Nachdem es viele Monate still um die Datenschutzkonformität von Microsoft 365 (früher Office 365) war, kommt nun wieder Bewegung in die Sache. Mehrere Aufsichtsbehörden und ein gewichtiges Gerichtsurteil machen den Einsatz von Microsoft 365 im Unternehmen nicht gerade leichter. Ein Überblick zu den aktuellen Entwicklungen rund um das beliebte Softwarepaket.
Videokonferenztools in Berlin
Bereits Anfang Juli 2020 hatte die Berliner Beauftragte für Datenschutz und Informationsfreiheit vom Einsatz des Videokonferenz-Tools Teams von Microsoft abgeraten, da einige Formulierungen in den entsprechenden Verträgen zumindest unklar seien. Microsoft hat dieser Auffassung widersprochen und einen Großteil der Kritikpunkte auf Übersetzungsfehler geschoben. Zudem soll die Behörde nicht mit den zur Verfügung gestellten Informationen gearbeitet haben.
Die übrigen deutschen Aufsichtsbehörden haben sich dieser Auffassung nicht offiziell angeschlossen, weswegen diese Einschätzung wohl primär in Berlin Beachtung finden sollte.
Beachten Sie dazu auch unseren großen Datenschutzvergleich von Videokonferenztools.
Bericht des europäischen Datenschutzbeauftragten
Fast zeitgleich hat der europäische Datenschutzbeauftragte einen 30-seitigen Bericht zum Einsatz von Microsoft-Produkten und -Diensten veröffentlicht. In diesem werden fünf Hauptkritikpunkte erfasst, welche sich durch Einstellungen und vertragliche Anpassungen lösen lassen sollen:
- Microsoft agiert in Teilen als Verantwortlicher für die personenbezogenen Daten, was nicht ohne Weiteres möglich ist. Daher sollte vertraglich vereinbart werden, dass Microsoft eben kein Verantwortlicher werden und lediglich Auftragsverarbeiter sein soll.
- Microsoft soll beim Einsatz von Subdienstleistern zu intransparent vorgehen. Der Verantwortliche hat keine Möglichkeit der Auswahl oder der Kontrolle bei den Subdienstleistern. Es sollten daher der Einsatz neuer Subdienstleister transparenter geregelt und insbesondere Kontrollen vor Ort vertraglich festgelegt werden.
- Des Weiteren wird der internationale Datentransfer kritisiert. Es sei nicht klar geregelt, wo personenbezogene Daten gespeichert und wohin sie übermittelt werden. Es werden zudem keine Maßnahmen eingerichtet, die die Daten angemessen außerhalb der EU bzw. des EWR schützen. Es sollte daher genau geregelt werden, wo personenbezogene Daten gespeichert werden und wie der Schutz in Drittländern sichergestellt wird.
- Die Datenübermittlung von Diagnosedaten ist ebenfalls nicht in vollem Umfang rechtmäßig. An dieser Stelle sollten die in unserem Ratgeberartikel zum datenschutzkonformen Einsatz von Microsoft 365 genannten Konfigurationen umgesetzt werden, um die Übermittlung der Diagnosedaten weitestgehend zu unterbinden.
- Es fehlt an Transparenz hinsichtlich der Art, des Umfangs und des Zwecks der Verarbeitung. Daher ist es dem Verantwortlichen nicht möglich, die Risiken für die betroffene Person korrekt zu bestimmen und diese entsprechend zu informieren. Es sollten daher die Umstände der Verarbeitung vertraglich genau festgelegt werden.
Wie sich zeigt, ist in den meisten Fällen eine vertragliche Anpassung unumgänglich. Inwiefern eine solche Vertragsanpassung realistisch ist, hängt sehr stark von der eigenen Marktmacht ab. Wohl nur größere Unternehmen können Microsoft hier zu einer Änderung bewegen. Für alle anderen bleibt lediglich zu hoffen, dass Microsoft selbst einlenkt, um negative Folgen zu vermeiden. Schließlich besteht ein Bußgeldrisiko nicht nur für den Verantwortlichen, sondern auch für den Auftragsverarbeiter.
Privacy-Shield, EuGH & Schrems II
Hinzu kommt das Schrems II-Urteil des EuGHs vom 16. Juli 2020, welches den Datentransfer in die Vereinigten Staaten faktisch in weitem Teilen untersagt. Davon sind auch die Dienste von Microsoft betroffen, die in weiten Teilen personenbezogene Daten in die Vereinigten Staaten weiterleiten. Allerdings konnten sich die Aufsichtsbehörden, wieder mit Ausnahme von Berlin, noch nicht dazu durchringen, ein klares Verbot gegen den Datentransfer auszusprechen. Hier dürften neben rechtlichen vor allem wirtschaftliche und politische Erwägungen eine Rolle spielen.
Offizielle Einschätzung der deutschen Datenschutzkonferenz
Laut Berichten des Nachrichtenmagazins Der Spiegel soll Mitte September ein Unterarbeitskreis der Deutschen Datenschutzkonferenz (DSK) zu dem Entschluss gekommen sein, dass sich Microsoft 365 nicht datenschutzkonform einsetzen lässt. Dies gelte auch, wenn die in unserem Artikel empfohlenen Einstellungen befolgt werden. Die Experten des Arbeitskreises hätten sich monatelang mit den Verträgen und Unterlagen beschäftigt und seien am Ende zu diesem Ergebnis gekommen.
Allerdings wurde der Bericht zu diesem Zeitpunkt noch nicht offiziell veröffentlicht. Hintergrund war, dass die Aufsichtsbehörde in Bayern Widerspruch gegen den Bericht und die Empfehlung erhoben haben. Formulierungen in dem Bericht seien rechtlich fragwürdig, weswegen eine Publikation noch nicht erfolgt war.
Inzwischen gibt es weitere Informationen zur Einschätzung der deutschen Datenschutzkonferenz. Diese hat scheinbar bereits am 22. September mit knapper Mehrheit beschlossen, dass kein datenschutzgerechter Einsatz von Microsoft 365 möglich ist. Hier bildet die Bewertung des Arbeitskreises vom 15. Juli 2020 die Grundlage für die Entscheidung. Hauptkritikpunkte sind die Intransparenz der Art und Verarbeitung von Daten und die fehlende Rechtsgrundlage für die Verarbeitung von Telemetriedaten.
Hoch interessant ist dabei, dass die Entscheidung denkbar knapp mit neun zu acht Stimmen ausgefallen ist. Gegen die uneingeschränkte Zustimmung sprachen sich unter anderem die Landesbeauftragten für den Datenschutz Baden-Württemberg, Bayern, Hessen und im Saarland sowie der Präsident des Bayerischen Landesamts für Datenschutzaufsicht aus. Diese Behörden sahen sich überdies zu einer eigenen Pressemitteilung genötigt, welche am 2. Oktober veröffentlicht wurde. In dieser stimmt man zwar damit überein, dass man bei Microsoft Office 365 erhebliche datenschutzrechtliche Verbesserungspotenziale sehe. Allerdings wäre die Gesamtbewertung der DSK zu undifferenziert, weswegen man diese nicht teilen könne. Zudem wurden alte Vertragsdokumente als Grundlage der Prüfung herangezogen, die in der Zwischenzeit bereits verbessert wurden. Man kritisiert ebenfalls, dass Microsoft nicht angehört wurde, was sich in einem rechtsstaatlichen Verfahren jedoch gehöre.
Erwähnt sei noch, dass auch Rheinland-Pfalz und Sachsen gegen die Entscheidung gestimmt, sich jedoch nicht an der Pressemitteilung beteiligt haben.
In der Folge hat die DSK einstimmig beschlossen, dass nun eine Arbeitsgruppe eingesetzt wird, die unter Federführung der Landesbeauftragten für den Datenschutz Brandenburg und des Bayerischen Landesamts für Datenschutzaufsicht zeitnah Gespräche mit dem Hersteller aufnehmen soll. Die Bewertung vom 15. Juli 2020 soll dabei als relevante Arbeitsgrundlage dienen. Insgesamt wird das ambitionierte Ziel verfolgt, gemeinsam mit Microsoft den Datenschutz von Microsoft 365 auf ein Niveau zu heben, dass das Produkt bedenkenlos in Deutschland eingesetzt werden kann. Microsoft hat bereits zu erkennen gegeben, dass man sich am Austausch beteiligen möchte.
Aktuelle Handlungsempfehlung
Wer vollständig rechtssicher agieren möchte, der muss aktuell auf den Einsatz von Microsoft 365 verzichten. Allerdings dürfte das für die wenigsten Unternehmen in Frage kommen, da die Software des Herstellers omnipräsent im Alltag ist. Wie also damit umgehen?
Zunächst ist es wichtig, dass nach Möglichkeit alle Konfigurationen zur Verbesserung des Datenschutzes (gemäß unserer Anleitung) vorgenommen werden. Doch selbst wenn alle Punkte beachtet werden, bleibt ein gewisses Restrisiko. Nüchtern betrachtet dürfte dieses in den Bundesländern, die gegen die Entscheidung votiert hatten, gering ausfallen. Es wäre durchaus schizophren, wenn einerseits der Beschlussfassung nicht zugestimmt wird, andererseits jedoch gegen den Einsatz vorgegangen wird. Durch ein solches Verhalten wird die Glaubwürdigkeit und Eigenständigkeit aufs Spiel gesetzt. Zudem wäre es fragwürdig, wenn gegen den Nutzer vorgegangen wird, der in der Praxis keine Einflussmöglichkeit auf die Verträge hat, und nicht gegen Microsoft selbst. Ferner sprechen die genannten Aufsichtsbehörden von Rechtsunsicherheiten und nicht von einer Rechtswidrigkeit. Daher scheint es nicht sehr wahrscheinlich, dass man während der bald startenden Diskussion mit Microsoft bereits gegen Unternehmen vorgeht, die Microsoft 365 im Einsatz haben.
Anders ist dies in den übrigen Bundesländern. Dort vertreten die Aufsichtsbehörden zum jetzigen Stand, dass der Einsatz gegen geltende Datenschutzgesetze verstößt. Es ist daher nicht auszuschließen, dass diese Einschätzung bei der Prüfung von Unternehmen herangezogen wird. Insbesondere die Berliner Aufsichtsbehörde hat sich den Ruf erarbeitet, schneller gegen etwaige Missstände in Unternehmen vorzugehen und entsprechende Bußgelder zu verhängen. Als Argumentation der Verantwortlichen bliebe dann nur noch, dass die bisherige Bewertung auf veralteten Dokumenten beruht und diese zunächst aufgrund der aktualisierten Vertragsunterlagen erneuert werden müsste.
Im Ergebnis bleibt also in jedem Fall ein Restrisiko, welches je nach zuständiger Aufsichtsbehörde unterschiedlich hoch zu bewerten ist. Es bleibt daher abzuwarten, wie die anstehenden Gespräche mit Microsoft verlaufen und wie sich die Aufsichtsbehörden in Zukunft hierzu äußern. Verantwortliche sollten in jedem Fall wachsam bleiben, ob der Einsatz von Microsoft 365 bei einer Prüfung durch Aufsichtsbehörden bei anderen Unternehmen zukünftig bemängelt wird.
“Hintergrund der Datenschutzprüfungen bei Office 365”
Microsoft stand mit seinen Anwendungen Office ProPlus (Office 365, Office 2016 und Office 2019) seit längerem wegen übermäßiger Datennutzung in der Kritik. Die Einführung von Microsoft Office bei den öffentlichen Behörden in den Niederlanden nahm die dortige Aufsichtsbehörde zum Anlass, eine Datenschutz-Folgenabschätzung (DSFA) von Office ProPlus vorzunehmen.
Hintergrund der Datenschutzprüfung von MS Office
Hintergrund der Prüfung durch die Datenschutzaufsichtsbehörde waren Vertragsverhandlungen der niederländischen Regierung mit Microsoft. Zu dieser Zeit nutzten etwa 300.000 Arbeitsplätze bei den niederländischen Behörden Microsoft-Office-Anwendungen. Damals wurden in Office verarbeitete Daten noch lokal bei der jeweiligen Behörde auf deren Serversystemen gespeichert. Es war jedoch geplant, in Zukunft auch die Microsoft Cloud mit SharePoint und OneDrive zu nutzen. Daher umfasste die Prüfung sowohl die lokale als auch die Cloud-Speicherung. Getestet wurde zudem die Web-Version von Office 365.
Nicht erst seit Windows 10 war bekannt, dass Microsoft vermehrt Daten von Nutzern auch ohne deren Wissen oder Einwilligung sammelt. Aus diesem Grund entschied sich die niederländische Datenschutzbehörde eine Datenschutzfolgenabschätzung gemäß DSGVO vorzunehmen. Eine solche DSFA ist durchzuführen, wenn durch die Form der Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Vereinfacht gesagt, bewertet die Behörde dabei, ob die Verarbeitung noch den datenschutzrechtlichen Vorgaben entspricht. Da die Software in diversen Behörden genutzt werden sollte (genannt werden im Bericht u. a. Ministerien, Justiz, Polizei und Steuerbehörden), ging es hier nicht nur um die personenbezogenen Daten der Mitarbeiter selbst, sondern auch um die Informationen zu nahezu allen niederländischen Staatsbürgern.
Aufgrund des breiten Einsatzspektrums stellte der Bericht gleich eingangs klar, dass er keine abschließende Bewertung vornimmt. Dies ist dadurch bedingt, dass nicht in jedem Bereich gleich sensible Daten verarbeitet werden. Zudem war der Bericht nur eine Momentaufnahme, da Microsoft im Anschluss noch mehr Informationen zur Verfügung stellte, so dass der Bericht aktualisiert und neue Versionen veröffentlicht wurden.
Um welche Daten geht es bei der Office-Nutzung?
Aktuell ist nicht bekannt, welche Daten konkret an Microsoft übertragen werden, da hierüber keine Informationen existieren und die Datenübertragung zu Microsoft verschlüsselt erfolgt. Fest steht nur, dass Daten an Microsoft in die Vereinigten Staaten übertragen werden. Aufgrund des Einsatzbereichs ging es in der DSFA nicht nur um die Informationen der Nutzer (Beamte/Mitarbeiter) selbst, sondern auch um die Inhalte der Dokumente.
Ein Problem besteht bereits in der Definition der übertragenen Daten. Orientiert man sich an der Logik der europäischen ePrivacy-Richtlinie, so wird zwischen drei Kategorien von Daten unterschieden:
- Der Inhalt der Kommunikation mit Microsoft, also die Dokumente und Daten selbst,
- Diagnosedaten, welche das Verhalten des individuellen Nutzers in Event Logs speichert und
- Funktionsdaten, welche notwendig sind, um die Verbindung zu Microsoft herzustellen.
Als Beispiel für Funktionsdaten wird etwa die Datenverarbeitung eines E-Mail-Servers genannt, der gewisse Daten benötigt, um einen Nutzer zu authentifizieren oder die Gültigkeit von dessen Lizenz zu überprüfen. Ebenso fällt hierunter der Übersetzungsservice, der nicht nur den zu übersetzenden Text überträgt, sondern ebenfalls den vorhergehenden und nachfolgenden Satz, um ein besseres Übersetzungsergebnis zu erlangen.
Der Unterschied zwischen Diagnose- und Funktionsdaten ist, dass letztere nur kurzzeitig verarbeitet und sofort gelöscht oder anonymisiert werden müssen. Solange Microsoft diese Daten also nicht längerfristig speichert oder ausreichend anonymisiert speichert, handelt es sich nicht um Diagnosedaten und die Verarbeitung ist datenschutzrechtlich unproblematisch.
Hier zeigt sich jedoch das angesprochene Problem: Microsoft nimmt eine andere Datenklassifizierung als nach der Logik der die ePrivacy-Richtlinie vor. Diagnosedaten umfassen für Microsoft lediglich die von Office über das Verhalten der Nutzer gesammelten Telemetriedaten. Ansonsten existiert keine Kategorie für Metadaten, die sonstige Telemetriedaten oder andere Metadaten erfasst und in Server Logs speichert. Microsoft nutzt hingegen den Begriff Nutzerdaten für alle vom Benutzer zur Verfügung gestellten Daten bei der Nutzung der Software.
Parallelen von Office zu Windows 10
Microsoft sammelt also Diagnosedaten auf verschiedene Arten, etwa systemgenerierte Event Logs oder über die Office-Telemetriedaten. Bereits unter Windows 10 gab es das Problem, dass Microsoft heimlich und verschlüsselte Daten abgegriffen und verschlüsselt an die eigenen Server in den USA übermittelt hat. Man konnte damals lediglich einen Datenstrom zu Microsoft nachvollziehen, hatte jedoch keine Informationen darüber, welche Daten und in welcher Menge diese übertragen wurden.
Die niederländische Aufsichtsbehörde stellte damals fest, dass Microsoft gegen geltendes Datenschutzrecht verstößt. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) äußerte sich in dieser Sache kritisch. Microsoft gab im Anschluss an die Untersuchungen durch diverse europäische Datenschutzbehörden Auskunft über die Datennutzung und stellte ein Analysetool zur Überprüfung der übertragenen Daten zur Verfügung. Es stellte sich heraus, dass Telemetriedaten von bis zu 1.200 verschiedenen Ereignissen an Microsoft übertragen und diese von zehn Teams ausgewertet wurden.
Diese Grenze wird bei den Office-Anwendungen um ein Vielfaches überschritten. Es werden zwischen 23.000 und 25.000 verschiedene Ereignisse an Microsoft übermittelt. In diesem Bereich ist die Aufklärung noch nicht beendet, da nicht einmal Microsoft selbst weiß, welche Arten von Daten hierbei genau übertragen werden. Diese Daten werden von 20 bis 30 Teams ausgewertet. Es zeigt sich also, dass die Datensammelwut von Office-Anwendungen weitaus höher ist als die unter Windows 10.
Ein Analysetool, um den Datenfluss einfach und vollständig zu überprüfen, existiert aktuell noch nicht. Vor dem Bericht ging Microsoft nicht einmal davon aus, dass Telemetriedaten überhaupt personenbezogene Daten enthalten. Diese Ansicht änderte sich, nachdem Administratoren der Behörden die Übertragung von Dateinamen, Dateipfade und E-Mail-Betreffe in Logs nachweisen konnten.
Die Rolle von Microsoft
Eine weiteres von der Behörde aufgedecktes Problem ist die Rolle von Microsoft im Rahmen der Datenverarbeitung. Microsoft selbst sieht sich lediglich als Auftragsverarbeiter, mit Ausnahme der nicht notwendigen Connected Services. Bei letzteren sieht sich Microsoft selbst als Verantwortlicher und gibt zwölf sehr weit gefasste Verarbeitungszwecke an. Eine Übersicht dieser Connected Services findet sich in Annex 1 (Seite 88) des Berichts. Sofern in der dritten Spalte Microsoft als „Controller“ identifiziert ist, handelt es sich um nicht notwendige Connected Services.
Hingegen dürfte Microsoft bei allen anderen Anwendungen als Auftragsverarbeiter lediglich Daten auf dokumentierte Weisung des Auftraggebers hin verarbeiten. Dies widerspricht allerdings den Zwecken, für die Microsoft von Office erhobene Diagnosedaten verarbeiten möchte:
- Sicherheit,
- Aktualität,
- Funktionalität,
- Produktentwicklung,
- Produktneuerungen,
- Ergebnisse aus Langzeitanalysen zur Unterstützung von maschinellem Lernen,
- Zur gezielten Anzeige von Empfehlungen für den Nutzer sowie
- Zwecke, die Microsoft für vereinbar mit diesen sieben Punkten hält.
Es zeigt sich, dass Microsoft die erhaltenen Daten für eigene Zwecke verwendet und auch die Mittel zur Verarbeitung festlegt. Microsoft regelt ebenfalls die Speicherdauer, welche mit 30 Tage bis 18 Monate angegeben wird, wenn notwendig, sogar noch länger. Es ist auch nicht möglich diese Daten einzeln zu löschen, außer durch die Löschung des gesamten Accounts. Aus diesem Grund ist davon auszugehen, dass Microsoft nicht als Auftragsverarbeiter, sondern als Verantwortlicher agiert. Da jedoch nicht nur Microsoft die Zwecke und Mittel zur Verarbeitung festlegt, sondern ebenso die Behörden, liegt eine gemeinsame Verantwortlichkeit gem. Art. 26 DSGVO vor.
Betrachtet man Art. 6 DSGVO als Rechtsgrundlage für die Datenverarbeitung, so lässt sich lediglich eine Rechtmäßigkeit für die ersten drei Zwecke begründen. Für alle anderen Verarbeitungen besitzen weder Microsoft noch die jeweiligen Behörden die erforderliche Berechtigung.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!