Teil 3: Microsoft 365: In der heutigen digitalen Welt sind zunehmend mehr Unternehmen als auch Behörden zwingend auf die Dienste von Cloud-Anbietern und IT-Infrastrukturen angewiesen. Microsoft ist hier ein bedeutender Partner. Microsoft kann auch als Auftragsverarbeiter dienen und so die Verantwortung für die Verarbeitung personenbezogener Daten im Auftrag seiner Kunden übernehmen. Dies birgt jedoch einige Risiken, die es zu erblicken und einzuordnen gibt, damit Unternehmen und Behörden sich datenschutzkonform aufstellen. Im folgenden Newsletter soll nun ein Überblick über diese Problematik geschaffen werden.
Handreichung der Datenschutzaufsichtsbehörden der Länder vom September 2023
Die Handreichung der Datenschutzaufsichtsbehörden der Länder vom September 2023 gibt hier nützliche Hinweise wie der Einsatz von Microsoft 365 gelingen kann.
Um die Verantwortlichen, die ein Microsoft 365-Produkt einsetzen möchten, bei der Erfüllung ihrer Rechenschaftspflicht zu unterstützen, veröffentlichten die Datenschutzaufsichtsbehörden der Länder, darunter der Bayerische Landesbeauftragte für den Datenschutz (BayLfD), die Handreichung Microsoft als Auftragsverarbeiter beim Einsatz von „Microsoft 365“ (1. September 2023). Dieses Dokument bezieht sich auf den „Datenschutznachtrag zu den Produkten und Services von Microsoft“ vom 1. Januar 2023.
Die Handreichung behandelt nicht den internationalen Datentransfer und den extraterritorialen Anwendungsbereich von US-Gesetzen, da deren Bewertung zum Zeitpunkt der Erstellung des Dokuments noch nicht abgeschlossen war. Die Handlungshinweise, deren Kernaussagen im Folgenden dargestellt werden, sind in drei Abschnitte gegliedert: Nach einer Vorbemerkung (S. 2-3) werden in einem Überblick „wesentliche Handlungshinweise“ skizziert (S. 3-7) und in der Anlage genauer erläutert (S. 8-21). Durch eigene Maßnahmen müssen die Verantwortlichen sicherstellen, dass beim Einsatz von Microsoft 365 so wenig personenbezogene Daten wie möglich verarbeitet werden (Prinzip der Datensparsamkeit), z.B. durch die Verwendung pseudonymer Mailadressen/Accounts (Pseudonymisierung) für die Beschäftigten. Mit Blick auf den konkreten Fall ist die Angemessenheit der technisch-organisatorischen Maßnahmen (TOM) zu prüfen; gegebenenfalls müssen eigene TOM vorgenommen werden. (S. 2, 3).
Des Weiteren obliegt es den Verantwortlichen, die Microsoft 365 einsetzen möchten, „alle ihnen zur Verfügung stehenden Möglichkeiten zu nutzen, auf datenschutzkonforme Vereinbarungen mit Microsoft hinzuwirken und eine datenschutzkonforme Nutzung zu ermöglichen“ (S.2). Eine zwischen dem Verantwortlichen und Microsoft abzuschließende Zusatzvereinbarung zum Data Processing Agreement (DPA) soll klarstellen, dass diese Vereinbarung Vorrang gegenüber allen Vertragstexten hat, die durch MS einbezogen werden (d.h. gegenüber DPA, ProductTerms und einzelnen Produktdokumentationen), (S.3). Die Handreichung identifiziert die folgenden änderungsbedürftigen Problemfelder des DPA, zu denen jeweils konkrete Handlungshinweise gegeben werden:
- Festlegung von Art und Zweck der Verarbeitung, Art der personenbezogenen Daten;
- Die eigene Verantwortlichkeit von Microsoft im Rahmen der Verarbeitung für Geschäftstätigkeiten, die durch Bereitstellung der Produkte und Services an den Kunden veranlasst sind („für Microsofts Geschäftszwecke“);
- Weisungsbindung, Offenlegung verarbeiteter Daten, Erfüllung rechtlicher Verpflichtungen;
- Umsetzung technischer und organisatorischer Maßnahmen (Art. 32 DSGVO);
- Löschen personenbezogener Daten;
- Information über Unterauftragsverarbeiter;
- Weitere Hinweise (wie z.B. die Prüfung einer „On-Premise-Lösung“ von Microsoft 365 als Alternative).
Wie in der Handreichung klargestellt wird, ersetzt die Umsetzung der Empfehlungen insbesondere nicht die erforderliche datenschutzrechtliche Bewertung sämtlicher technischer Funktionen von Microsoft 365, die dem Verantwortlichen faktisch zur Verfügung gestellt werden. Diese Bewertung hängt davon ab, welche Funktionen für die Verarbeitung welcher personenbezogenen Daten eingesetzt werden sollen.
Die Einschätzung der Aufsicht sind nicht frei von berechtigter Kritik, da sich die Aufsichtsbehörden regelmäßig auf veraltete Verträge Bezug nehmen. So ist das jüngste DPA von Microsoft aus Januar 2024, das von den Aufsichten in bezuggenommene von Januar 2024. Ferner fehlt für die Gesamtbewertung der Einbezug der Produktbestimmungen und der Produktdokumentation, da nur mit diesen zusammen eine Gesamtbetrachtung möglich ist.
Fazit:
Der Einsatz von Microsoft-Produkten stellt Behörden als auch Unternehmen vor Herausforderungen. Behörden als auch Unternehmen sollten sich daher umfassend mit der Problematik von Microsoft als Auftragsverarbeiter auseinandersetzen, um so präventiv vorzusorgen und es erst gar nicht zu einem solchen Szenario kommen zu lassen.
Die Insidas hilft Ihnen hierbei von Anfang an uns berät Sie gerne bei dem Einsatz von Microsoft 365 bezogen auf Datenschutz und Informationssicherheit.