Datenschutz und Datensicherheit – Microsoft 365 – Ist die aktuelle cloudbasierte Office Lösung von Microsoft datenschutzkonform einsetzbar?

Eine Vielzahl von Unternehmen und auch der öffentliche Sektor setzen die aktuelle Office Lösung „Microsoft 365“ – ehemals „Office 365“ des US-Softwareanbieters Microsoft bereits ein oder planen eine Migration auf dieses cloudbasierte Produkt. Für die Migration auf Microsoft 365 sprechen neben dem absehbaren Auslaufen der Vorgängerversion handfeste Vorteile bei der Administrierung von Datenschutz und Datensicherheit. So bietet Microsoft 365 insbesondere technische Lösungen, um den nach der DSGVO bestehenden Löschpflichten zu genügen.

Am 24. November 2022 veröffentlichte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) ihre Einschätzung zum Einsatz von Microsoft 365 (im Folgenden: „M365“). Danach habe Microsoft nicht nachgewiesen, dass sein Produkt datenschutzkonform sei und daher insbesondere in Behörden bedenkenlos eingesetzt werden könne.

Dies hat großes Medieninteresse erfahren. Die Kommentare schwanken dabei zwischen Aussagen wie „Die Aufsichtsbehörden haben schwere datenschutzrechtliche Bedenken gegen Microsoft 365, die der Konzern nicht ausräumen kann“ und „Microsoft 365 – so sollte Datenschutzaufsicht nicht sein“.

Für viele Institutionen des öffentlichen Sektors stellt sich weiterhin die Frage, ob und unter welchen Bedingungen ein Einsatz von M365 für sie rechtlich zulässig ist.


 M365 – Die Stellungnahme der DSK

Formal handelt es sich bei der Festlegung der DSK vom 24.November 2022 nicht um eine verbindliche Entscheidung oder gar Regelung, sondern lediglich eine Abstimmung der Datenschutzaufsichtsbehörden des Bundes und der Länder wegen der rechtlichen Bewertung von M365. Gegenüber Dritten entfaltet diese Festlegung zunächst keinerlei Bindungswirkungen. Jede behördliche Anordnung, die nach Maßgabe der Festlegung gegenüber einem Dritten getroffen würde, ist außerdem der gerichtlichen Überprüfung zugänglich.

Im Übrigen gibt es auf europäischer Ebene – trotz eines einheitlichen Datenschutzrechts – unterschiedliche Auffassungen bei der Beurteilung von M365 und unterschiedliche Ansätze zum DSGVO-konformen Einsatz. Ob und wie M365 datenschutzkonform einsetzbar ist, müsste letztlich der EuGH klären.

Die Festlegung der DSK zu M365 beanstandet im Wesentlichen zweierlei:

  • fehlende Transparenz der Verarbeitung wegen unzureichender, von Microsoft bereitgestellter Dokumentationen sowie
  • fehlende Rechtfertigung der Verarbeitung von Daten zu eigenen Zwecken.

Dabei setzt die DSK bei der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO an. Microsoft lege nicht detailliert genug offen, welche Verarbeitungen im Einzelnen stattfinden, sondern beschreibe die Verarbeitung in generalisierender Form. Dies genüge aber nicht, damit der Betroffene erkenne, wie seine Daten verarbeitet würden.


Reaktion von Microsoft auf die Stellungnahme der DSK

Microsoft hat inzwischen durch ein Maßnahmenbündel reagiert. Zwar ist man weiterhin der Auffassung, dass ein so komplexes Produkt wie M365 sich grundsätzlich nur in generalisierender Form beschreiben lasse, die die wesentlichen Punkte der Verarbeitung darlege. Es könne und müsse nicht jedes Detail der technischen Umsetzung beschrieben sein. Denn wie sollen die geforderten detaillierten Dokumentationen auf vertraglicher Ebene laufend mit einer Vielzahl von Produkten und tausenden Updates stets aktuell gehalten werden? Die DSGVO fordere dies nicht.

Gleichwohl hat Microsoft jedoch die Kritik der DSK aufgenommen und seit dem November 2022 umfangreiche Maßnahmen ergriffen.

  • In diesem Jahr wird Microsoft die sogenannte „EU Data Boundary“, d. h. eine weitgehende Trennung der Microsoft In-frastruktur in Europa von derjenigen in den USA und in anderen Drittländern, weitgehend umsetzen. Die EU Data Boundary wird sich in drei Phasen vollziehen und soll insbesondere die Bedenken wegen der Zugriffsmöglichkeiten der US-Behörden adressieren. Mit Vollzug der Phase 1 hat Microsoft bereits einen Großteil der Produkte in die EU Data Boundary verschoben. Eine Übersicht bietet Microsoft in den Privacy and Security Terms. Nur noch einzelne Verarbeitungen, wie die von Diagnose-/Telemetriedaten, erfolgen nicht ausschließlich innerhalb der EU Data Boundary. Für die Telemetriedaten soll diese Umstellung mit der Phase 2, d. h. bis zur Jahresmitte, erfolgen.
  • Im Zuge der Einführung der EU Data Boundary, aber auch als Reaktion auf die Kritik der DSK, hat Microsoft zum 1. Januar 2023 ein geändertes Data Processing Agreement (DPA) bereitgestellt, welches die Verarbeitungen erläutert. In der neuen Fassung des DPA verpflichtet sich Microsoft jetzt explizit, die Kunden bei der Erfüllung ihrer datenschutzrechtlichen Pflichten namentlich zur Rechenschaft gegenüber den Betroffenen zu unterstützen und dabei insbesondere alle hierfür notwendigen Informationen zur Verfügung zu stellen. Auch greift Microsoft die Anregung der DSK auf, sich am Anhang II der Standardvertragsklauseln zu orientieren.
  • An der oben beschriebenen Verwendung von Daten zu „eigenen“ Zwecken, die die DSK beanstandete, hat Microsoft allerdings keine Änderung vorgenommen.
  • Schließlich hat Microsoft Anpassungen in Bezug auf den Einsatz von Unterauftragnehmern vorgenommen und eine Regelung zum Telekommunikationsgeheimnis aufgenommen.

Mit den genannten Änderungen des DPA und die Einführung der EU Data Boundary zeigt Microsoft, dass es die Anforderungen der DSGVO ernst nimmt.


M365 – Klarheit durch das EU-US Data Privacy Framework?

Eine Erleichterung der Übertragung von Daten aus der EU in die USA könnte das EU-US Data Privacy Framework bringen. Mit dem Ziel, durch einen Angemessenheitsbeschluss den USA ein der EU entsprechendes Datenschutzniveau zu attestieren, verhandelt die Europäische Kommission mit den US-Behörden über ein neues Regelwerk für den Datenaustausch. Die Europäische Kommission hat einen Entwurf für den Beschluss vorgelegt und in die Abstimmung mit den einzubindenden Gremien gegeben. Eine Verabschiedung noch im ersten Halbjahr 2023 wird angestrebt.

Die von der DSK angesprochenen Fragen der Rechenschaftspflicht oder die „eigenen Zwecke“ von Microsoft bestehen aber im Prinzip unabhängig davon weiter.


Konsequenzen für die Nutzung von     M365 im öffentlichen Sektor

Die DSK-Festlegung verbietet den Einsatz von M365 nicht. Es handelt sich – wie dargelegt – um eine abgestimmte Rechtsauffassung der deutschen Datenschutzaufsichtsbehörden ohne verbindliche Wirkung gegenüber Dritten.

Selbst wenn das aktualisierte DPA allein die Anforderungen an die Rechenschaftspflicht noch nicht erfüllt, können die Verwender von M365 durch ergänzende Dokumentation der Verarbeitungsprozesse anhand der zusätzlichen Informationen von Microsoft und mittels eigener Prozessbeschreibungen die notwendige Transparenz erreichen.

Weiterhin verarbeitet Microsoft in M365 jedoch Daten der Programmnutzer für eigene Zwecke. Die DSK kritisiert hier, dass Microsoft Daten des Auftraggebers verarbeitet, ohne dass dies Gegenstand der eigentlichen Leistungserbringung ist. Diese Verarbeitungen für eigene Zwecke betreffen z. B. Leistungsabrechnung, Finanzreporting, Ermittlung von Provisionen an Mitarbeiter und Partner sowie die Überwachung der Systeme zur Prävention von Cyberangriffen.

Diese Verarbeitungen sind – zunächst einmal losgelöst von ihrer rechtlichen Einordnung unter der DSGVO – typische und nachvollziehbare, wenn nicht sogar zwingende Tätigkeiten eines wirtschaftlich tätigen Unternehmens oder dienen gerade dem Schutz auch der Betroffenen.

Die Position der DSK, M365 könne wegen der von Microsoft verfolgten „eigenen Zwecke“ in der öffentlichen Verwaltung von vornherein nicht eingesetzt werden, steht jedoch im Widerspruch zu den Einschätzungen anderer europäischer Aufsichtsbehörden, die diese Verarbeitungen billigen.

Bedauerlicherweise hat sich die DSK – auch mangels technischer Prüfung - nicht näher damit beschäftigt, in welchem Maße hier eine Datennutzung durch Microsoft tatsächlich erfolgt. Microsoft gibt im DPA an, hier das Gebot der Datensparsamkeit einzuhalten und insbesondere keine Profilbildung, Nutzung für Werbezwecke oder andere Zwecke vorzunehmen.

Die Auffassung der DSK erscheint deshalb höchst fragwürdig. Warum soll für die inzwischen von Microsoft relativ eng eingegrenzten Zwecke das berechtigte Interesse nach Art. 6 Abs. 1 Satz lit. f DSGVO keine Grundlage bieten? Es ist insbesondere unklar, ob in einem solchen Auftragsverhältnis das berechtigte Interesse des Auftraggebers oder das des Auftragnehmers maßgeblich ist und inwieweit hier z. B. die von der CNIL offenbar angewendete Kompatibilitätsprüfung nach Art. 6 Abs. 4 DSGVO zur Rechtfertigung genutzt werden kann.

Leider bestehen hier bis zu der gebotenen gerichtlichen Klärung Unsicherheiten für die Programmnutzer.

Dieses Restrisiko kann durch eine Prüfung, welche Daten von der Nutzung betroffen sind und ob hierin Risiken für Betroffene bestehen, abgemildert werden. Eine solche Prüfung erfolgt insbesondere im Zuge einer Datenschutzfolgeabschätzung und durch Aufnahme der inzwischen detaillierten Dokumentation von Microsoft. Daneben sind technische und organisatorische Maßnahmen zu treffen, um die Risiken auch tatsächlich abzumildern bzw. auszuschließen. 


M365 Handlungsempfehlungen für den öffentlichen Sektor

Der Einsatz von M365 ist trotz der Festlegungen der DSK rechtskonform möglich. Weil die Bedrohungen durch Cyberangriffe stetig wachsen und die Verantwortlichen diesen Bedrohungen Rechnung tragen, kann die Migration auf M365 sogar geboten sein. Die bisher lokal administrierten Systeme sind immer schwieriger zu sichern und lokal installierte Software nähert sich dem Ende ihres Updatezeitraums.

Der Einsatz von M365 verlangt deshalb eine Risikoabwägung und -bewertung. Mittels einer Datenschutzfolgeabschätzung sind die Risiken der konkret geplanten Verarbeitungen zu erfassen und geeignete Schutzmaßnahmen zu treffen.

In die Risikobetrachtung sollte neben Erwägungen des Datenschutzes insbesondere auch der Aspekt der IT-Risiken einfließen. Wie die sich stark häufenden Beispiele von Totalausfällen staatlicher IT-Infrastrukturen - wie etwa der Stadt Potsdam – zeigen, wird der Betrieb in Eigenregie immer gefährlicher.

Etwa noch bestehende Datenübertragungen in die USA bei Einsatz von M365 sind über eine Transferfolgenabschätzung zusätzlich zu beurteilen.

Die BDO Gruppe bietet hierzu ein ganzheitliches und abgestimmtes Beratungsangebot: Bei der Erstellung der notwendigen Dokumentationen unterstützt und berät BDO Legal, während BDO Digital den technischen Support für die Wahl von sicheren und datensparsamen Einstellungen in M365 leistet.

Abonnieren Sie die neuesten Nachrichten von BDO!

Please fill out the following form to access the download.