Home » Fachbeiträge » Security Management » Übers Ziel hinaus – Datenschützer und Microsoft 365

Übers Ziel hinaus – Datenschützer und Microsoft 365

Das Gremium der unabhängigen Datenschutzbehörden des Bundes und der Länder, die Datenschutzkonferenz (DSK), kam im November 2022 zu dem Ergebnis, dass eine datenschutzkonforme Nutzung des Produktes Microsoft 365 (MS 365) nicht möglich ist. Bereits im Jahr 2020 hatte die Mehrheit der Datenschützer Microsoft eine Absage erteilt.

10 Min. Lesezeit
Foto: ©AdobeStock/Bits and Splits

Mit dem Datenschutznachtrag (engl. „Data Protection Addendum“ – DPA) vom 15. September 2022 wollte das Unternehmen die bestehenden Bedenken aus der Welt schaffen. Infolge der neuerlichen Beanstandung hat sich Microsoft nun nicht nur öffentlich entschieden zur Wehr gesetzt, sondern auch sein DPA zum 1. Januar 2023 abermals neu aufgelegt. Die rasanten und inhaltlich komplexen Entwicklungen stellen Unternehmen, die MS 365 weiter nutzen möchten, vor Herausforderungen.

Streng genommen handelt es sich bei der Festlegung um die reine Kenntnisnahme und Zusammenfassung einer Bewertung der Arbeitsgruppe Microsoft-Onlinedienste (AG MS-Onlinedienste). Die AG wurde im September 2020 ins Leben gerufen, um Gespräche mit dem Konzern aufzunehmen und eine Nachbesserung des datenschutzrechtlichen Niveaus seiner Onlinedienste zu erreichen. Der Einberufung der Arbeitsgruppe war eine ablehnende Bewertung des Arbeitskreises Verwaltung (AK Verwaltung) zur Möglichkeit datenschutzkonformer Nutzung von MS 365 durch Unternehmenskunden vorausgegangen. Bei den Arbeitskreisen handelt es um interne Gremien der DSK, die diese in ihrer Arbeit unterstützen und ihre Entscheidungen vorbereiten. Auffällig ist, dass die DSK die Bewertung des AK Verwaltung aus dem Jahr 2020 noch zustimmend zur Kenntnis genommen hatte. Welche Tragweite der bloßen Kenntnisnahme im November 2022 beizumessen ist, bleibt insofern zunächst unklar. In jedem Fall ist der Bericht gegenüber hiesigen Verantwortlichen nicht bindend und stellt deshalb auch keine Verbotsverfügung für MS 365 dar. Da hinsichtlich MS 365 bisher keine höchstrichterliche Klärung stattgefunden hat, besteht jedoch das Risiko behördlicher Sanktionierung.

Prüfauftrag und Adressat des Abschlussberichts

Die Festlegung der DSK vom 24. November 2022 ist keine umfassende oder abschließende Gesamtbewertung der Datenschutzkonformität des Produkts MS 365. Sie lässt das potenziell einschlägige vertragliche Gesamtwerk Microsofts außen vor. Auch technische Untersuchungen, Einstellungen und Konfigurationen oder eine Prüfung der datenschutzrechtlichen Anforderungen aus dem Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) beziehungsweise Fragen des Telekommunikationsrechts finden ausdrücklich nicht statt. Inhaltlich ist die Bewertung zudem auf die bereits im Jahr 2020 gerügten vertraglichen Mängel beschränkt. Die Grundfrage der Prüfung lautet auch 2022 ausschließlich, ob MS 365 in Hinblick auf den Auftragsverarbeitungsvertrag von den Verantwortlichen rechtmäßig genutzt werden kann. Deshalb steht allein die Erfüllung der Pflichten aus Artikel 28 der Datenschutzgrundverordnung (DSGVO) im Rahmen der Auftragsverarbeitung durch Microsoft auf dem Prüfstand.

Wie viele andere Tech-Giganten hat Microsoft seine europäische Hauptniederlassung im irischen Dublin. Da im Rahmen von MS 365 grenzüberschreitende Verarbeitungen durchgeführt werden, ist nach Art. 56 Abs. 1 DSGVO die irische Datenschutzbehörde federführend für Fragen rund um die Datenschutzkonformität des Produkts. Trotzdem erfolgte weder mit der irischen noch mit anderen europäischen Aufsichtsbehörden eine gegenseitige Abstimmung. Die Bewertung adressiert in erster Linie diejenigen, die MS 365 im Rahmen ihrer gewerblichen Tätigkeit verwenden. Aus Sicht der DSK liegt der Ball jedoch in vielen Punkten bei Microsoft. Die datenschutzkonforme Nutzung von MS 365 ist aus Sicht der Datenschützer nur möglich, wenn der Konzern selbst Nachbesserungen vornimmt.

In welchem Verhältnis stehen die Festlegung und der neue Datenschutznachtrag?

Die Festlegung der DSK vom 24. November 2022 ist gegenständlich ausschließlich auf das „Data Protection Addendum“ (DPA) vom 15. September 2022 beschränkt. Soweit dies von den Unternehmen vereinbart wird und sich die streitigen Passagen geändert haben, entzieht das neue DPA der durch die Datenschützer vorgebrachten Kritik formal die Angriffsfläche. Im DPA vom 1. Januar 2023 kommt Microsoft der AG MS-Onlinedienste mit verschiedenen inhaltlichen Änderungen entgegen. So gilt das neue DPA im Falle vertraglicher Widersprüche nicht nur für Volumen-Lizenzverträge, sondern ausdrücklich für sämtliche in Betracht kommende Vereinbarungen über Produkte oder Dienste von Microsoft. Außerdem verpflichtet sich das Unternehmen im Anwendungsbereich des europäischen Datenschutzrechts – insbesondere auch bei nicht als „Core-Onlinediensten“ bezeichneten Anwendungen – zur Implementierung und Bereitstellung der Sicherheitsmaßnahmen nach Anhang II der Standard Contractual Clauses (SCC). Damit wird in Bezug auf vorher gerügte Umsetzungsmängel bei den technischen und organisatorischen Maßnahmen (TOM) nachgebessert. Mit Blick auf rechtliche und politische Brisanz wird im Folgenden besonders auf die festgestellten Mängel bezüglich der Rechenschaftspflicht und des Drittstaatentransfers eingegangen.

Kritikpunkt: Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO

Die Hauptkritik der Datenschützer lautet, dass auf Grundlage des DPA vom 15. September 2022 der erforderliche Nachweis rechtmäßiger Verarbeitung durch MS 365 nicht erbracht werden könne. Hiesige Verantwortliche könnten deshalb die sie treffende Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nicht erfüllen. In der Konsequenz sei eine datenschutzkonforme Nutzung des Produktes MS 365 nicht möglich. Im Wesentlichen beruht dies aus Sicht der Datenschützer auf einer unzureichenden Konkretisierung des Vertragsgegenstands und fehlender Offenlegung eigener Verarbeitungszwecke seitens Microsoft.

1. Festlegung des vertraglichen Gegenstands
So erfolge aus Sicht der Datenschützer keine hinreichend detaillierte Dokumentation durch Microsoft, sodass keine Erfüllung der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO möglich sei. Deshalb seien dringend vertragliche Nachbesserungen vorzunehmen. Als solche werden beispielsweise die kundenspezifische Konkretisierung nach Anhang II der SCC oder die formgerechte Einbeziehung des Verzeichnisses der Verarbeitungstätigkeiten (VVT) des Verantwortlichen vorgeschlagen.

Dem kann man vertretbar entgegenhalten, dass die DSK den Begriff der Rechenschaftspflicht im Hinblick auf das Cloud-Umfeld nicht sachgerecht auslegt. Als Cloud-Dienstleister ist Microsoft in alle nur möglichen Verarbeitungen des Verwenders involviert. Die potenzielle Betroffenheit aller Verarbeitungsmöglichkeiten macht eine Dokumentation im geforderten Umfang unmöglich. Auch die angeratene Einbeziehung des VVT oder anderweitiger Konkretisierungen seitens des Verwenders muss hinsichtlich seiner Praxistauglichkeit kritisch reflektiert werden. Die Festlegung des vertraglichen Gegenstands bildet keinen Selbstzweck. Der DSK zufolge müsste Microsoft die VVT seiner Kunden nicht nur im Einzelfall einsehen, sondern sich auch inhaltlich damit auseinandersetzen. Bei einem standardisierten Massenprodukt dürfte dies praktisch kaum zu bewältigen sein.

2. Eigene Verantwortlichkeit Microsofts
Kern der Auseinandersetzung um die eigene Verantwortlichkeit Microsofts ist die Erstellung von aggregierten Statistiken aus Kundendaten, etwa zur Abrechnungs- und Kontoverwaltung. Auch die notwendige Anonymisierung der verwendeten Daten stellt aus Sicht der DSK einen eigenen Verarbeitungszweck dar und sei somit eigens zu rechtfertigen. Das DPA sei dahingehend nicht hinreichend konkret und berge die Gefahr, dass sich Microsoft umfassende Verarbeitungen zu eigenen Zwecken gewissermaßen „offenhalte“.

Microsoft widerspricht dem und verweist auf die Notwendigkeit solcher Verarbeitungen zur Bereitstellung seiner Volumen-Lizenzverträge. Entgegen der Auffassung der Aufsichtsbehörden könnten die genannten Verarbeitungstätigkeiten als Annex zur Auftragsverarbeitung verstanden und durch den Kunden autorisiert werden. Mit Blick auf die rechtliche Würdigung handelt es sich um einen praktisch nicht auflösbaren Dissens. Dass dieser Streitpunkt nur übergeordnet – etwa durch die Herbeiführung einer gerichtlichen Entscheidung oder auf europäischer Ebene – geklärt werden kann, zeigt auch ein Blick in die Geschichte. Die Berücksichtigung der eigenen Geschäftstätigkeiten, als vertraglichem Unterpunkt des DPA, geht auf die Kritik des niederländischen Justizministeriums aus dem Jahr 2018 zurück. Die Ansicht der DSK berührt somit den nicht unwesentlichen Aspekt der Auslegungsunterschiede zwischen den EU-Mitgliedstaaten. Nur durch die Festlegung einer europaweit harmonisierten Auslegung der einschlägigen DSGVO-Regeln können eine einheitliche Linie zu MS 365 gefunden und Wettbewerbsnachteile vermieden werden. Unabhängig davon sollte der Umfang der durch Microsoft stattfindenden Verarbeitungen nach dem Grundsatz „Privacy by Default“ mittels einer Anpassung der MS-365-Einstellungen beschränkt werden.

3. Was ändert sich durch das neue DPA?
Das neue DPA des Unternehmens begegnet der Kritik durch die Einführung von Unterstützungsleistungen. In diesem verpflichtet sich Microsoft ausdrücklich zum Support des Kunden bei der Erfüllung seiner Rechenschaftspflicht. Durch das DPA und die Bereitstellung von Produktdokumentationen soll eine bedarfsgemäße und einzelfallbezogene Unterstützung gewährleistet werden. Mit Blick auf die umfassenden Produktdokumentationen wird so ein durchaus praxisgerechter und auf Übersichtlichkeit zielender Lösungsansatz geboten. Ob die Aufsichtsbehörden ihre Kritik dadurch entkräftet sehen, bleibt jedoch abzuwarten. Wie die Datenschützer betont haben, müssen „Verantwortliche (…) jederzeit in der Lage sein, ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachzukommen“. Dass die verlangten vollumfänglichen Offenlegungen im Einzelfall von der praktischen Unterstützung Microsofts abhängen, könnte deshalb weiterhin ein Problem sein.

Kritikpunkt: Drittstaatentransfer

Die Datenübermittlung in die USA birgt aus Sicht der AG MS-Onlinedienste ein nicht haltbares Restrisiko des Zugriffs durch die US-Behörden. Mit Blick auf die häufig nicht mögliche Verschlüsselung der „data in use“ vertreten die Datenschützer einen restriktiven Null-Risiko-Ansatz.

In der Praxis hat sich stattdessen jedoch überwiegend ein risikobasierter Ansatz mit der Gewährleistung umfassender Garantien durchgesetzt. Das neue DPA begegnet diesen Bedenken mit der Einführung des „EU Data Boundary Programs“. Für Kunden des öffentlichen Sektors und Unternehmenskunden soll so schrittweise nicht nur die Speicherung, sondern auch die Verarbeitung ihrer Daten innerhalb der EU ermöglicht und vertraglich vereinbart werden. Mit der Änderung zum 1. Januar 2023 betrifft dies zunächst nur die Speicherung und Verarbeitung der Kundendaten. In der zweiten und dritten Phase des Rollouts sollen schließlich auch die Verarbeitung personenbezogener Daten, etwa aus Logdateien und bei der Inanspruchnahme von Supportdiensten, in diesen Raum verlegt werden. Die Drittstaatenproblematik wird durch den Status quo zunächst nicht vollständig aufgelöst. Diese dürfte sich jedoch mit dem neuen Datenschutzabkommen (Trans Atlantic Data Privacy Framework – DPF) und dem alsbald zu erwartenden Angemessenheitsbeschluss voraussichtlich ohnehin bald erledigen.

Welche Kritik hat die Bewertung hervorgerufen?

Inhaltlich ist die Bewertung der AG MS-Onlinedienste nicht ohne Resonanz geblieben und hat unter anderem auch in Fachkreisen viel Kritik erfahren. Aus juristischer Sicht lässt sich insbesondere die angewandte Methodik bemängeln. Bei der Auslegung unbestimmter Begriffe, wie beispielsweise der Rechenschaftspflicht, wird die konkrete Art des Geschäftsmodells kaum berücksichtigt. Auch mit gegenläufigen Ansichten setzen sich die Aufsichtsbehörden nicht ausreichend auseinander. Rechtlich scheint es sich die Arbeitsgruppe dadurch teilweise zu einfach gemacht zu haben.

Die Kritik der DSK ist in dieser Form zwar im Allgemeinen erwartet worden, die unzureichende Berücksichtigung der Eigenheiten der technischen Funktionsweise von Cloud-Diensten und des Geschäftsmodells seitens der Datenschützer ist dennoch überraschend. Wesentliche Entwicklungen wie die erwarteten Neuerungen beim Drittstaatentransfer blieben zunächst unberücksichtigt. Auch der Zuschnitt auf vertragliche und rechtliche Einzelheiten ist wenig sachdienlich. Besonders mit Blick auf die Diskussion um die Geschäftstätigkeiten Microsofts hat sich der Diskurs auf teils rein dogmatische oder akademische Aspekte verdichtet. Ob dies einem höheren Datenschutzniveau dienlich ist, darf bezweifelt werden.

Auch auf Handreichungen oder Hilfestellungen gegenüber hiesigen Verantwortlichen wurde verzichtet, wodurch praktisch relevante Gesichtspunkte offengelassen wurden und eine konstruktive Debatte erschwert wird. Der teils erhobene Vorwurf einer gewissen Technikfeindlichkeit der DSK dürfte dennoch zu weit gehen. Dass MS 365 aus der deutschen Unternehmenslandschaft praktisch kaum wegdenkbar ist, ist den in der DSK vertretenen Experten bewusst. Im Ergebnis bleibt vielmehr der Eindruck, dass Microsoft durch die geschürte Rechtsunsicherheit gezielt unter Zugzwang gesetzt werden soll.

Was können Verantwortliche tun?

Für die Verantwortlichen vor Ort verbleibt die Frage, wie das Restrisiko gehandhabt und mitigiert werden kann. Zentrales Anliegen der DSK ist, dass der Datenschutz als Ganzes und die Belange der Betroffenen ernst genommen werden. Im ersten Schritt sollten sich diejenigen Unternehmen, die weiter auf eine Nutzung von MS 365 bauen wollen, bewusst machen, an welchen Stellen datenschutzrechtliche Fallstricke lauern. Die im DSK-Papier gerügten Punkte, insbesondere die Tragweite der eigenen Rechenschaftspflicht, sollten verstanden und ernst genommen werden. In Bezug auf die als strittig markierten Zusammenhänge sollte eine detaillierte und unternehmensspezifische Auseinandersetzung – beispielsweise im Rahmen einer Datenschutz-Folgenabschätzung (DSFA) – stattfinden.

Grundsätzlich sollte die Dokumentation der stattfindenden Verarbeitungen im Auftrag des Kunden bestmöglich verwirklicht werden. Deswegen müssen Unternehmen ihre Dokumentationen – beispielsweise das Verzeichnis der Verarbeitungstätigkeiten (VVT) – prüfen und gegebenenfalls nachrüsten. Auch sollten sie die über MS 365 stattfindenden Verarbeitungen prüfen, spezifizieren und bei Bedarf durch zusätzliche Maßnahmen regeln. Praktisch lässt sich das beispielsweise anhand interner Leitlinien zur Verwendung der durch MS 365 gebotenen Produkte umsetzen. Darüber hinaus sollten Unternehmen ihre individuellen Nutzereinstellungen sowie die globalen Admin-Center-Einstellungen prüfen und anpassen. Durch die Deaktivierung bestimmter Voreinstellungen lässt sich der Umfang der Verarbeitungen durch Microsoft beschränken.

Fazit

Die Festlegung der DSK hat die anhaltende Rechtsunsicherheit bezüglich der Verwendung von MS 365 durch den öffentlichen Sektor und Unternehmenskunden weiter verschärft. Die Argumentation der Datenschützer kann dabei jedoch hinsichtlich verschiedener Aspekte kritisiert werden. Denn es sprechen gute Gründe für die Möglichkeit einer datenschutzkonformen Nutzung von MS 365. Wichtig ist, dass Unternehmen die Risiken der Nutzung ernst nehmen und die Chancen datenschutzfreundlicher Einstellungen und einer rechtzeitigen Datenschutz-Folgenabschätzung nutzen.

Literatur
Tobias Weidemann, Datenschutz: Microsoft 365 bleibt für Unternehmen ein hohes Risiko, t3n, https://t3n.de/news/datenschutz-microsoft-office-365-risiko-1518125/
Reusch Rechtsanwaltsgesellschaft mbH, Microsoft 365: Mehr Datenschutz durch das EU Data Boundary!, www.reuschlaw.de/news/microsoft-365-mehr-datenschutz-durch-das-eu-data-boundary/
Datenschutzkonferenz, AG DSK „Microsoft-Onlinedienste“ – Zusammenfassung der Bewertung der aktuellen Vereinbarung zur Auftragsverarbeitung, https://datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365_zusammenfassung.pdf
Christina Kiefer, Stefan Hessel, Microsoft 365: Microsoft bewegt sich, die Datenschützer mauern unverhältnismäßig, heise online, www.heise.de/meinung/Microsoft-365-Microsoft-bewegt-sich-die-Datenschuetzermauern-unverhaeltnismaessig-7370920.html

Andere interessante Fachbeiträge

Herausforderungen bei der Strukturierung sicherheitsrelevanter Logs im SIEM

Bei dem Versuch, die Infrastruktur so sicher wie möglich zu gestalten und vor Angreifern zu schützen, stehen die IT-Sicherheitsteams vor zahlreichen Herausforderungen. Tägliche Änderungen an den IT-Systemen und ständig neue Sicherheitslücken erschweren diese Aufgabe zusätzlich.

Email-Sicherheit

Archivierung und Verschlüsselung von Business-E-Mails für Unternehmen

Ohne E-Mail läuft in Unternehmen nichts: Laut IT-Branchenverband BITKOM gehen in deutschen Unternehmen täglich durchschnittlich 40 E-Mails pro Postfach ein. Dabei tauschen Mitarbeiter häufig sensible Informationen aus, etwa Verträge, Kundeninformationen oder strategische Pläne.

Wie Low-Code nicht zu Low-Security wird

Low-Code soll die Produkteinführungszeit in der Softwareentwicklung verkürzen sowie Business und IT näher zusammenbringen. Doch wie lassen sich gleichzeitig die entsprechenden Sicherheitsstandards einhalten?