, bewertet und bewältigt werden.
Eine Mustervorlage für die Durchführung einer DSFA für den Einsatz von Microsoft 365 finden Sie hier.
- Durchführung eines Legitimate Interests Assesments (LIA):
Ein LIA ist dem Grunde nach eine dokumentierte und ausführliche Interessensabwägung, um eine Verarbeitung auf Grundlage des überwiegenden berechtigten Interesses i.S.d. Art. 6 lit. f) DS-GVO zu legitimieren. Eine von uns vorbereitete Vorlage hierfür finden Sie hier.
- Anpassung optionaler Einstellungen:
Optionale Einstellungen sollten immer mit dem Ziel konfiguriert werden, den geringsten Datenfluss zuzulassen.