Status nach DSK-Beschluss, Einführung der Data Boundary und neuem DPA
Der Einsatz von Cloud-Diensten wie Microsoft 365 wirft noch immer viele Fragen auf. In den vergangenen Wochen gab es viele Veränderungen sowohl auf Seiten der Beurteilung durch die Aufsichtsbehörden als auch durch vertragliche Änderungen durch Microsoft. Und ein Gleichwertigkeitsbeschluss der EU-Kommission steht im Raum.
Am 24. November 2022 veröffentlichte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) ihre „Festlegung“ zum Einsatz von Microsoft 365.
Die DSK kommt darin zum Ergebnis, Microsoft könne den Nachweis dafür, dass Microsoft 365 datenschutzrechtskonform betrieben wird, anhand der vertraglichen Vereinbarung, dem „Datenschutznachtrag zu den Produkten und Services von Microsoft vom 15. September 2022“, („DPA“) nicht führen.
Die Festlegung verweist auf den 58-seitigen Abschlussbericht der AG DSK „Microsoft-Onlinedienste“ vom 2. November 2022.
Die Botschaft, Microsoft 365 sei nicht datenschutzkonform, hat großes Medieninteresse erfahren. Die Kommentare schwanken dabei zwischen Aussagen wie „Die Aufsichtsbehörden haben schwere datenschutzrechtliche Bedenken gegen Microsoft 365, die der Konzern nicht ausräumen kann“ und „Microsoft 365 – so sollte Datenschutzaufsicht nicht sein“.
Die „Festlegung“ vermittelt den Anschein einer behördlichen Entscheidung. Tatsächlich trifft dies nicht zu. Denn für ein rechtlich bindendes Tätigwerden der DSK gibt es keine gesetzliche Grundlage. Die DSK ist vielmehr ein reines Arbeitsgremium zum Austausch von Positionen. Das Papier ist also eine abgestimmte Rechtsmeinung der Aufsichtsbehörden. D.h. eine rechtliche Durchsetzung muss durch die jeweiligen Aufsichtsbehörden erfolgen. Jede Entscheidung der Aufsichtsbehörden ist der gerichtlichen Überprüfung zugänglich. Die Gerichte sind dabei an die Festlegungen der DSK nicht gebunden. Letztlich sind die maßgeblichen Fragen durch den Europäischen Gerichtshof zu entscheiden.
Interessant an der Vorgehensweise der DSK ist, dass hier ausdrücklich nur eine auf ein Vertragsdokument eingeschränkte Prüfung stattfand und die betroffenen Produkte technisch/funktional nicht bewertet wurden.
Die Kritik der DSK setzt bei der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO an. Microsoft lege nicht vollumfänglich offen, welche Verarbeitungen im Einzelnen stattfinden und ob diese im Auftrag des Kunden oder zu eigenen Zwecken erfolgten. Das DPA sei nicht präzise und erlaube Microsoft nicht bewertbare, umfangreiche Verarbeitungen auch zu eigenen Zwecken.
Die DSK beanstandet am Microsoft DPA namentlich dessen Anhang B, einen „im Zweifel alle und alles“-Ansatz, der generell mögliche Verarbeitungen im Auftrag des Kunden beschreibt.
Stattdessen sei eine „spezifische und detaillierte“ Beschreibung von Verarbeitungstätigkeiten notwendig. Diese müsse die Kunden in die Lage versetzen, deren datenschutzrechtliche Transparenzpflichten zu erfüllen.
In der Folge gibt die DSK verschiedene Ratschläge wie dies geschehen könne, etwa auf der Basis des Anhangs II der EU-Standardvertragsklauseln oder der Checkliste der Aufsichtsbehörden. Die DSK verlangt hier einen Prozess, der die Einzelheiten und den konkreten Inhalt für beiden Seiten einseh- und nutzbar macht, sowie formgerecht zum Vertragsgegenstand erhebt.
Diese Ausführungen im Bericht werfen allerdings die Frage auf, ob hier die DSK eine (unverbindliche) Empfehlung abgibt oder ob dies tatsächlich eine aus Sicht der Aufsichtsbehörden formulierte (echte) gesetzliche Anforderung ist. Im letztgenannten Fall würden für die Verwender von Microsoft 365 nach Art. 83 Abs. 5 lit a. DSGVO Strafen unter dem höchsten Bußgeldrahmen der DSGVO drohen.
Microsoft hat auf die Veröffentlichung der Festlegung geantwortet und dabei den Punkt der Rechenschaftspflicht aufgegriffen. Microsoft kritisiert dabei die Anforderungen der DSK als überzogen. Der für die Rechenschaftspflicht maßgebliche Detailgrad solle die wesentlichen Punkte erkennen lassen. Es müsse aber nicht jedes Detail der technischen Umsetzung beschrieben sein. Die Anforderungen der DSK seien praxisfern und technologiefeindlich. Daneben verweist Microsoft auf die umfangreiche technische Dokumentation, die den Verwendern von Microsoft 365 für die einzelnen Produkte bereitgestellt wird. Diese Dokumentation habe die DSK aber nicht in die Betrachtung einbezogen.
Die Auffassung von Microsoft ist aus der Sicht eines weltweit agierenden Herstellers einer komplexen Infrastruktur durchaus nachvollziehbar. Denn wie sollen die geforderten detaillierten Dokumentationen auf vertraglicher Ebene laufend mit einer Vielzahl von Produkten und tausenden Updates stets aktuell gehalten werden? Verlangt Art. 5 Abs. 2 DSGVO wirklich diese Vorgehensweise?
Die beiden Positionen sind schwer vereinbar. Denn tatsächlich ist der Umfang der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO so lange schwer greifbar, bis dieser durch gerichtliche Entscheidungen oder zumindest durch eine einheitliche europäische Sicht der Aufsichtsbehörden konkretisiert ist. Diese Chance hat die DSK nicht genutzt, denn die Klärung durch den Europäische Datenschutzausschuss (EDSA) für diese praktisch hoch relevante Frage unterblieb.
Dennoch ist eines klar: Die Rechenschaftspflicht kann von den Verwendern von Microsoft 365 selbst erfüllt werden. Dies ist zwar mit Aufwand verbunden, unter Zuhilfenahme der Dokumentation von Microsoft aber durchaus möglich.
Als zweiten Punkt beanstandet die DSK, dass Microsoft bestimmte Verarbeitungen „zu eigenen Zwecken“ auf das berechtigte Interesse nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO stütze. Dies mache den Einsatz für Behörden unmöglich, da diese Rechtsgrundlage nach Art. 6 Abs. 1 Satz 2 DSGVO für diese ausgeschlossen sei.
Die Kritik der DSK entzündet sich dabei an Verarbeitungen, die Microsoft unter Verwendung der Daten des Auftraggebers durchführt, ohne dass dieser Gegenstand der Leistungserbringung sind. Dabei handelt es sich um sehr unterschiedliche (Weiter-)Verarbeitungen wie etwa die Verwendung von Daten für Abrechnungszwecke, Sicherheitsmaßnahmen, Finanzreportings oder die Zahlung von Provisionen an Mitarbeiter und Partner.
Diese Verarbeitungen sind – zunächst einmal losgelöst von ihrer rechtlichen Einordnung unter der DSGVO – typische und nachvollziehbare, wenn nicht sogar zwingende Tätigkeiten eines wirtschaftlich tätigen Unternehmens (z.B. Controlling, Abrechnung oder Finanzberichterstattung) bzw. dienen dem Schutz auch der Nutzer (z.B. durch Angriffserkennung).
Bemerkenswert ist dabei, dass – wie die DSK selbst hervorhebt - die genannten Zwecke von Microsoft nach Abstimmung mit der niederländischen Regierung in das Vertragswerk aufgenommen wurden. Weil dieser Abstimmungsprozess aber intransparent gewesen sei und im Widerspruch zu den Prüfungsmaßstäben der DSK und auch des Europäischen Datenschutzbeauftragten (EDPS) stünde, sei er abzulehnen. Auch den Ansatz der französischen Aufsichtsbehörde CNIL - die Durchführung einer Kompatibilitätsprüfung - verwirft die DSK. Offenbar besteht hier zwischen den Aufsichtsbehörden ein erheblicher Dissens.
Bedauerlicherweise hat sich die DSK – auch mangels technischer Prüfung - nicht näher damit beschäftigt, in welchem Maße hier eine Datennutzung durch Microsoft tatsächlich erfolgt. Microsoft gibt im DPA an, hier das Gebot der Datensparsamkeit einzuhalten und insbesondere keine Profilbildung, Nutzung für Werbezwecke oder andere Zwecke vorzunehmen.
Die Auffassung der DSK erscheint jedenfalls fragwürdig. Warum soll für die inzwischen von Microsoft relativ eng eingegrenzten Zwecke das berechtigte Interesse nach Art. 6 Abs. 1 Satz lit. f DSGVO keine Grundlage bieten? Es ist insbesondere unklar, ob in einem solchen Auftragsverhältnis das berechtigte Interesse des Auftraggebers oder das des Auftragnehmers maßgeblich ist und inwieweit hier z.B. die von der CNIL offenbar angewendete Kompatibilitätsprüfung nach Art. 6 Abs. 4 DSGVO zur Rechtfertigung genutzt werden kann. Dies bedürfte einer grundlegenden und europaweiten Klärung.
In dieser Richtung gibt einen Lichtschein am Horizont. Denn der Europäische Datenschutzausschuss (EDSA) hat am 18. Januar 2023 eine „koordinierte Durchsetzungsmaßnahme zur Nutzung von Cloud-basierten Diensten durch den öffentlichen Sektor“ veröffentlicht. Die ESDA will mit ihren „koordinierten Durchsetzungsmaßnahmen“ die Durchsetzung der Aufsichtsbehörden „streamlinen“. Sie hat zu diesem Zwecke eine Analyse der Entscheidungen der Aufsichtsbehörden der Mitgliedstaaten vorgenommen, darunter auch die Festlegung der DSK. Es zeigt sich dabei, dass die Ansicht der DSK tatsächlich nur eine der vielen Auffassungen der Aufsichtsbehörden in Bezug auf Cloud-basierte Lösungen ist. Das Dokument gibt den öffentlichen Auftraggebern eine Reihe von Empfehlungen bei der Auswahl, Vertragsgestaltung und Dokumentation. Eine grundsätzliche Missbilligung der Nutzung von Microsoft 365 erfolgt durch die EDSA nicht. Microsoft wird weder genannt noch die werden die Anforderungen der DSK im Einzelnen wiederholt. Auch dies verdeutlicht, dass die DSK eine Auffassung innerhalb der Gruppe der Aufsichtsbehörden vertritt.
Die DSK-Festlegung verbietet den Einsatz von Microsoft 365 nicht. Dies könnte sie auch nicht, weil es sich um eine Positionierung und nicht um einen bindenden Rechtsakt handelt.
Selbst wenn das Microsoft DPA – wie die DSK meint - die Anforderungen an die Rechenschaftspflicht nicht erfüllt, können die Verwender von Microsoft 365 durch weitere Dokumentation der Verarbeitungsprozesse anhand der Informationen von Microsoft und mittels eigener Prozessbeschreibungen die notwendige Transparenz erreichen.
Die Position der DSK, Microsoft 365 könne wegen der von Microsoft verfolgten „eigenen Zwecke“ nicht in der öffentlichen Verwaltung eingesetzt werden, ist eine Rechtsauffassung, der die Einschätzungen anderer europäischen Aufsichtsbehörden ausdrücklich entgegenstehen. Bis zu der gebotenen europaweiten rechtlichen Klärung bestehen hier Unsicherheiten und damit ein Dilemma für die Verwender.
Dieses Dilemma kann durch eine Prüfung, welche Daten von der Nutzung betroffen sind und ob hierin Risiken für Betroffene bestehen, abgemildert werden. Dies geschieht insbesondere durch die Durchführung einer Datenschutzfolgeabschätzung und durch Aufnahme der inzwischen detaillierten Dokumentation von Microsoft. Daneben sind technische und organisatorische Maßnahmen zu treffen, um die Risiken auch tatsächlich abzumildern bzw. auszuschließen.
Bereits im Mai 2021 kündigte Microsoft die „EU Data Boundary“ an. Gemeint ist eine weitgehende Trennung der Microsoft Infrastruktur in Europa von derjenigen in den USA, die sich in drei Phasen vollziehen soll. Damit sollen insbesondere die Bedenken wegen der Zugriffsmöglichkeiten der US-Behörden adressiert werden. Nach eigenen Angaben hat Microsoft inzwischen 12 Milliarden USD in die Umstellung der Infrastruktur im Zuge der EU Data Boundary investiert.
Im Zuge der Einführung der EU Data Boundary, aber auch als Reaktion auf die die oben skizzierte Kritik der DSK hat Microsoft zum 1. Januar 2023 ein geändertes DPA bereitgestellt.
Die Einführung der EU Data Boundary wurde insbesondere deswegen erwartet, weil die niederländische Regierung diese in ihrer Datenschutzfolgenabschätzung bereits ausdrücklich in die Bewertung der Risiken einbezogen und deren zeitnahe Umsetzung vorausgesetzt hatte.
Mit der Phase 1 der Einführung hat Microsoft bereits einen Großteil der Produkte hinter die EU Data Boundary verschoben. Eine Übersicht bietet Microsoft in den Privacy and Security Terms. Einzelne Verarbeitungen wie die von Diagnose-/Telemetriedaten, erfolgen weiterhin noch nicht ausschließlich innerhalb der EU Data Boundary. Für die Telemetriedaten soll diese Umstellung mit der Phase 2, d.h. bis zur Jahresmitte, erfolgen.
Damit bleibt die Verarbeitung von Sozialdaten aufgrund der Einschränkung für Drittstaaten in § 80 Abs. 2 SGB X weiterhin problematisch. Hier ist eine dedizierte Untersuchung der betroffenen Daten vor deren Übermittlung in die USA durchzuführen, denn diese Daten können pseudonymisierte und damit personenbezogene Daten enthalten, die als Sozialdaten nicht in „unsichere“ Drittstaaten übermittelt werden dürfen.
In der neuen Fassung des DPA verpflichtet sich Microsoft jetzt explizit, die Kunden bei der Erfüllung der Rechenschaftspflichten zu unterstützen und dabei insbesondere alle Informationen zur Verfügung zu stellen, die zum Nachweis erforderlich sind. Hier greift Microsoft offenbar die Kritik der DSK in Bezug auf die Rechenschaftspflicht auf. Auch die Anregung, sich am Anhang II der Standardvertragsklauseln zu orientieren, ist jetzt im DPA abgebildet. An der oben beschriebenen Verwendung von Daten zu „eigenen“ Zwecken, die die DSK beanstandete, hat Microsoft allerdings keine Änderung vorgenommen. Schließlich hat Microsoft Anpassungen in Bezug auf den Einsatz von Unterauftragnehmern vorgenommen und eine Regelung zum Telekommunikationsgeheimnis aufgenommen.
Mit den genannten Änderungen des DPA und die Einführung der EU Data Boundary zeigt Microsoft, dass es die Anforderungen der DSGVO ernst nimmt. Den betroffenen Unternehmen und Institutionen ist zu raten, stets die neueste Version des DPA zu vereinbaren und die neuen datenschutzfreundlichen technischen Einstellungsmöglichkeiten zu nutzen und dies in den maßgeblichen Dokumentationen wie etwa Datenschutz- und Transferfolgeabschätzungen niederzulegen.
Eine weitere Frage wird sich aber auch dann weiter stellen, wenn Microsoft die Data Boundary einmal vollständig umgesetzt hat. Denn das US-Recht verpflichtet über den „Cloud Act“ die in den USA ansässigen Unternehmen dazu, den US-Behörden Zugriff auf Daten, die bei ausländischen Konzerngesellschaften liegen, zu gewähren. Damit besteht für transatlantisch tätige Konzerne ein Konflikt zwischen dem US-Überwachungsrecht und dem europäischen Datenschutzrecht. Die wesentliche Frage hierbei ist, ob die (abstrakte) Zugriffsmöglichkeit der US-Behörden eine „Übermittlung“ in die USA darstellt oder nicht.
So hatte Vergabekammer Baden-Württemberg bereits diese abstrakte Zugriffsmöglichkeit als Übermittlung angesehen. Die Folge wäre, dass Unternehmen mit US-Konzernbezügen (Mutter-/Tochterunternehmen) nicht bzw. nur unter den erschwerten Bedingungen nach Artikel 44ff DSGVO eingesetzt werden könnten. Diese Entscheidung ist aus vergaberechtlicher Gesichtspunkten durch das OLG Karlsruhe aufgehoben worden. Die relevante datenschutzrechtliche Frage blieb allerdings unbeantwortet.
Die DSK hat jetzt mit ihrem Beschluss vom 31. Januar 2023 festgestellt, dass in dieser Konstellation keine Datenübertragung handelt. Diese Klarstellung ist zu begrüßen, allerdings verlagert die DSK die Fragestellung auf die Ebene der Zuverlässigkeit des Auftragsverarbeiters. In diesem Zusammenhang verfolgt die DSK offenkundig einen risikobasierten Ansatz und verlangt nun eine Risikoabwägung, die den Anforderungen einer Transferfolgenabschätzung nach Schrems II im Wesentlichen entspricht. Dies bedeutet, dass die gesetzlichen Vorschriften im Land der Muttergesellschaft sowie vorhandene zusätzlichen Schutzmaßnahmen zu berücksichtigen. So wird für die Durchführung ausdrücklich auf die Empfehlung 01/2020 des Europäischen Datenschutzausschusses verwiesen, die speziell für die Transferfolgenabschätzung entwickelt wurden.
Auf Microsoft übertragen heißt dies, dass die Nutzer insbesondere technische und organisatorische Maßnahmen treffen müssen, um die Zugriffsmöglichkeiten der US-Strafverfolgungsbehörden zu beschränken. Microsoft bietet hierfür selbst eine Reihe von Möglichkeiten etwa mit kundenseitiger Verschlüsselung. Auf der vertraglichen Ebene hat sich Microsoft in Anhang C des DPA verpflichtet, die entsprechenden Anfragen (der US-Behörden) anzufechten. Microsoft gibt an, dies zu tun. Im Bereich der Anfragen von Strafverfolgungsbehörden gibt Microsoft an, dass sich diese weltweit hauptsächlich auf Konten von Privatkunden bezögen. Gewerbliche Nutzer sowie öffentlichen Stellen innerhalb der Europäischen Union seien bisher nicht betroffen gewesen. D.h. das maßgebliche Risiko dürfte vergleichsweise gering sein.
Weitere Entspannung könnte das EU-US Data Privacy Framework bringen. Denn die Europäische Kommission arbeitet gerade mit Nachdruck an einem Angemessenheitsbeschluss im Zusammenhang mit einer Einigung mit den US-Behörden über ein neues Regelwerk für den Datenverkehr mit den USA.
Die Europäische Kommission hat einen Entwurf für den Beschluss vorgelegt und in die Abstimmung mit den einzubindenden Gremien gegeben. Eine Verabschiedung noch im ersten Halbjahr 2023 erscheint derzeit möglich.
Einzelheiten finden Sie in unserem Artikel aus dem Januar 2023 zu diesem Thema.
Mit dem Angemessenheitsbeschluss wird die Übertragung personenbezogener Daten in die USA im Rahmen der Vorgaben rechtlich deutlich einfacher möglich sein. Insbesondere ist keine Transferfolgenabschätzung mehr durchzuführen.
Damit werden aber noch nicht alle Fragen des Einsatzes von Microsoft 365 gelöst sein. Fragen, wie die Rechenschaftspflicht oder die „eigenen Zwecke“ von Microsoft, bestehen unabhängig davon weiter.
Der Einsatz von Microsoft 365 ist trotz der Festlegungen der DSK rechtskonform möglich. Er kann – trotz der Kritik der DSK – sogar geboten sein. Denn die Bedrohungen durch Cyberangriffe wachsen stetig und die Verantwortlichen müssen diesen Bedrohungen Rechnung tragen. Die bisher lokal administrierten Systeme werden immer schwieriger zu sichern sein und die lokal installierte Software nähert sich dem Ende ihres Updatezeitraums. Es ist also eine Frage der Abwägung der Risiken.
Unternehmen und Institutionen sollten in jedem Falle darauf achten, dass sie
Bei der Verarbeitung von Sozialdaten ist besonders darauf zu achten, dass diese nicht als Telemetrie-/Diagnosedaten pseudonymisiert in die USA übertragen werden.
Das EU-US Data Privacy Framework wird den Einsatz von Microsoft Produkten deutlich vereinfachen.