Tierney - stock.adobe.com
Microsoft 365: Was Datenschutz-Aufsichtsbehörden empfehlen
Mehrere Datenschutzaufsichtsbehörden haben Hinweise veröffentlicht, was bei Verträgen mit Microsoft bei Einsatz von Microsoft 365 beachtet werden sollte.
Wir erinnern uns: Im November 2022 veröffentlichte das Gremium der deutschen Datenschutzaufsichtsbehörden DSK (Datenschutzkonferenz) eine Bewertung zur Nutzung von Microsoft 365. Darin kam die DSK zu dem Schluss, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden könne.
Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt werde, könne dieser Nachweis nicht erbracht werden so die DSK in der Bewertung (PDF),.
Für Unternehmen stellte und stellt sich die Frage, wie sie denn weiterhin Microsoft 365 einsetzen und gleichzeitig die sogenannte Rechenschaftspflicht nach DSGVO (Datenschutz-Grundverordnung) erfüllen können. Unter Rechenschaftspflicht versteht man dabei, dass der oder die Verantwortliche für die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten verantwortlich ist und die Einhaltung nachweisen können muss.
Microsoft 365 und der Datenschutz: Darum müssen Unternehmen handeln
Es ist nicht jedem sofort ersichtlich, warum Hinweise zu Microsoft 365 die Unternehmen als Nutzende betreffen und nicht etwa den Anbieter.
Dazu sagten die Aufsichtsbehörden: Die Bewertung der Datenschutzkonferenz wendet sich nicht direkt an Microsoft, sondern an die Verantwortlichen, und zwar weil die Verantwortlichen nach DSGVO nachweisen können müssen, dass Microsoft 365 transparent und rechtmäßig verwendet werden kann. Das können sie aber nicht, solange Microsoft seinen eigenen Unterlagen zufolge personenbezogene Daten (von wem?) für eigene Zwecke (welche?) verwendet und hierüber auch keine weiteren Angaben macht, so der Hinweis der Datenschützer.
Aufsichtsbehörden geben Praxistipps
Dr. Lutz Hasse, Thüringer Landesbeauftragter für den Datenschutz, sagte dazu im November 2022: „Meine Aufsichtsbehörde wird nun – wie die anderen Datenschutzaufsichtsbehörden auch – mit den Verantwortlichen im öffentlichen und nicht-öffentlichen Bereich den Kontakt suchen, um eine verhältnismäßige Umsetzung dieser Rechtslage zu erörtern. Hierbei werden zeitliche Aspekte und alternative Pfade Gegenstand der Erörterung sein.“ Inzwischen hat der neue Landesbeauftragte für den Datenschutz Niedersachsen (LfD) gemeinsam mit sechs weiteren Datenschutzaufsichtsbehörden eine Handreichung zum Umgang mit der Standard-Auftragsverarbeitungsvereinbarung von Microsoft für den Einsatz von „Microsoft 365“ (PDF) erarbeitet.
Laut der Handreichung sind etwa die im DPA (Microsoft Products and Services Data Protection Addendum) aufgeführten Löschfristen vertraglich anzupassen, ferner gibt es in der Handreichung Anforderungen an die Information über den Einsatz von Unterauftragsverarbeitern. Ein weiterer wichtiger Aspekt der Handreichung ist der Umgang mit der Verarbeitung durch Microsoft zu eigenen Geschäftszwecken.
Die Handreichung behandelt auf Grund der zum Erstellungszeitpunkt noch nicht abgeschlossenen Bewertung nicht die Themen internationaler Datentransfer und extraterritorialer Anwendungsbereich von US-Gesetzen. Auch ersetzt die Umsetzung der in der Handreichung enthaltenen Empfehlungen insbesondere nicht die datenschutzrechtliche Bewertung sämtlicher technischer Funktionen von „Microsoft 365“, die dem oder der Verantwortlichen potenziell zur Verfügung gestellt werden.
Eine solche Bewertung muss der oder die Verantwortliche in Abhängigkeit davon vornehmen, welche Funktionen für die Verarbeitung welcher personenbezogenen Daten eingesetzt werden sollen, wie die beteiligten Datenschutzaufsichtsbehörden betonen.
Was Unternehmen jetzt tun sollten
Die Handreichung der beteiligten Aufsichtsbehörden enthält eine Vielzahl an Aufgaben, die Unternehmen, die Microsoft 365 einsetzen, nun angehen sollten, darunter insbesondere:
- Eine zwischen dem Verantwortlichen und Microsoft abzuschließende Zusatzvereinbarung zum DPA sollte klarstellen, dass diese Zusatzvereinbarung gegenüber sämtlichen entgegenstehenden Vertragstexten (des DPA, aber auch zum Beispiel der Product Terms und der einzelnen Produktdokumentationen), die seitens Microsoft einbezogen werden, Vorrang hat und diesen im Kollisionsfalle vorgeht.
- Der oder die Verantwortliche muss sich auch mit allen weiteren datenschutzrechtlichen Aspekten befassen, die über die reine Vertragsgestaltung der AV-Vereinbarung hinausgehen, zum Beispiel der Prüfung der Angemessenheit der technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten im konkreten Fall und ggf. der Vornahme eigener technischer und organisatorischer Maßnahmen.
Unter der Vielzahl an konkreten Hinweisen seien die Empfehlungen mit Blick auf die Telemetriedaten genannt, also insbesondere:
Es muss vertraglich geregelt sein, ob es sich bei Telemetrie- und Diagnosedaten (siehe zum Beispiel auch die Datenschutzerklärung) um personenbezogene Daten handelt.
- Der Vertrag hat zu spezifizieren, welche personenbezogenen Daten neben den Nutzerdaten dem Zweck der Gewährleistung der Sicherheit dienen. Die Inhaltsdaten kann der Verantwortliche lediglich selbst benennen, für die Auflistung der darüberhinausgehenden Daten (zum Beispiel Anmeldedaten, Diagnosedaten etc.) wird er gegebenenfalls Unterstützung von Microsoft benötigen, es sei denn, er kann abschätzen, welche Daten hier erforderlich sind. Microsoft muss ebenfalls überblicksartig mitteilen, warum genau die spezifizierten Daten zur Gewährleistung der Sicherheit notwendig sind.
- Ferner sollte geklärt werden, welche der benannten personenbezogenen Daten für die Zwecke „Fehlerbehebung“ und „Förderung der Sicherheit“ genutzt werden und auf welche Art und Weise diese Daten verarbeitet werden, zum Beispiel durch einen Verweis auf konkrete Dokumente, in denen dies beschrieben ist. Auch hier gilt, dass der Verantwortliche eine Rechtsgrundlage zu den beauftragten Verarbeitungsvorgängen nachweisen muss. Andernfalls müssen diese vertraglich ausgeschlossen werden.
- Zu beachten ist, dass bei der Verarbeitung der Telemetrie- und Diagnosedaten sowie in sonstigen sicherheitsrelevanten Datenverarbeitungsprozessen von Microsoft die Anforderungen an die Umsetzung der Mandantentrennung fortbestehen. Als kompensierende Maßnahmen sollten die Verantwortlichen die Möglichkeiten zur Gestaltung eigener technisch-organisatorischen Maßnahmen prüfen.
Es zeigt sich: Die Aufsichtsbehörden kommen ihrer Aufgabe einer Beratung der Unternehmen nach, es ist aber nicht leicht, alle konkreten Anforderungen und Praxis-Tipps umzusetzen. Trotzdem ist es mehr als hilfreich, am Beispiel Microsoft 365 zu sehen, wie sich mögliche Datenschutzfragen und Herausforderungen im Detail klären lassen könnten.