Ist die Nutzung von Microsoft 365 DSGVO-konform?
Inhaltsverzeichnis
- Microsoft 365: Langjährige Widersprüche zur DSGVO
- Microsoft 365: Die Stellungnahme der Datenschutzkonferenz
- Was sagt die Datenschutzkonferenz zur Nutzung von Microsoft 365?
- Warum ist die Nutzung von Microsoft 365 problematisch?
- Seit 01.01.2023 gilt auch bei Microsoft die EU-Datengrenze
- Microsoft 365 ist problematisch für Berufsgeheimnisträger
- Meine Einschätzung
Microsoft 365, ehemals Microsoft Office 365, ist eine weitverbreitete Software, die sowohl privat als auch gewerblich genutzt wird. Schon seit Jahren wird kritisiert, dass Cloud-Angebote wie Outlook, Word, PowerPoint oder Excel nicht mit der europäischen Datenschutzgrundverordnung (DSGVO) vereinbar sind. Noch im November 2022 teilte die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) mit, dass die Nutzung von Microsoft 365 nicht mit den Vorgaben der DSGVO vereinbar ist. Zum Jahreswechsel traten Änderungen von Microsofts Datenschutzbestimmungen in Kraft. Ist die Kritik an Microsoft damit hinfällig?
Microsoft 365: Langjährige Widersprüche zur DSGVO
Bereits im September 2020 stellte die DSK fest, dass die cloudbasierten Produkte von Microsoft 365 nicht mit dem europäischen Datenschutzrecht vereinbar sind. Die Analyse erfolgte auf Grundlage der Online Service Terms sowie des Data Processing Addendum (DPA) von Microsoft. Dabei wurden die Geschäftsbedingungen und der Datenschutznachtrag an Art. 28 DSGVO gemessen und scheiterten. Im September 2022 stellte Microsoft eine aktualisierte DPA vor. Auch zu dieser nahm die DSK im November 2022 Stellung und sparte weiterhin nicht an Kritik. Zwar gebe es Verbesserungen, aber es fehle immer noch an der notwendigen Transparenz, hieß es.
Microsoft 365: Die Stellungnahme der Datenschutzkonferenz
Die Datenschutzkonferenz (DSK) übte in drei zentralen Punkten weitreichende Kritik:
- Microsoft habe immer noch nicht ausreichend klargestellt, in welchen Fällen sie als Auftragsverarbeiter und in welchen als Verantwortliche tätig werden.
- Es werde nicht vollumfänglich dargestellt, welche Daten im Einzelnen verarbeitet werden.
- Das Weisungsrecht des Kunden in Bezug auf Offenlegungen der im Auftrag verarbeiteten Daten ist weiterhin stark eingeschränkt.
Damit genüge die Weisungsbindung Microsofts nicht den gesetzlichen Mindestanforderungen gemäß Art. 28 Abs. 3 U Abs. 1 S. 2 Buchstabe a DSGVO. Die Umsetzung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO sei nur auf wenige Datenkategorien beschränkt und damit unzureichend. Die Ausgestaltung der Rückgabe- und Löschverpflichtung entspreche nicht in jedem Fall den gesetzlichen Anforderungen aus Art. 28 Abs. 3 UAbs. 1 Satz 2 Buchstabe g DSGVO. Verantwortliche könnten wegen der Unklarheit der Regelungen ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 i.V.m. Art. 5 Abs. 1 Buchstabe a DSGVO nicht nachkommen. Es gebe keine ausreichenden Informationen über Unterauftragsdatenverarbeiter.
Was sagt die Datenschutzkonferenz zur Nutzung von Microsoft 365?
Die DSK stellte ausdrücklich klar, dass Einrichtungen wie Ämter, Schulen und Unternehmen die Produkte mit Cloud-Verbindung nicht rechtskonform einsetzen könnten. In jedem Fall sind zusätzliche Schutzvorkehrungen notwendig.
Microsoft wehrte sich gegen diese Einschätzung in einer Stellungnahme und nannte die Bewertungen der DSK „extrem“ und „technologiefeindlich“.
Warum ist die Nutzung von Microsoft 365 problematisch?
Insbesondere die Datenübermittlung an Drittstaaten, vorwiegend den USA, stellte ein zentrales Problem der Datenschutzkonformität von Microsoft 365 dar. Seit den EuGH Urteilen Schrems I und Schrems II aus 2015 und 2020 scheiterten die Versuche ein Datenschutzabkommen in Form von Safe Harbor und Privacy Shield mit den USA.
Der Europäische Gerichtshof erschwerte im Juli 2020 mit dem Schrems-II-Urteil den Datentransfer in die USA für EU-Unternehmen. Doch seit dem 10.07.2023 haben die EU und die USA ein neues Abkommen geschlossen, das EU-U.S. Trans-Atlantic Data Privacy Framework (TADPF), das den Datentransfer wieder ermöglicht.
Seit 01.01.2023 gilt auch bei Microsoft die EU-Datengrenze
Als Reaktion kündigte Microsoft bereits im Mai 2021 die häufig geforderte EU-Datengrenze an. Seit dem 01.01.2023 bieten manche Produkte die Möglichkeit zur ausschließlichen Datenspeicherung auf Servern im EU-Raum. Eine Übertragung in die USA wird damit vermieden. Dies gilt zunächst nur für Kundendaten. Bis Ende 2023 sollen auch pseudonymisierte personenbezogene Daten nicht mehr in den USA gespeichert werden. 2024 soll dies dann auch für Daten aus dem technischen Support umgesetzt werden.
Rechtliche Probleme bereitet immer noch der CLOUD Act von 2018. Danach sind US-Firmen verpflichtet, Zugriff auf gespeicherte Daten zu gewährleisten, wenn das von Geheimgerichten beschlossen wird. Das gilt auch für die Speicherung von Daten außerhalb der USA.
Microsoft 365 ist problematisch für Berufsgeheimnisträger
Auch die Bundesrechtsanwaltskammer (BRAK) hat einen offiziellen Hinweis zur Nutzung der Microsoft-Cloud-Dienste veröffentlicht. Bereits im Februar 2021 wurden die Mitglieder darauf aufmerksam gemacht, dass die Vertraulichkeit von Mandatsinformationen § 43a Abs. 2 und 43e BRAO, § 2 BORA, 203 Abs. 1 Nr. 3 StGB nicht gewährleistet sein könne. Zudem bestehen weitere Anforderungen hinsichtlich möglicher Übermittlungen von Informationen ins Ausland (§ 43e Abs. 4 BRAO). Ob die Vertraulichkeit beim Einsatz von Microsoft Office gewährleistet werde und die zusätzlichen Anforderungen des § 43e BRAO eingehalten werden, konnte die Kammer nicht abschließend beantworten. Die BRAK hat ihr Hinweisblatt im Januar 2023 aktualisiert und wartet nun ab, ob die Datenschutzkonferenz (DSK) Stellung zu den Neuerungen beziehen wird.
Microsoft betrachtet die Möglichkeit einer Nutzung durch Berufsgeheimnisträger für gegeben und bietet den Abschluss einer entsprechenden Verschwiegenheitsvereinbarung an.
Meine Einschätzung
Ob sich das Urteil der DSK nach dem letzten Update des Datenschutznachtrages von Microsoft ändert, bleibt abzuwarten. Das Hin und Her Spiel zwischen Microsoft und den Aufsichtsbehörden geht in die nächste Runde. Mit jedem Spielzug werden aufsichtsbehördliche Maßnahmen wahrscheinlicher. Dazu gehört etwa eine Pflicht für Verantwortliche zur Erbringung schwer erstellbarer Nachweise der rechtskonformen Nutzung. Unternehmen, die Microsoft 365 verwenden, sind selbst für den rechtlich-konformen Einsatz der Anwendungen verantwortlich. Das müssen sie auf Aufforderung auch nachweisen. Das Risiko liegt also bei den Nutzern. So liegen bereits die ersten Klagen gegen das EU-U.S. Trans-Atlantic Data Privacy Framework (TADPF) beim Europäische Gerichtshof vor.
Wenn Sie Fragen zur gewerblichen Nutzung von Microsoft 365 haben, melden Sie sich gerne bei mir.
Der US-Dienst und seine Problematiken:
Der US-Dienst Microsoft muss auf seine Einsatzfähigkeit geprüft werden, nachdem das Privacy Shield weggefallen ist.
Der Wegfall ist kein Grund, Office nicht mehr zu nutzen, besonders nicht bei der Verwendung von eines EU-Server.
Warum ist es nicht mit der DSGVO konform?
Genannte Gründe der DSK für das Fehlen der Konformität zur DSGVO:
- Fehlende Details:
Die Beschreibung der genauen Tätigkeiten ist nicht gut genug, um sagen zu können, ob Microsoft weiter genutzt werden kann.
- Die Telemetrie hat keine Rechtsgrundlage:
Es fehlt die rechtliche Grundlage für die übermittelten Telemetrie-Diagnosedaten.
- Ungenauer Hinweis zu eventuellen Weitergaben:
Es gibt gesetzlich vorgeschriebene Fälle, in denen die Datenweitergabe unter einem vertraglichen Vorbehalt steht, dieser Bereich ist zu abstrakt verfasst.
Sollte Office 365 nun deinstalliert werden?
Es gibt keinen Grund, den Dienst zu verteufeln und sofort auf die Nutzung zu verzichten. Hier 4 Erläuterungen zum laufenden Prozess:
- Datenschutzbehörden sind sich uneinig:
Die Entscheidung der DSK war nicht einstimmig. Die Entscheidung war mit 8 zu 17 Datenschutzbehörden denkbar knapp. Für zu früh bezeichneten vier Aufsichtsbehörden diese Entscheidung.
- Microsoft 365 besteht aus verschiedenen zusammengefassten Produkten.
Bei diesen Bündelungen gibt es bei unterschiedlichen Produkten verschiedene Rechtsvereinbarungen. Es müsste also zuerst geprüft werden, ob die von der DSK getroffene Entscheidung auf diese Zusammensetzungen zutrifft. Dazu kommt, dass die bisherige Entscheidung nicht auf einer technischen Einsicht beruht, sondern anhand von Unterlagen getroffen wurde.
- Software und die dazugehörigen Rechtstexte werden laufend angepasst.
Das trifft auf Microsoft natürlich auch zu. Die aktuelle Entscheidung wurde im Januar 2020 getroffen und ist damit eine Momentaufnahme.
- Es besteht aktuell keine Gefahr für ein Bußgeld.
Da die Rechtslage im Moment derart unklar ist, drohen keine Folgen in Form von Untersagungsanordnungen oder Bußgeldern.
Die Empfehlung für die Praxis:
Einfach kann noch keine Entscheidung getroffen werden, ob die weitere Nutzung zulässig ist. Bei der Beurteilung kommt es auch darauf an, wofür genau das Programm genutzt wird. Da der Prozess noch am Laufen ist, kann die rechtliche Lage sich schnell ändern. Hier sollte es eine individuelle Risikobewertung geben. Ehe alles über Board geschmissen wird, erstmal die Reaktion von Microsoft abwarten. In der Vergangenheit gab es durchaus gute Kompromisse bei ähnlichen Problemen.