Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) hat im November 2022 festgestellt, dass die für den Einsatz von „Microsoft 365“ vorgesehene Standard-Auftragsverarbeitungsvereinbarung von Microsoft nicht den Anforderungen von Art. 28 Abs. 3 DSGVO entspricht.
Die Datenschutzaufsichtsbehörden haben gemeinsam eine Handreichung erarbeitet, die die Verantwortlichen in Unternehmen unterstützen soll, bei Microsoft auf entsprechende vertragliche Änderungen hinzuwirken, damit „Microsoft 365“ rechtskonform eingesetzt werden kann.
Microsoft 365 nicht datenschutzkonform
Der Einsatz der Office-Anwendungsprogramme von Microsoft, zu denen unter anderem Word, Excel und Outlook gehören, ist seit deren Zusammenfassung im Online-Produktpaket Microsoft Office 365, das seit einiger Zeit unter der Bezeichnung Microsoft 365 angeboten wird, datenschutzrechtlich höchst umstritten. Mehrere Untersuchungen deutscher Datenschutzbehörden hatten ein eindeutiges Ergebnis: Microsoft 365 kann nicht datenschutzkonform eingesetzt werden, weil sich nicht klar nachvollziehen und kontrollieren lässt, welche personenbezogenen Daten an Microsoft übertragen werden und was Microsoft mit diesen Daten macht. Der Landesdatenschutzbeauftragte von Baden-Württemberg ist auf dieser Grundlage im April 2022 noch einen Schritt weiter gegangen: Er hat die Schulen seines Bundeslands angewiesen, den Einsatz von Microsoft 365 zum Schuljahreswechsel 2022/23 einzustellen, wenn diese den datenschutzkonformen Einsatz nicht nachweisen können. Da dies praktisch unmöglich ist, kam die Anweisung einem Einsatzverbot gleich.
Nicht nur für Schulen und Behörden, auch für Unternehmen ist die datenschutzrechtlich prekäre Situation beim Einsatz von Microsoft 365 unbefriedigend, da dieser streng genommen gegen geltendes Recht verstößt. Konkrete Verstöße wurden allerdings bisher weder formuliert noch geahndet.
DSK-Arbeitsgruppe verhandelt mit Microsoft
Microsoft hat bisher nur wenig getan, um die Situation zu klären, sondern immer nur behauptet, DSGVO-konform zu agieren, ist den Beweis aber schuldig geblieben. Die Datenschutzbehörden haben 2020 im Rahmen der Datenschutzkonferenz die Arbeitsgruppe Microsoft Onlinedienste gebildet (AG DSK).
HINWEIS Datenschutzkonferenz (DSK) Die Datenschutzkonferenz (auch Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder) besteht aus dem Bundesdatenschutzbeauftragten, den Landesdatenschutzbeauftragten der 16 Bundesländer und dem Präsidenten des Bayerischen Landesamtes für Datenschutzaufsicht. Der Vorsitz wechselt in alphabetischer Reihenfolge der Bundesländer jährlich. 2023 ist die Landesbeauftragte für Datenschutz Schleswig-Holstein, Merit Hansen, DSK-Vorsitzende. Die DSK befasst sich mit aktuellen Fragen des Datenschutzes in Deutschland. Ihre Entschließungen und Festlegungen sind rechtlich nicht bindend, aber orientierungsgebend für die Entscheidungen der Datenschutzbehörden der Länder. |
Die AG DSK hat Gespräche mit Microsoft aufgenommen,
„um zeitnah datenschutzgerechte Nachbesserungen sowie Anpassungen an die durch die Schrems II-Entscheidung des EuGH aufgezeigten Maßstäbe an Drittstaatentransfers für die Anwendungspraxis öffentlicher und nicht öffentlicher Stellen zu erreichen.“
Einige der von der Arbeitsgruppe geforderten Nachbesserungen und Anpassungen sind inzwischen in die Standard-Auftragsverarbeitungsvereinbarung von Microsoft (Products and Services Data Protection Addendum, DPA) aufgenommen worden. In ihrer abschließenden Bewertung der Vereinbarung zur Auftragsverarbeitung kommt die AG DSK am 2. November 2022 allerdings wieder zu dem Ergebnis, dass Microsoft 365 nicht datenschutzkonform betrieben werden kann.
DSK stellt mangelnde Transparenz über Verarbeitung personenbezogener Daten fest
In ihrer Festlegung vom 24.11.2022 übernimmt die DSK die Bewertung der DSK-AG:
„Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann. Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.“
Landesdatenschutzbehörden erarbeiten Handreichung zum datenschutzkonformen Einsatz von Microsoft 365
Wie sich Microsoft 365 unter den gegebenen Umständen doch datenschutzkonform einsetzen lässt, ist nun einer Informationsschrift zu entnehmen, die der niedersächsische Datenschutzbeauftragte zusammen mit sechs weiteren Landesdatenschutzbehörden erarbeitet und veröffentlicht hat. Sie trägt den Titel Handreichung für die Verantwortlichen zum Abschluss einer Auftragsverarbeitungsvereinbarung gem. Art. 28 Abs. 3 DSGVO mit Microsoft für den Einsatz von „Microsoft 365“. Die Handreichung will Verantwortliche für den Datenschutz in Unternehmen und Behörden unterstützen, gegenüber Microsoft auf datenschutzgerechte vertragliche Änderungen hinzuwirken.
In der 21-seitigen Handreichung werden nach der Benennung bestimmter Problemfelder auch konkrete Einzelmaßnahmen beschrieben, mit denen sich der Einsatz von Microsoft 365 datenschutzkonform gestalten lässt. Ein wichtiger Bereich ist dabei unter anderem die Datenlöschung, die durch die Anpassung von Löschfristen, die Festlegung von Ausnahmen oder die genaue Angabe von Löschzeitpunkten datenschutzrechtlich einwandfrei erfolgen kann. Von allergrößter Bedeutung ist allerdings die Verarbeitung personenbezogener Daten und deren Nutzung von Microsoft für eigene Zwecke. Die Eigennutzung ist im Rahmen einer Auftragsdatenverarbeitung nicht zulässig und muss von Behörden und Unternehmen ausdrücklich ausgeschlossen werden.
Die Maßnahmen sollen durch Zusatzverträge mit Microsoft vereinbart und umgesetzt werden. Ob Microsoft tatsächlich bereit ist, Zusatzverträge mit individuellen Vereinbarungen abzuschließen, ist jedoch noch völlig offen.
Weiterführende Links:
Festlegung der DSK zu Microsoft 365 vom 24.11.2022 (PDF)
Abschlussbericht der DSK-Arbeitsgruppe „Microsoft-Onlinedienste“ vom 2. November 2022 (PDF)