Geld & Erfolg | Damoklesschwert Microsoft 365

Datenschutzrecht Der Einsatz von Microsoft 365 ist in der Regel nicht rechtskonform, stellt ein Beschluss der Datenschutzkonferenz (DSK) von Bund und Ländern fest. Vieles sei zu vage, ein US-Zugriff nicht ausgeschlossen.

Von Gudrun Heurich

Die Nutzung von Cloud- Diensten hat in den letzten Jahren stark zugenommen, sowohl im privaten Bereich als auch in Unternehmen, denn sie bieten viele Vorteile: Die Cloud sammelt zentral Daten und Dokumente, auf die von jedem internetfähigen Gerät und Ort zugegriffen werden kann. Doch man vertraut damit dem amerikanischen Dienstleister Microsoft Daten an, die persönlich oder besonders schützenswert sind. Auch wenn die Angebote für Serverstandorte innerhalb der EU genutzt werden, kann nicht ausgeschlossen werden, dass Server und Mitarbeiter in den USA Zugriff haben.

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) entschied bereits 2022, dass eine datenschutzkonforme Nutzung von Microsoft Office 365 (und damit auch der Cloudlösung MS OneDrive) nicht möglich sei. Die DSK führte insbesondere folgende Gründe an:

1. Fehlende Details: Die Beschreibung der Verarbeitung in den Online-Dienstbedingungen und in der Auftragsabwicklung ist nicht detailliert genug, um die zulässige Verarbeitung durch Microsoft beurteilen zu können.
2. Keine Rechtsgrundlage für Telemetrie (Sammeln von Rohdaten, die per automatischer Datenübertragung durch einen im Hintergrund laufenden Dienst an den Entwickler übertragen werden): Für die Übermittlung von Telemetrie-Diagnosedaten an Microsoft gibt es keine Rechtsgrundlage.
3. Ungenauer Hinweis auf mögliche Übertragungen: Der vertragliche Vorbehalt der Weitergabe von Daten in gesetzlich vorgeschriebenen Fällen war zu abstrakt.

Rechtsanwalt Klemens M. Hellmann LL.M. von der Kanzlei Martini, Mogg, Vogt in Koblenz relativiert diese Ergebnisse etwas: „Hier ist anzumerken, dass Microsoft 365 aus einer Vielzahl verschiedener Produkte und Funktionen besteht, die sich fast wöchentlich ändern. In der Praxis hängt die Beurteilung daher wesentlich von der konkreten Nutzung ab.“ Laut seiner Einschätzung sind vor allem Anwendungen problematisch wie Azure Active Directory Premium P1 oder Azure Information Protection Premium P 1, welche den Schutz vor Cyberangriffen und Identitätsdiebstahl beinhalten, aber auch das Monitoring beziehungsweise Überwachen der Nutzer – und damit auch der Mitarbeiter – ermöglichen. Die Verwendung klassifizierter Dokumente lasse sich ebenfalls nachverfolgen. Auch die Microsoft 365 Apps for Enterprise und Exchange Online für Business-E-Mails und Kalendernutzung könnten das Risiko der Datenübermittlung in die USA bergen, der unverschlüsselte E-Mail-Versand mit sensiblen Inhalten könne nicht ausgeschlossen werden. Weitere datenschutzrechtliche Gefahren stellten die mobile Arbeit sowie Anwendungen, die Künstliche Intelligenz einsetzen, dar. Auch hier sei nicht kontrollierbar, welche personenbezogenen Daten auf welche Weise verarbeitet werden. „Die Anwendung Teams ist das wahrscheinlich vielseitigste Risiko, weil es hier zu einer gewollten Vernetzung von Unternehmen kommt, von denen man die datenschutzrechtliche Konfiguration nicht kennt und mit denen man keine Datenschutzvereinbarung geschlossen hat. Hier besteht ein dringender Nachholbedarf“, so der Fachanwalt.

Microsoft 365 in Schulen

Um die größtmögliche Sicherheit für die Nutzung der Microsoft 365-Anwendungen zu haben, können sich Unternehmen an den Anforderungen für die Nutzung an Schulen orientieren. Hier nutzen Schüler die Anwendungen, die personenbezogenen Daten werden von den Schulen verarbeitet. Weil es sich um Minderjährige handelt, ist der erforderliche Schutz noch höher. Weil auch Arbeitnehmer die Microsoft 365- Programme nicht unbedingt freiwillig nutzen, sondern weil es das Unternehmen fordert, ist die Situation in Bezug auf eine gewisse Fürsorgepflicht gegenüber den Nutzern ähnlich.

Bereits im Frühjahr 2022 hatte der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg im Rahmen eines Pilotprojekts Hinweise zur Nutzung von Microsoft 365 durch Schulen veröffentlicht. Er stellte ein sehr hohes Risiko für die Verletzung von Rechten und Freiheiten der betroffenen Personen − überwiegend Minderjährige − fest. Dabei gebe es Alternativen: Als Lernmanagementsystem könnten Moodle oder itslearning verwendet werden. Mit der Einbindung des Web-Konferenzsystems BigBlueButton können auch Videokonferenzen durchgeführt werden. In itslearning ist eine kollaborative Office-Suite integriert (Collabora Online), inklusive Textverarbeitung, Tabellenkalkulation und Präsentations- Software. Der Berufsschullehrerverband BW protestierte gegen die Alternativen, mit der Begründung, dass Microsoft 365 im späteren Berufsleben Standard sei. Dennoch riskieren Schulen, die Microsoft 365 weiterhin einsetzen, schadensersatzpflichtig nach Artikel 82 DSGVO zu werden oder Geldbußen nach Art. 83 DSGVO auszulösen. Das Bildungsministerium Rheinland- Pfalz hatte daher Schulen des Bundeslandes aufgefordert, für das Schuljahr 2022/23 auf die Anwendung Microsoft Teams zu verzichten.

Der Microsoft Standpunkt

Microsoft selbst hat in der Vergangenheit stetig versucht, nachzubessern. Doch von datenschutzkonformer Software oder der digitalen Souveränität der Nutzer ist man noch weit entfernt. Das liege an dem Grundproblem von Closed Source, so Rechtsanwalt Hellmann: „Niemand weiß, was in der verschlossenen Black Box tatsächlich passiert, denn niemand außer Microsoft und einigen amerikanischen Behörden haben Zugriff darauf. Die Unvereinbarkeit von Microsoft 365 mit europäischen Datenschutzgesetzen ist politikbedingt, je nach voreingestellter Konfiguration ('privacy by default'), aber auch Teil des Geschäftsmodells.“

Microsoft beteuert auf seiner Internetseite: „Unsere Microsoft 365-Angebote entsprechen geltendem Recht, insbesondere der DSGVO. Die Geschäftsdaten von Unternehmenskunden mit Sitz in Deutschland werden in deutschen Rechenzentren gespeichert.“ Die Sicherheit werde durch 24/7 Überwachung der Rechenzentren und biometrischer Zugangskontrolle geschützt. Außerdem gebe es einfache Tools und eindeutige Auswahlmöglichkeiten, welche die volle Kontrolle über die Daten der Unternehmen und deren Kunden ermöglichen. Die Vorgaben der DSGVO würden eingehalten durch vertragliche Vereinbarungen wie die EU-Standardvertragsklauseln, die Microsoft als Nutzungsbedingungen erachtet. Microsoft selbst verwende Kundendaten nicht für Werbezwecke und leite hieraus keine entsprechenden Informationen ab. „Ob diese Behauptungen tatsächlich zutreffen, ist schwer nachprüfbar“, sagt Hellmann.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) informiert auf einer eigenen Seite aktuell über die Problematik mittels FAQs. So widerspricht der LfDI den Aussagen von Microsoft pauschal mit der Aussage, es könne „nicht ausgeschlossen werden, dass der Anbieter bestimmte Nutzungsdaten für eigene Zwecke verwendet oder an Werbepartner weitergibt“. Aus Sicht des LfDI genügt die von Microsoft angebotene Option, problematische Daten auf europäischen Servern zu verarbeiten, für einen datenschutzkonformen Betrieb nicht aus.

Der aktuellen Stellungnahme des LfDI zufolge sind bei Übermittlungen personenbezogener Daten in die USA zusätzliche Maßnahmen zu ergreifen, die sicherstellen, dass ein im Wesentlichen gleichwertiges Schutzniveau wie in der EU gewährleistet wird. Insbesondere der Mustervertrag zur Auftragsverarbeitung bezüglich Microsoft Teams soll unzulässig von den Vorgaben des Art. 28 DSGVO abweichen. Andere Vorschläge sind pseudonymisierte dienstliche E-Mail-Adressen beziehungsweise Accounts und das Verbot der Nutzung privater Microsoft Accounts. Auch der jeweils genutzte Browser sollte auf die höchstmöglichen Datenschutzstandards eingestellt und vorkonfigurierte Terminal-Clients zwischengeschaltet sein.

Der neue Angemessenheitsbeschluss zum Datentransfer in die USA

Die DSGVO lässt eine Datenübertragung in Drittländer (außerhalb des Europäischen Wirtschaftsraums) nur dann zu, wenn bei der Verarbeitung ein gleichwertiges Datenschutzniveau erhalten bleibt. Eine derartige Gleichwertigkeit kann die EUKommission in einem sogenannten „Angemessenheitsbeschluss“ feststellen. Bei dem im Juli 2023 ergangenen neuen Beschluss handelt es sich um die Grundlage des „EU-US Data Privacy Framework“. Die ehemaligen Angemessenheitsbeschlüsse vom EuGH wurden für ungültig erklärt. Dazu teilte die DSK im September 2023 in einer Presseerklärung mit: „Zum jetzigen Zeitpunkt handelt es sich bei dem Angemessenheitsbeschluss um geltendes EU-Recht. Neben den vorgesehenen Evaluationen durch die EU-Kommission, aus denen Anpassungen oder eine Aufhebung resultieren können, bestehen Möglichkeiten für eine gerichtliche Überprüfung des neuen Angemessenheitsbeschlusses“.

Fazit

Die Hauptbotschaft der DSKan Unternehmen, die Microsoft 365 einsetzen, lautet: Sie tragen selbst die Verantwortung und müssen die Datenschutzkonformität ihrer Prozesse nicht nur sicherstellen, sondern auch nach Artikel 5 Abs. 2 DSGVO nachweisen. Dieser Nachweis kann nicht allein durch Bezugnahme auf Unterlagen von Microsoft geführt werden, sondern die Verantwortlichen müssen sich von der Rechtskonformität aller Verarbeitungen überzeugenund gegebenenfalls weitergehende Ermittlungen dazu anstellen.

Weiterhin empfiehlt der Koblenzer Rechtsanwalt Unternehmen, sich im Zweifel an der restriktiveren Ansicht des LfDI RP zu orientieren und mindestens die Abwägung zu den einzelnen Konfigurationsentscheidungen zu dokumentieren. In jedem Fall sollte aber unmittelbar nach durchgeführten Microsoft-Produktupdates überprüft werden, ob sich die Konfigurationen durch das Update geändert haben.