Oktober 2020 Blog

Microsoft 365: Auf­sichts­behör­den äußern wei­tere Be­denken – und streiten!

Microsoft steht seit langem in der Kritik, in einem nicht überschaubaren Ausmaß personenbezogene Daten von Microsoft 365 Nutzern auf Servern in den USA zu verarbeiten.

Die deutschen Aufsichtsbehörden haben ihre Kritik erneuert, sind sich aber uneins. Dies wirft Fragen auf.

Hintergrund

Microsoft 365 (ein Cloud-basiertes multifunktionales Standardsoftware-Produkt, das u.a. das bekannte Office-Paket umfasst) wird flächendeckend sowohl im privaten als auch im öffentlichen Bereich eingesetzt. Microsoft ist dabei im datenschutzrechtlichen Sinne Auftragsverarbeiter der privaten und öffentlichen Kunden.

Bereits im November 2018 kam eine im Auftrag des Niederländischen Justizministeriums durchgeführte sogenannte Datenschutz-Folgenabschätzung (DSFA) zu dem ernüchternden Ergebnis, dass Microsoft deutlich über das notwendige Maß hinaus und somit in unzulässiger Weise Nutzerdaten auswertet und verarbeitet.

In der Folgezeit setzten sich die Aufsichtsbehörden mehrerer Bundesländer mit Microsoft Produkten und Diensten wie Microsoft 365 auseinandersetzten und sprachen sich gegen deren Nutzung zumindest im öffentlichen Bereich (insbesondere an Schulen) aus.

Nach der Entscheidung des EuGH über die Unwirksamkeit des EU-US-Privacy Shields (Schrems II), über die wir bereits in unserem August-Newsletter im Zusammenhang mit Google Analytics berichtet haben, hat sich diese Kritik verschärft.

Bewertung der Datenschutzkonferenz des Bundes und der Länder (DSK)

Zwangsläufig nahm sich auch die DSK des Themas Microsoft 365 an. Im Zusammenhang mit einem Beschluss vom 22. September 2020 „Digitale Souveränität der öffentlichen Verwaltung herstellen – Personenbezogene Daten besser schützen“, hat die DSK auch eine vorläufige Bewertung von Microsoft Office 365 vorgenommen und ein entsprechendes Positionspapier des Arbeitskreises Verwaltung mehrheitlich zustimmend zur Kenntnis genommen.

Dieses kommt zu dem Ergebnis, dass auf Basis der Auftragsverarbeitungsunterlagen von Microsoft (Stand Januar 2020) kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich sei. Die DSK hat daher beschlossen, eine Arbeitsgruppe einzurichten, die auf Grundlage dieser Bewertungen Gespräche mit Microsoft aufnehmen soll, um zeitnah datenschutzgerechte Nachbesserungen zu erreichen. Über die Notwendigkeit solcher Nachbesserungen bestehe in der DSK Einigkeit.

Im Einzelnen wurde bemängelt, dass aus den Auftragsverarbeitungsunterlagen von Microsoft weder die Art der nutzerbezogenen Daten noch die Art und Weise der Verarbeitung ebendieser ausreichend transparent hervorgehe. Zudem fehlten konkrete Regelungen zur Speicherdauer. Im Übrigen sei die (spätere) Weitergabe von Nutzerdaten an Unterauftragnehmer nur unzureichend geregelt.

Abweichende Ansicht von vier Aufsichtsbehörden und Gründung einer Taskforce

Die Aufsichtsbehörden Baden-Württembergs, Bayerns, Hessens und des Saarlands begrüßen zwar im Grundsatz die Zielsetzungen des Arbeitskreises, erachten die Gesamtbewertung aber als zu undifferenziert.

Zudem seien die Auswirkungen der Schrems II-Entscheidung des EuGH noch in den Blick zu nehmen. Die DSK hat deshalb beschlossen, eine Taskforce zu dieser EuGH-Entscheidung zu gründen, die eine bundesweite Abstimmung der Vorgehensweise sicherstellen und eine Strategie für die einheitliche Durchsetzung erarbeiten soll.

Darüber hinaus hat die DSK einstimmig entschieden, dass eine Arbeitsgruppe zeitnah Gespräche mit Microsoft aufnehmen soll.

Praktische Folgen

Hervorzuheben ist, dass sich die Bewertung der Aufsichtsbehörden auf die Nutzung von Microsoft 365 im öffentlichen Bereich (Verwaltung auf jeder Bundes- und Landesebene) bezieht. In der Verwaltung ist ein Einkauf von Microsoft 365 deshalb nach derzeitigem Stand besonders kritisch zu beurteilen, auch im Hinblick darauf, dass Microsoft seine Auftragsverarbeitungsregelungen zwischenzeitlich angepasst hat.

Im Hinblick auf die Privatwirtschaft wird deutlich, dass Microsoft 365 im Prüfungsfokus der Aufsichtsbehörden steht. Dies gilt insbesondere vor dem Hintergrund, dass der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) mit seinem Informationsschreiben vom 8. Oktober 2020 angekündigt hat, den Schwerpunkt seiner weiteren Vorgehensweise gezielt auf den internationalen Datentransfer zu setzen.

Unternehmen sollten Drittlandsdatentransfers, gerade im Kontext Microsoft 365, besonders im Auge behalten.

Dr. Michael Herold, M.C.L., Rechtsanwalt
Frankfurt a. M.

Anmeldung zum GvW Newsletter

Melden Sie sich hier zu unserem GvW Newsletter an - und wir halten Sie über die aktuellen Rechtsentwicklungen informiert!