Navigation öffnen
Startseite » News » Internetrecht » Datenschutzrecht » Microsoft 365: DSGVO-konformer Einsatz möglich?
Microsoft 365 :

DSGVO-konformer Einsatz möglich?

Die Streitigkeiten rund um Microsoft(Office) 365 reißen seit Jahren nicht ab. Es kursierten bereits Gerüchte, die Datenschutzbehörden hätten die Anwendung des Dienstes gar ganz verboten. Was gilt denn nun? Christian Solmecke gibt dazu im Podcast „IT ist alles“ einen Überblick.

Microsoft 365 (vorher Office 365) ist derzeit sowohl für Unternehmen als auch Behörden die wohl wichtigste Software. Fast jeder arbeitet damit. Gerade die cloudbasierte Version Office 365 mit seinen Produkten wie Outlook, Word, PowerPoint, Excel oder OneDrive hat sich mittlerweile für Bürotätigkeiten etabliert.

Doch es gibt auch viele rechtliche Probleme, weil Microsoft 365 bei Datenschützern und Aufsichtsbehörden immer wieder in der Kritik stand. Sei es wegen der Datenübermittlung in die USA, Zugriffsmöglichkeiten von US-Behörden auch auf deutsche Server, der Hintergrundübermittlung sogenannter Telemetriedaten oder unzureichender Auftragsverarbeitungsverträge.

Podcast „IT IST ALLES“ mit Rechtsanwalt Christian Solmecke zu Microsoft (Office) 365

Christian Solmecke war Gast im Podcast „IT IST ALLES“ und sprach dort u.a. auch ausführlich über die rechtlichen Probleme bei Microsoft 365. Sie finden den Podcast auf der Website pco-online.de sowie auf diesen Plattformen: Spotify, Apple Podcast, Deezer, Google Podcasts und Amazon Music.

Klicken Sie auf das Bild oder den folgenden Link und gelangen Sie zur Podcast-Folge auf Spotify. Zur Podcast Folge mit Christian Solmecke

Zugriffsmöglichkeit von US-Behörden auch auf EU-Servern

Das US-Unternehmen Microsoft betreibt aus den USA heraus weltweit Rechenzentren, auf denen die Leistungen von Microsoft 365 erbracht werden. Für Unternehmen in Europa bietet Microsoft allerdings an, die zentralen Services im Kern auch in europäischen Rechenzentren zu betreiben.

Doch bereits dies ist nicht unproblematisch. Der Grund: US-Behörden könnten auch hierzulande Zugriff z.B. auf Kundendaten erhalten. Hintergrund ist ein Gesetz von Trump aus dem Jahr 2018 in den USA, der „Clarifying Lawful Overseas Use of Data Act“ (CLOUD Act). Dieses US-Gesetz gestattet Ermittlungsbehörden wie dem FBI, auf personenbezogene Daten zuzugreifen, die US-Provider wie Microsoft nicht nur in den USA, sondern auch in europäischen Rechenzentren speichern. Internet-Firmen und IT-Dienstleistern kann nach dem Gesetz sogar verboten werden, ihre Benutzer über eine solche heimliche Abfrage von Benutzerdaten zu informieren. Das kollidiert aber mit der EU-Datenschutzgrundverordnung (DSGVO): Die verbietet Unternehmen in Artikel 48 die Übergabe von in der EU gesicherten Daten ohne Rechtshilfeabkommen. Ein solches gibt es aber für diesen speziellen Fall noch nicht – auch wenn Biden wohl darüber verhandeln will. Das bringt US-Unternehmen, die auf EU-Boden agieren, in ein Dilemma: Wenn z.B. ein Durchsuchungsbefehl des FBI ins Haus flattert, haben Unternehmen derzeit oft nur die Wahl, gegen welches Gesetz sie verstoßen. Hier herrscht bis heute Rechtsunsicherheit. 

Übermittlung der Meta-Daten in die USA

Doch selbst, wenn Microsoft die Daten auf europäischen Servern speichert, heißt das nicht, dass deswegen keine Daten in die USA fließen. Bei Nutzeridentitäten und damit verbundenen Meta-Daten ist das durchaus der Fall. Und hier sehen die deutschen Datenschutzbehörden ein weiteres Problem.

Denn: Seit dem Schrems II-Urteil des Europäischen Gerichtshofs (EuGH) können sich US-Anbieter nicht mehr auf das EU-US Privacy Shield stützen, wenn sie Daten in die USA übermitteln. Der Hauptgrund auch hier: Der CLOUD-Act. Außerdem gibt es in den USA keine vergleichbaren Betroffenenrechte. Nach Ansicht des EuGH existiert in den USA also kein vergleichbares Datenschutzniveau wie in der EU.

Anbieter wie Microsoft müssen den Transfer deswegen durch eine Schutzmaßnahme nach Artikel 46 DSGVO absichern. Konkret geht es dabei um sog. Standardvertragsklauseln, denen der Kunde zustimmen muss. Dabei handelt es sich um Musterverträge, in denen sich die US-Anbieter verpflichten, das EU-Datenschutzniveau einzuhalten. Im Juli 2021 hat die EU-Kommission neue Standardvertragsklauseln veröffentlicht, welche die Vorgaben der DSGVO und die EuGH-Rechtsprechung zum Privacy Shield berücksichtigen.

Diese sind nun zwar eine gute Grundlage für Datentransfers in Drittländer. Allerdings bietet der Vertragstext alleine noch keine vollständige Rechtssicherheit – schließlich bestehen die Probleme in den USA weiterhin. Sie sind aber derzeit die beste Möglichkeit, die US-Unternehmen auf dem EU-Markt haben. 

Microsoft hatte übrigens schon vor Veröffentlichung dieser Klauseln die Entwürfe analysiert und schon am 20.11.2020 in seine eigenen Klauseln integriert. Darin verpflichtete sich das Unternehmen, Personen zu informieren, wenn eine US-Behörde auf ihre Daten zugreifen will. Außerdem verpflichtet sich der Konzern, den Rechtsweg zu beschreiten und die US-Gerichte anzurufen, um die behördliche Anordnung zur Herausgabe der Daten anzufechten.  

Die Datenschutz-Aufsichtsbehörde Berlin hatte sich hierzu am 28.02.2021 dennoch kritisch im Hinblick auf die Datenübermittlung positioniert: „Es ist nicht ersichtlich, dass ausreichende zusätzliche Maßnahmen getroffen worden wären, um entsprechend der Rechtsprechung des Schrems II-EuGH das unzureichende Datenschutzniveau der USA auszugleichen. Auch die „Additional Safeguards Addendum to Standard Contractual Clauses“ (in das DPA Dezember 2020 aufgenommen) genügen hierfür ersichtlich nicht, da sie insbesondere weder den Zugriff von US-Behörden auf die verarbeiteten Daten ausschließen noch betroffenen Personen eine Rechtsschutzmöglichkeit gegen Zugriffe durch US-Behörden gewähren.“

Am 21.7.2021 hat Microsoft dann die eigenen Verträge noch einmal an die nunmehr veröffentlichten Standardvertragsklauseln der Kommission angepasst. Seitdem ist uns speziell bezogen auf dieses konkrete Thema keine Äußerung der Datenschutzbehörden mehr bekannt geworden.

Es kann derzeit aber nicht abschließend gesagt werden, ob die Nutzung von Microsoft im Hinblick auf die Datenübermittlung in die USA zulässig ist oder nicht.

Keine Rechtsgrundlage für Telemetriedaten / Mangelhafte Auftragsverarbeitungsverträge

Die Microsoft-Anwendungen wurden auch aus anderen Gründen in der Vergangenheit immer wieder von Datenschutz-Aufsichtsbehörden kritisiert. Ein einheitliches Verbot – wie es zeitweise in den Medien berichtet wurde – gibt es aber nicht. Hier ein Überblick über die Äußerungen deutscher Datenschutzbehörden zu der Problematik der Telemetriedaten und Auftragsverarbeitungsverträgen:

Datenschutzkonferenz (DSK) im Oktober 2020

Anfang Oktober 2020 veröffentlichte die Konferenz der deutschen Datenschutzaufsichtsbehörden (DSK) diese brisante Mitteilung: Auf Basis der von ihr ausgewerteten Unterlagen sei „kein datenschutzgerechter Einsatz von Microsoft 365 möglich“. Die Hauptgründe für den Beschluss: Es liege keine Rechtsgrundlage für die Übermittlung sogenannter Telemetriedaten an Microsoft vor. Microsoft sammelt per Fernmessung („Telemetrie“) z.B. Diagnose- und Funktionsdaten von Geräten und Anwendungen sowie kunden- und personenbezogene Daten. Laut eigener Auskunft dienen diese Informationen dazu, Produkte, Dienste und Geräte zu verbessern, Nutzern personalisierte Erfahrungen zu bieten und ihre Sicherheit zu gewährleisten. Weiterhin bemängelte die DSK zu  unkonkret beschriebene Vorgänge wie etwa die Auftragsverarbeitung, wie Daten weitergegeben werden – auch im Rahmen des CLOUD Acts.  

Konkrete Folgen hatte der DSK-Beschluss von 2020 nicht direkt. Von einem Office-365-Verbot, wie mancherorts zu lesen war, kann nicht die Rede sein. Es bedeutet allerdings, dass einzelne Aufsichtsbehörden in den Bundesländern dennoch gegen die Online-Nutzung von Word, Excel & Co. vorgehen könnten.  

Microsoft hatte darauf aber mit einer Anpassung ihrer Verträge reagiert (s.o.). Ob dies den Aufsichtsbehörden genügt oder ob weitere Anpassungen gefordert werden, bleibt abzuwarten. 

Die Datenschutzaufsichtsbehörden Baden-Württembergs, Bayerns, Hessens und des Saarlands teilten die Bewertung der DSK bereits damals schon nicht. Insbesondere, weil diese zu undifferenziert sei und Microsoft zwischenzeitlich bereits zweimal die überprüften Vertragsbestimmungen überarbeitet habe.  

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit im Februar 2021

Dennoch veröffentlichte die Berliner Datenschutz-Aufsichtsbehörde im Februar 2021 Hinweise zu Anbietern von Videokonferenzdiensten. Darin bemängelte sie, dass das Auftragsverarbeitungsverhältnis im Falle von Microsoft 365 mangelhaft sei. Insbesondere die Verarbeitung gemäß Art. 28 DSGVO sei unzureichend geregelt.

Der Datenschutzbeauftragte Niedersachsen im Juli 2021

Die Landesbeauftragte für den Datenschutz Niedersachsen schätzte den Einsatz von Office 365 ganz aktuell am 22.07.2021 weiter als sehr kritisch ein. Problematisch seien sowohl die Auftragsverarbeitungsverträge von Microsoft sowie die Übertragung von Telemetriedaten im Hintergrund, für die es nach derzeitigem Stand keine Rechtsgrundlage gebe. „Aufgrund der beschriebenen Gesamtsituation kann ich von einem Einsatz von Office 365 nach wie vor aus datenschutzrechtlicher Sicht nur dringend abraten“, schreibt die Landesdatenschutzbeauftragte deutlich. Und: „Ich hoffe, dass Microsoft die Gesprächsangebote der Datenschutzkonferenz nutzt und die erforderlichen Nachbesserungen umsetzt, um seinen Kundinnen und Kunden einen rechtskonformen Betrieb seines Produktes zu erleichtern.“  

Fazit: Rechtsunsicherheit

Es herrscht also Rechtsunsicherheit, ob ein datenschutzkonformer Einsatz von Microsoft 365 aktuell möglich ist. Unternehmen, die das Produkt nutzen, bewegen sich aber aus rechtlicher Sicht auf dünnem Eis – und das gleich aus mehreren Gründen.

Die rechtssicherste Möglichkeit, die Unternehmen und private Nutzer haben, ist aber natürlich, auf einen Anbieter auszuweichen, der nicht dem US-Recht unterliegt und den die Datenschutzbehörden aktuell nicht so kritisch begutachten.

Unabhängig von der rechtlichen Problematik gibt es ja viele Diskussionen, wie sicher Daten sind, die in die USA übermittelt werden. Man denke nur an die Snowden-Enthüllungen. Datenschutz hat eben in den USA einen anderen Stellenwert als in Europa.

ahe