DSGVO-konformer Einsatz möglich?

Microsoft 365 (vorher Office 365) ist derzeit sowohl für Unternehmen als auch Behörden die wohl wichtigste Software. Fast jeder arbeitet damit. Gerade die cloudbasierte Version Office 365 mit seinen Produkten wie Outlook, Word, PowerPoint, Excel oder OneDrive hat sich mittlerweile für Bürotätigkeiten etabliert.

Doch es gibt auch viele rechtliche Probleme, weil Microsoft 365 bei Datenschützern und Aufsichtsbehörden immer wieder in der Kritik stand. Sei es wegen der Datenübermittlung in die USA, Zugriffsmöglichkeiten von US-Behörden auch auf deutsche Server, der Hintergrundübermittlung sogenannter Telemetriedaten oder unzureichender Auftragsverarbeitungsverträge.

Update 8.12.2022: M365 fällt erneut bei Datenschützern durch

M365 ist und bleibt DSGVO-rechtswidrig und Unternehmen und öffentliche Stellen können es wohl weiterhin nicht rechtskonform einsetzen. Das jedenfalls ist auch weiterhin die mehrheitliche Rechtsauffassung der deutschen Datenschutzkonferenz (DSK) vom 24. November 2022. Diese Rechtsauffassung vertreten die Datenschützer bereits seit 2020. Daran hat sich, wie nun bekannt wurde, auch 2022 nichts Wesentliches geändert.

Und das, obwohl das US-Unternehmen in seiner neuen Version des Auftragsverarbeitungsvertrags (“Microsoft Products and Services Data Protection Addendum”) vom 15.09.2022 die neuen Standardvertragsklauseln der EU-Kommission übernommen hatte. Außerdem hatte Microsoft die Angaben dazu präzisiert, welche Daten zu eigenen Zwecken genutzt werden – etwa statistische, nicht-personenbezogene Daten aus pseudonymisierten Daten, um Statistiken zu erstellen. Die in vorherigen Versionen des Vertrags genannten, problematischen Zwecke des Kampfes gegen Betrug oder IT-Kriminalität stehen nun nicht mehr im Vertrag. Das Unternehmen versicherte außerdem, nicht auf Inhalte von Kundendaten zuzugreifen, um diese zu analysieren.

Doch die Datenschützer sahen weiterhin Probleme: Es fehle immer noch an der notwendigen Transparenz darüber, wie Microsoft personenbezogene Daten für eigene Zwecke nutzt. Microsoft lege nicht vollumfänglich offen, welche Verarbeitungen im Einzelnen welche Verarbeitungen im Auftrag des Kunden bzw. zu eigenen Zwecken stattfinden. Die Vertragsunterlagen seien in der Hinsicht nicht präzise und erlaubten im Ergebnis nicht, abschließend zu bewerten, ob die ggf. sogar umfangreichen Verarbeitungen auch zu eigenen Zwecken rechtlich zulässig seien. In vielen Bereichen seien keine Verbesserungen erzielt worden – so auch etwa bei der Problematik der Telemetrie- und Diagnosedaten, die Microsoft nach Kenntnis der Arbeitsgruppe in großem Umfang und grundsätzlich für eigennützige Zwecke erhebt. Das aber schließe den den Einsatz eines solchen Auftragsverarbeiters im öffentlichen Bereich (insbesondere an Schulen) aus, da diese nicht auf die Erlaubnisnorm aus Art. 6 Abs. 1 S. 1 lit. f DSGVO zurückgreifen können, nach der eine Verarbeitung personenbezogener Daten auch zugunsten eines überwiegenden berechtigten Interesses zulässig ist.

Im Hinblick auf die Problematik der Datenübermittlung in die USA schrieb die DSK: “Eine Nutzung von Microsoft 365 ohne Übermittlungen personenbezogener Daten in die USA sei nicht möglich.” Und: “Für diesen Anwendungsfall ist es den Aufsichtsbehörden bislang nicht gelungen, ergänzende Schutzmaßnahmen zu identifizieren, die zu einer Rechtmäßigkeit des Datenexports führen könnten.” Ob sich zumindest an diesem Thema durch die am 7. Oktober 2022 von US-Präsident Biden und Generalstaatsanwalt Garland vorgestellte Executive Order „Enhancing Safeguards for United States Signals Intelligence Activities“ etwas ändern könnte, hat die DSK nicht geprüft. Schließlich seien diese Regelungen noch nicht konkret umgesetzt worden. Microsoft plant aber außerdem, sehr bald die Datenverarbeitung verstärkt in die EU zu verlagern. Dies erscheine vor diesem Hintergrund hilfreich, so die DSK. Diese Veränderung sei aber in der Umsetzung auch vor dem Hintergrund nationaler Rechtsvorschriften zu beobachten und zu bewerten, die auch hierzulande Auswirkungen haben können. Damit spielt die DSK auf den CLOUD Act an, wonach US-Behörden auf Zugriff auf EU-Server haben könnten.

Was bedeutet das nun konkret in der Praxis vor allem für Schulen und Behörden, aber auch für Unternehmen? Nun, zunächst ist es so, dass die aktuelle Entscheidung nicht so eindeutig ausfiel wie noch 2020. Dieses Mal wurde sie mit nur einer Stimme Mehrheit gefasst. Die Datenschutzbehörden der Bundesländer Baden-Württemberg, Bayern, Hessen und Saarland haben sogar offen Kritik an der pauschalen Stellungnahme der DSK geäußert. So müsse M365 zwar tatsächlich angepasst werden, dennoch hätten sich Micorosofts Standards verbessert und man wolle weiterhin das Gespräch suchen und für Nachbesserungen sorgen. Es ist daher nicht ausgeschlossen, dass die Bundesländer unterschiedlich agieren und es zu einem Flickenteppich in Bezug auf die Akzeptanz von M365 kommen wird. Darüber hinaus ist klar, dass letzten Endes nicht die Datenschutzbehörden das letzte Wort über Auslegung und Anwendung der DSGVO haben, sondern die Gerichte. Doch sind es durchaus die Aufsichtsbehörden, die in erster Instanz die Einhaltung der Vorschrift kontrollieren und im schlimmsten Fall Bußgelder aussprechen, wenn man als Verantwortlicher für den Datenschutz ein Programm nutzt, das als nicht DSGVO-konform gewertet wird. Sprich: Hat man erst einmal einen solchen Bescheid der Behörde erhalten, muss man dagegen gerichtlich vorgehen und einen langen Atem haben – denn im Zweifel entscheidet am Ende der EuGH über die Auslegung der DSGVO.

Rechtslage bis zum 14.10.2021

Zugriffsmöglichkeit von US-Behörden auch auf EU-Servern

Das US-Unternehmen Microsoft betreibt aus den USA heraus weltweit Rechenzentren, auf denen die Leistungen von Microsoft 365 erbracht werden. Für Unternehmen in Europa bietet Microsoft allerdings an, die zentralen Services im Kern auch in europäischen Rechenzentren zu betreiben.

Doch bereits dies ist nicht unproblematisch. Der Grund: US-Behörden könnten auch hierzulande Zugriff z.B. auf Kundendaten erhalten. Hintergrund ist ein Gesetz von Trump aus dem Jahr 2018 in den USA, der “Clarifying Lawful Overseas Use of Data Act” (CLOUD Act). Dieses US-Gesetz gestattet Ermittlungsbehörden wie dem FBI, auf personenbezogene Daten zuzugreifen, die US-Provider wie Microsoft nicht nur in den USA, sondern auch in europäischen Rechenzentren speichern. Internet-Firmen und IT-Dienstleistern kann nach dem Gesetz sogar verboten werden, ihre Benutzer über eine solche heimliche Abfrage von Benutzerdaten zu informieren. Das kollidiert aber mit der EU-Datenschutzgrundverordnung (DSGVO): Die verbietet Unternehmen in Artikel 48 die Übergabe von in der EU gesicherten Daten ohne Rechtshilfeabkommen. Ein solches gibt es aber für diesen speziellen Fall noch nicht – auch wenn Biden wohl darüber verhandeln will. Das bringt US-Unternehmen, die auf EU-Boden agieren, in ein Dilemma: Wenn z.B. ein Durchsuchungsbefehl des FBI ins Haus flattert, haben Unternehmen derzeit oft nur die Wahl, gegen welches Gesetz sie verstoßen. Hier herrscht bis heute Rechtsunsicherheit. 

Übermittlung der Meta-Daten in die USA

Doch selbst, wenn Microsoft die Daten auf europäischen Servern speichert, heißt das nicht, dass deswegen keine Daten in die USA fließen. Bei Nutzeridentitäten und damit verbundenen Meta-Daten ist das durchaus der Fall. Und hier sehen die deutschen Datenschutzbehörden ein weiteres Problem.

Denn: Seit dem Schrems II-Urteil des Europäischen Gerichtshofs (EuGH) können sich US-Anbieter nicht mehr auf das EU-US Privacy Shield stützen, wenn sie Daten in die USA übermitteln. Der Hauptgrund auch hier: Der CLOUD-Act. Außerdem gibt es in den USA keine vergleichbaren Betroffenenrechte. Nach Ansicht des EuGH existiert in den USA also kein vergleichbares Datenschutzniveau wie in der EU.

Anbieter wie Microsoft müssen den Transfer deswegen durch eine Schutzmaßnahme nach Artikel 46 DSGVO absichern. Konkret geht es dabei um sog. Standardvertragsklauseln, denen der Kunde zustimmen muss. Dabei handelt es sich um Musterverträge, in denen sich die US-Anbieter verpflichten, das EU-Datenschutzniveau einzuhalten. Im Juli 2021 hat die EU-Kommission neue Standardvertragsklauseln veröffentlicht, welche die Vorgaben der DSGVO und die EuGH-Rechtsprechung zum Privacy Shield berücksichtigen.

Diese sind nun zwar eine gute Grundlage für Datentransfers in Drittländer. Allerdings bietet der Vertragstext alleine noch keine vollständige Rechtssicherheit – schließlich bestehen die Probleme in den USA weiterhin. Sie sind aber derzeit die beste Möglichkeit, die US-Unternehmen auf dem EU-Markt haben. 

Microsoft hatte übrigens schon vor Veröffentlichung dieser Klauseln die Entwürfe analysiert und schon am 20.11.2020 in seine eigenen Klauseln integriert. Darin verpflichtete sich das Unternehmen, Personen zu informieren, wenn eine US-Behörde auf ihre Daten zugreifen will. Außerdem verpflichtet sich der Konzern, den Rechtsweg zu beschreiten und die US-Gerichte anzurufen, um die behördliche Anordnung zur Herausgabe der Daten anzufechten.  

Die Datenschutz-Aufsichtsbehörde Berlin hatte sich hierzu am 28.02.2021 dennoch kritisch im Hinblick auf die Datenübermittlung positioniert: „Es ist nicht ersichtlich, dass ausreichende zusätzliche Maßnahmen getroffen worden wären, um entsprechend der Rechtsprechung des Schrems II-EuGH das unzureichende Datenschutzniveau der USA auszugleichen. Auch die „Additional Safeguards Addendum to Standard Contractual Clauses“ (in das DPA Dezember 2020 aufgenommen) genügen hierfür ersichtlich nicht, da sie insbesondere weder den Zugriff von US-Behörden auf die verarbeiteten Daten ausschließen noch betroffenen Personen eine Rechtsschutzmöglichkeit gegen Zugriffe durch US-Behörden gewähren.“

Am 21.7.2021 hat Microsoft dann die eigenen Verträge noch einmal an die nunmehr veröffentlichten Standardvertragsklauseln der Kommission angepasst. Seitdem ist uns speziell bezogen auf dieses konkrete Thema keine Äußerung der Datenschutzbehörden mehr bekannt geworden.

Es kann derzeit aber nicht abschließend gesagt werden, ob die Nutzung von Microsoft im Hinblick auf die Datenübermittlung in die USA zulässig ist oder nicht.

Keine Rechtsgrundlage für Telemetriedaten / Mangelhafte Auftragsverarbeitungsverträge

Die Microsoft-Anwendungen wurden auch aus anderen Gründen in der Vergangenheit immer wieder von Datenschutz-Aufsichtsbehörden kritisiert. Ein einheitliches Verbot – wie es zeitweise in den Medien berichtet wurde – gibt es aber nicht. Hier ein Überblick über die Äußerungen deutscher Datenschutzbehörden zu der Problematik der Telemetriedaten und Auftragsverarbeitungsverträgen:

Datenschutzkonferenz (DSK) im Oktober 2020

Anfang Oktober 2020 veröffentlichte die Konferenz der deutschen Datenschutzaufsichtsbehörden (DSK) diese brisante Mitteilung: Auf Basis der von ihr ausgewerteten Unterlagen sei “kein datenschutzgerechter Einsatz von Microsoft 365 möglich“. Die Hauptgründe für den Beschluss: Es liege keine Rechtsgrundlage für die Übermittlung sogenannter Telemetriedaten an Microsoft vor. Microsoft sammelt per Fernmessung („Telemetrie“) z.B. Diagnose- und Funktionsdaten von Geräten und Anwendungen sowie kunden- und personenbezogene Daten. Laut eigener Auskunft dienen diese Informationen dazu, Produkte, Dienste und Geräte zu verbessern, Nutzern personalisierte Erfahrungen zu bieten und ihre Sicherheit zu gewährleisten. Weiterhin bemängelte die DSK zu  unkonkret beschriebene Vorgänge wie etwa die Auftragsverarbeitung, wie Daten weitergegeben werden – auch im Rahmen des CLOUD Acts.  

Konkrete Folgen hatte der DSK-Beschluss von 2020 nicht direkt. Von einem Office-365-Verbot, wie mancherorts zu lesen war, kann nicht die Rede sein. Es bedeutet allerdings, dass einzelne Aufsichtsbehörden in den Bundesländern dennoch gegen die Online-Nutzung von Word, Excel & Co. vorgehen könnten.  

Microsoft hatte darauf aber mit einer Anpassung ihrer Verträge reagiert (s.o.). Ob dies den Aufsichtsbehörden genügt oder ob weitere Anpassungen gefordert werden, bleibt abzuwarten. 

Die Datenschutzaufsichtsbehörden Baden-Württembergs, Bayerns, Hessens und des Saarlands teilten die Bewertung der DSK bereits damals schon nicht. Insbesondere, weil diese zu undifferenziert sei und Microsoft zwischenzeitlich bereits zweimal die überprüften Vertragsbestimmungen überarbeitet habe.  

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit im Februar 2021

Dennoch veröffentlichte die Berliner Datenschutz-Aufsichtsbehörde im Februar 2021 Hinweise zu Anbietern von Videokonferenzdiensten. Darin bemängelte sie, dass das Auftragsverarbeitungsverhältnis im Falle von Microsoft 365 mangelhaft sei. Insbesondere die Verarbeitung gemäß Art. 28 DSGVO sei unzureichend geregelt.

Der Datenschutzbeauftragte Niedersachsen im Juli 2021

Die Landesbeauftragte für den Datenschutz Niedersachsen schätzte den Einsatz von Office 365 ganz aktuell am 22.07.2021 weiter als sehr kritisch ein. Problematisch seien sowohl die Auftragsverarbeitungsverträge von Microsoft sowie die Übertragung von Telemetriedaten im Hintergrund, für die es nach derzeitigem Stand keine Rechtsgrundlage gebe. „Aufgrund der beschriebenen Gesamtsituation kann ich von einem Einsatz von Office 365 nach wie vor aus datenschutzrechtlicher Sicht nur dringend abraten“, schreibt die Landesdatenschutzbeauftragte deutlich. Und: „Ich hoffe, dass Microsoft die Gesprächsangebote der Datenschutzkonferenz nutzt und die erforderlichen Nachbesserungen umsetzt, um seinen Kundinnen und Kunden einen rechtskonformen Betrieb seines Produktes zu erleichtern.“  

Fazit: Rechtsunsicherheit

Es herrscht also Rechtsunsicherheit, ob ein datenschutzkonformer Einsatz von Microsoft 365 aktuell möglich ist. Unternehmen, die das Produkt nutzen, bewegen sich aber aus rechtlicher Sicht auf dünnem Eis – und das gleich aus mehreren Gründen.

Die rechtssicherste Möglichkeit, die Unternehmen und private Nutzer haben, ist aber natürlich, auf einen Anbieter auszuweichen, der nicht dem US-Recht unterliegt und den die Datenschutzbehörden aktuell nicht so kritisch begutachten.

Unabhängig von der rechtlichen Problematik gibt es ja viele Diskussionen, wie sicher Daten sind, die in die USA übermittelt werden. Man denke nur an die Snowden-Enthüllungen. Datenschutz hat eben in den USA einen anderen Stellenwert als in Europa.

ahe