Datenschutz bei der Nutzung von Microsoft 365

ZD 2024, 361   Der Einsatz von Microsoft 365 steht immer wieder in der Kritik der deutschen Datenschutzaufsichtsbehörden. In der Praxis erfreut sich die Cloudlösung dennoch sowohl bei Unternehmen als auch bei öffentlichen Stellen großer Beliebtheit. In Niedersachsen ist es der Landesregierung nun gelungen, mit Microsoft einen Vertrag über die Nutzung von Microsoft Teams abzuschließen, der zumindest die Bedenken des LfD Niedersachsen ausräumt. Ist es zu früh, von einem entscheidenden Durchbruch zu sprechen?

1. Kritik der Datenschutzaufsichtsbehörden

Die Datenschutzkonferenz (DSK) hat am 25.11.2022 festgestellt, dass Verantwortliche auf der Grundlage des DPA idF vom September 2022 einen datenschutzkonformen Einsatz nicht nachweisen können (vgl. https://beck-link.de/fsax6). Wesentliche Kritikpunkte der DSK betrafen die Rechenschaftspflicht, die Datenübermittlung in die USA, die Datenverarbeitung durch Microsoft zu eigenen Zwecken, die Umsetzung der technischen und organisatorischen Maßnahmen (TOMs) sowie den Einsatz von weiteren Auftragsverarbeitern. Die DSK hatte bereits am 31.1.2023 angekündigt, die von Microsoft daraufhin ergriffenen Maßnahmen sowie das seither mehrfach aktualisierte DPA erneut zu prüfen und eine Neubewertung vorzunehmen (vgl. https://beck-link.de/3fzdm). Dies ist bisher nicht geschehen und es ist derzeit unklar, ob und, wenn ja, wann mit einem neuen Ergebnis zu rechnen ist.

2. Handreichung zu Verträgen mit Microsoft

Bis zuletzt hielten einzelne Datenschutzaufsichtsbehörden ausdrücklich an der Kritik der DSK fest. So heißt es im Tätigkeitsbericht des HmbBfDI für das Jahr 2023, dass trotz intensiver Bemühungen weiterhin Zweifel an der Rechtskonformität des Einsatzes von Microsoft 365 bestünden (vgl. https://beck-link.de/5bres). In einer Handreichung zum Umgang mit dem DPA von Microsoft v. 22.9.2023 (vgl. https://beck-link.de/8kdpr) hatte auch der LfD Niedersachsen gemeinsam mit sechs weiteren Datenschutzaufsichtsbehörden die Kritik der DSK aufrechterhalten und eine umfassende vertragliche Anpassung des DPA gefordert. Entsprechend der Kritik der DSK sollten insbesondere folgende Aspekte angepasst werden: Konkretisierung der Verarbeitungsvorgänge, mehr Transparenz hinsichtlich der Verarbeitung durch Microsoft für eigene Zwecke, Einschränkung der Offenlegung von Daten durch Microsoft, Präzisierung der TOMs, Verkürzung der Löschfristen und Konkretisierung der Angaben zu weiteren Auftragsverarbeitern. Knackpunkt der Handreichung war jedoch, dass sie auf der Rechtsauffassung der DSK vom September 2022 beruhte und damit für die Verantwortlichen in der Praxis nicht nur kaum umsetzbar, sondern zumindest in Teilen auch überholt war.

3. Datenschutzverstöße durch die EU-Kommission

Am 5.4.2024 hat der Europäische Datenschutzbeauftragte (EDSB) mögliche Datenschutzverstöße durch die EU-Kommission öffentlich gemacht (vgl. https://beck-link.de/ap4da). Die Bewertung des EDSB nennt als Stichtag für die Feststellungen den 12.5.2021. Gleichzeitig betont der EDSB, dass die Datenschutzverstöße bis zum 8.3.2024 angedauert hätten. Beanstandet werden eine fehlende Zweckbindung der Datenverarbeitung sowie ein unzureichender Datenschutz bei Übermittlungen in Drittstaaten. Für die Diskussion in Deutschland ist die Entscheidung des EDSB allerdings nur von geringer Bedeutung. Zum einen erfolgte die Bewertung der veralteten Vertragsklauseln nicht nach der DS-GVO, sondern nach den Datenschutzbestimmungen für die EU-Organe (VO (EU) 2018/1725), zum anderen hat der EDSB keine Weisungsbefugnis oder Steuerungsfunktion gegenüber den Datenschutzaufsichtsbehörden der Mitgliedstaaten. Der Einsatz von Microsoft 365 durch die EU-Kommission ist daher als Sonderfall zu betrachten.

4. Vertragsanpassungen durch Microsoft

Aufgrund der Kritik der deutschen Datenschutzaufsichtsbehörden hat Microsoft zwischenzeitlich zahlreiche Verbesserungen an seinem DPA vorgenommen. Microsoft hat am 1.1.2023, am 15.11.2023 und zuletzt am 2.1.2024 jeweils eine neue Version seines DPA veröffentlicht. Als Beispiel für eine Verbesserung sei die Einführung und schrittweise Umsetzung der EU Data Boundary genannt, nach der Microsoft Kundendaten und personenbezogene Daten ausschließlich innerhalb des EWR verarbeitet. Die Kritik an einer Datenübermittlung in die USA ist zudem durch den neuen Angemessenheitsbeschluss der EU-Kommission für die USA v. 10.7.2023 obsolet geworden. Darüber hinaus wurde von Microsoft eine ausdrückliche Verpflichtung aufgenommen, den Kunden bei der Erfüllung seiner Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO zu unterstützen. Auch zur Verarbeitung von Telemetriedaten und der Einhaltung der diesbezüglichen gesetzlichen Bestimmungen wurden klarstellende Regelungen aufgenommen. Nicht zuletzt hat Microsoft außerdem die Angaben zu den weiteren Auftragsverarbeitern präzisiert.

5. Einsatz von Microsoft Teams in Niedersachsen

Das Niedersächsische Ministerium für Inneres und Sport (MI) hat am 26.4.2024 verkündet, mit Microsoft eine datenschutzrechtliche Vereinbarung zur Nutzung von Microsoft Teams in der öffentlichen Verwaltung abgeschlossen zu haben (vgl. https://beck-link.de/7xmka). In diesem Zusammenhang wurden in Abstimmung mit dem LfD Niedersachsen auch Klauseln des DPA angepasst und die Kritikpunkte der DSK berücksichtigt. Die erzielten Ergebnisse sollen als Blaupause für den Einsatz von Microsoft 365 durch andere öffentliche Stellen dienen. Microsoft hat bereits erklärt, die mit dem MI vereinbarten datenschutzrechtlichen Regelungen auch bei anderen Kunden der öffentlichen Verwaltung in Deutschland zu berücksichtigen. Das angepasste DPA ist allerdings bisher nicht öffentlich einsehbar.

6. Stellungnahme des LfD Niedersachsen

In einer PM v. 3.5.2024 bestätigte der LfD Niedersachsen den datenschutzkonformen Einsatz von Microsoft Teams durch das MI (vgl. https://beck-link.de/pb68b). Zwar sei er selbst nicht an den Verhandlungen mit Microsoft beteiligt gewesen, habe aber das MI mit datenschutzrechtlichen Einschätzungen unterstützt und eine Bewertung des Verhandlungsergebnisses vorgenommen. Laut Stellungnahme ist das Verhandlungsergebnis akzeptabel und entspricht den Anforderungen der DS-GVO. Es bleibt jedoch abzuwarten, ob die anderen Datenschutzaufsichtsbehörden die Einschätzung des LfD Niedersachsen teilen. Angesichts der Vollharmonisierung des Datenschutzrechts durch die DS-GVO wäre dies zwar zu erwarten, es wäre aber nicht das erste Mal, dass sich die deutschen Datenschutzaufsichtsbehörden bei der Bewertung von Microsoft 365 uneinig sind (vgl. https://beck-link.de/fy3ax).

7. Voraussetzungen für einen datenschutzkonformen Einsatz von Microsoft 365

Der Erfolg bei der Einführung von Microsoft Teams in Niedersachsen bestätigt: Ein datenschutzkonformer Einsatz von Microsoft 365 ist möglich. Aufgrund der Komplexität der Cloud-Lösung, der zahlreichen Verarbeitungsvorgänge und der unterschiedlichen Verantwortlichkeiten des Kunden und von Microsoft bestehen in der Praxis jedoch Herausforderungen. Diese zu bewältigen ist jedoch nicht unmöglich und gelingt mit einer Prüfung und Umsetzung der datenschutzrechtlichen Anforderungen sowie einer Dokumentation der getroffenen Maßnahmen. Insbesondere die Durchführung einer individuellen Datenschutz-Folgenabschätzung (DSFA) sowie die Implementierung geeigneter und angemessener TOMs sind unerlässlich. Verbleiben nach der Umsetzung der Datenschutzmaßnahmen durch den Verantwortlichen weitere Kritikpunkte, besteht die Möglichkeit, mit Microsoft über eine Anpassung des DPA nach dem niedersächsischen Modell zu verhandeln.

a) DSFA und Datenschutzdokumentation

Grundlage einer idR für den Einsatz von Microsoft 365 erforderlichen DSFA sind die Verarbeitungsvorgänge im Einzelfall. Zunächst sind die Einsatzszenarien sowie die damit verbundenen Verarbeitungsvorgänge, die verarbeiteten Daten, die Betroffenenkategorien und die Zwecke der Verarbeitung zu ermitteln. Anschließend ist eine Verhältnismäßigkeitsprüfung vorzunehmen. In einem weiteren Schritt sind die mit dem Einsatz von Microsoft 365 verbundenen Risiken zu ermitteln und zu bewerten sowie die erforderlichen Abhilfemaßnahmen zu treffen. Die DS-GVO verlangt nicht, dass die Risiken auf Null reduziert werden. Es genügt deshalb, dass die Risiken bei dem Einsatz von Microsoft 365 auf ein vertretbares Maß reduziert werden. Neben der Durchführung der DSFA müssen Verantwortliche insbesondere die Rechtsgrundlagen für den Einsatz von Microsoft 365 prüfen und dokumentieren sowie Datenschutzinformationen für Betroffene bereitstellen.

b) TOMs

Verantwortliche müssen durch TOMs ein angemessenes Datenschutzniveau gewährleisten und die Wirksamkeit der Maßnahmen regelmäßig überprüfen. Beispiele für technische Datenschutzmaßnahmen bei dem Einsatz von Microsoft 365 sind die zentrale Verwaltung der IT-Sicherheit im Microsoft Security Center, die Einführung eines Berechtigungskonzepts bei gleichzeitiger Reduzierung der Administrator-Konten auf das notwendige Minimum, die Deaktivierung nicht genutzter Funktionen sowie die Überprüfung der Datenübertragungen an Microsoft. Beispiele für organisatorische Datenschutzmaßnahmen sind die Minimierung des Personenbezugs der verarbeiteten Daten, die Erstellung interner Richtlinien für den Einsatz von Microsoft 365, die Durchführung regelmäßiger Schulungen und die Bereitstellung einer Beschwerdemöglichkeit bei Verstößen.

8. Fazit und Ausblick

Der Kurswechsel der niedersächsischen Datenschutzaufsicht wird die Diskussion um den datenschutzkonformen Einsatz von Microsoft 365 voraussichtlich nicht beenden. Er läutet aber eine Trendwende in der datenschutzrechtlichen Bewertung von Microsoft 365 durch die deutschen Datenschutzaufsichtsbehörden ein. Die Bewertung von Microsoft 365 wird sich von den abstrakten und zT umstrittenen Rechtsfragen zum DPA auf die tatsächlich bestehenden Risiken im konkreten Einsatzszenario verlagern. Für Verantwortliche, die Microsoft 365 einsetzen, ist diese Entwicklung Schatz und Bürde zugleich. Einerseits können sie den datenschutzkonformen Einsatz von Microsoft 365 künftig in eigener Regie herbeiführen. Andererseits stehen sie - ganz iSd DS-GVO - unmittelbar in der Verantwortung für die Datenschutzkonformität.