Die Konferenz der deutschen Datenschutzbehörden (DSK) hat in ihrem Bericht vom 24. November 2022, den Sie hier abrufen können, erneut Bedenken zur Datenschutzkonformität von Microsoft 365 geäußert. Die Zeichen für Verantwortliche stehen daher weiter auf Vorsicht. Was Sie in dieser Situation beachten sollten, zeigt dieser Beitrag.
Was ist passiert?
Die DSK hat ein weiteres Mal die Vereinbarung zur Auftragsverarbeitung für die Nutzung von Microsoft 365 (Online Service Terms) geprüft und das Ergebnis veröffentlicht. Bereits im September 2020 hatte die DSK im Rahmen einer Stellungnahme auf die Datenschutzdefizite von Microsoft 365 hingewiesen. Microsoft reagierte mit Anpassungen der vertraglichen und technischen Dokumentation auf die Kritik der DSK und veröffentlichte u.a. einen „Datenschutznachtrag zu den Produkten und Services von Microsoft“. Die von Microsoft getätigten Anpassungen hat die DSK nun ihrer erneuten Überprüfung zugrunde gelegt.
Ergebnis der erneuten Überprüfung
Dabei kam die DSK zu dem Ergebnis, dass Verantwortliche, die Dienste von Microsoft 365 nutzen wollen, den erforderlichen Nachweis einer datenschutzkonformen Nutzung auf Basis der Vereinbarung zur Auftragsverarbeitung nicht führen könnten.
So sei zum einem unklar, in welchen Fällen Microsoft als Verantwortlicher und in welchen Fällen Microsoft als Auftragsverarbeiter i. S. d. DSGVO auftrete. Soweit Microsoft als Verantwortlicher auftrete, blieben Fragen hinsichtlich der Zwecke der Verarbeitung offen. Microsoft ließe ebenfalls unbeantwortet, welche personenbezogenen Daten und auf welcher Grundlage diese verarbeitet werden würden. Soweit Microsoft als Auftragsverarbeiter auftrete, seien überdies die Anforderungen an die vertragliche Gestaltung aus Art. 28 DSGVO nicht erfüllt. So seien insbesondere die technisch-organisatorischen Maßnahmen, die Weisungsgebundenheit von Microsoft, die Rückgabe- und Löschverpflichtung von Microsoft, die Informationen zu Unterauftragsverarbeitern und die Pflicht zur Offenlegung von Datenzugriffen durch die US-Behörden als ungenügend zu bewerten. In jedem Fall sei jedoch die Übermittlung von personenbezogenen Daten in Drittstaaten, insbesondere der USA, kritisch zu betrachten.
Das sagt Microsoft
Microsoft hat eine eigene Stellungnahme zur datenschutzrechtlichen Bewertung von Microsoft 365 durch die DSK veröffentlicht. Darin widerspricht Microsoft der Bewertung der DSK. So würden die „Bedenken der DSK ernst“ genommen werden, man hielte jedoch viele der „datenschutzrechtlichen Einschätzungen sowie Schlussfolgerungen der DSK für grundlegend falsch“. Die Auslegung einiger Datenschutzbehörden in Deutschland sei übermäßig risikoscheu und lähme dadurch nicht nur Verantwortliche, sondern auch das Vorantreiben der Digitalisierung. Die ausführliche Stellungnahme Microsofts finden Sie hier.
Was Sie nun beachten sollten
Wenn Sie Microsoft 365 nutzen oder einführen spricht nach der Einschätzung der DSK alles dafür, dass sie damit gegen Datenschutzrecht verstoßen. Damit besteht grundsätzlich die Möglichkeit, dass Ihre Aufsichtsbehörde die Nutzung von Microsoft 365 beanstandet, untersagt und/oder mit einem Bußgeld sanktioniert. Bislang sind jedoch noch keine konkreten Maßnahmen der Aufsichtsbehörden angekündigt worden. Es bietet sich daher an, zunächst Ruhe zu bewahren und nicht direkt in Panik zu verfallen.
Denn der Prozess zur datenschutzrechtlichen Verbesserung von Microsoft 365 dürfte noch nicht abgeschlossen sein. Wie bereits dargelegt, hat Microsoft schon nach der Stellungnahme der DSK im September 2020 umfangreiche Anpassungen vorgenommen. Auch in der neuen Stellungnahme hat Microsoft angekündigt, weitere Verbesserungen zu prüfen.
Darüber hinaus will Microsoft mit der Einführung der sog. „EU-Datengrenze“ ab Ende 2022 die Datenverarbeitung für europäische Cloud-Kunden weitgehend auf die EU beschränken. Eine erhebliche Verbesserung der Situation ist außerdem mit der für die erste Jahreshälfte 2023 zu erwartende Angemessenheitsentscheidung der EU-Kommission für Datentransfers in die USA auf Basis des neuen „EU-U.S. Data Privacy Framework“ zu erwarten. Diese Punkte wurden von der DSK in ihrer Bewertung der Datenschutzkonformität von Microsoft 365 ausdrücklich noch nicht berücksichtigt.
Sofern Sie bereits Microsoft 365 nutzen, gibt es also gute Gründe, den Einsatz nicht direkt überhastet einzustellen, sondern zunächst die weiteren beschriebenen Entwicklungen abzuwarten. Um zu dokumentieren, dass die Kritikpunkte der DSK verstanden wurden und auf die Abstellung hingewirkt wird, haben Sie nur eine Chance: Microsoft anschreiben und auffordern, die Kritikpunkte umzusetzen. Ob Microsoft darauf reagieren wird, steht natürlich auf einem anderen Blatt. Für Projekte zur Einführung von Microsoft 365 sollte die weitere Entwicklung auf Seiten der Aufsichtsbehörden und bei Microsoft natürlich genau beobachtet werden, um diese in der Planung und Umsetzung zu berücksichtigen.