25.04.2024Fachbeitrag

Update Datenschutz Nr. 176

Europäische Kommission verstößt gegen DSGVO – Wiederaufleben der Debatte um die Nutzung von Microsoft 365?

Microsoft 365 ist im datenschutzrechtlichen Diskurs ein Dauerbrenner. Seit vielen Jahren stehen die Aufsichtsbehörden der Nutzung des Produkts kritisch gegenüber. Grund dafür ist der Vorwurf unzureichender Beachtung datenschutzrechtlicher Regularien. Wir berichteten bereits Ende 2022 in unserem Update Datenschutz Nr. 125 von der Stellungnahme der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder („DSK“), welche Microsoft 365 aus mehreren Gründen für rechtswidrig erachtete. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit kam sogar bereits 2020 zu dem Ergebnis, dass ein rechtskonformer Einsatz von Microsoft 365 nicht möglich sei; wir berichteten hierzu im Update Datenschutz Nr. 80.

Die Thematik wurde nun auf internationaler Ebene durch den Europäischen Datenschutzbeauftragten („EDSB“) erneut aufgegriffen. Dadurch besteht die Gefahr, dass die Debatte insgesamt wieder aufflammt und auf die Tagesordnung der Aufsichtsbehörden gerät.

Hintergrund

Konkret geht es im Aufsichtsverfahren des EDSB um die Nutzung von Microsoft 365 durch die Europäische Kommission. Diese nutzt Microsoft 365 für ihre interne Kommunikation. Die Nutzung wurde seit Mai 2021 durch den EDSB geprüft. Auslöser der Prüfung war das Schrems II – Urteil des EuGH vom 16. Juli 2020 (Az. C-311/18), welches das EU-US Privacy Shield, das bis dahin Datenübermittlungen in die USA legitimierte, zu Fall brachte.

Die Kritik des EDSB

Laut Bericht des EDSB vom 11. März 2024 verstößt die Nutzung von Microsoft 365 durch die Europäische Kommission aus mehreren Gründen gegen europäisches Datenschutzrecht.

Schwerpunktmäßig liefert der EDSB zwei Vorwürfe: Zum einen habe die EU-Kommission die unsichere Datenübermittlung in Länder außerhalb der Europäischen Union („Drittländer“) nicht unterbunden. Sie habe es vielmehr unterlassen, ein hinreichendes Schutzniveau der personenbezogenen Daten zu gewährleisten, die über Microsoft 365 – insbesondere in die USA – übermittelt würden. Nach Auffassung des EDSB hätte Microsoft die Rechtsvorschriften aller Drittländer ausreichend prüfen müssen, um sicherzustellen, dass Microsoft 365 nicht in nach EU-Recht unzulässiger Weise Daten in Drittländer übermittelt.

Zum anderen sei nicht ermittelt worden, welche Daten genau bei der Nutzung von Microsoft 365 erhoben werden. In dem Auftragsverarbeitungsvertrag („AVV“) zwischen der Europäischen Kommission und Microsoft sei daher nicht hinreichend dargelegt, welche Art personenbezogener Daten erhoben werde und welche konkreten Empfänger diese erhalten. Ebenso seien die Verarbeitungszwecke unzureichend spezifiziert, was wiederum erforderlich zur Beurteilung der Notwendigkeit zusätzlicher Maßnahmen gewesen wären. Es sei insoweit versäumt worden, wirksame technische und organisatorische Maßnahmen zu ergreifen, die die Integrität und Vertraulichkeit der Verarbeitung gewährleisten.

Der EDSB verstärkt mit seinem Bericht die Bedenken, die bereits 2022 durch die DSK hervorgebracht wurden: Auch die deutschen Aufsichtsbehörden sehen und sahen die Datenübermittlungen in die USA als kritisch an, da sie nicht ohne weitere Schutzmaßnahmen möglich seien und Microsoft entsprechende Schutzmaßnahmen nicht treffe. Zugleich fehle die notwendige Transparenz in Bezug auf den Umgang mit Kundendaten durch eine mangelhafte Offenlegung der konkret stattfindenden Verarbeitungen. Dadurch werde die datenschutzrechtliche Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO für Verantwortliche erschwert. Ferner bestünden Bedenken hinsichtlich der unklaren und widersprüchlichen Implementierung der datenschutzrechtlichen Rückgabe- und Löschungspflichten in der AVV.

Gegenargumente von Microsoft

Microsoft selbst hält Microsoft 365 für datenschutzkonform. Dies geht aus einer 2022 veröffentlichten Stellungnahme des Unternehmens als Antwort auf die Bewertung der DSK hervor. Der Argumentation von Microsoft zufolge, dürften keine ausufernden Anforderungen an die Pflichten von Verantwortlichen gestellt werden. Andernfalls würde dies den technischen Fortschritt und die Digitalisierung blockieren. Insbesondere sei es praxisfern, dass zur Erfüllung der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO dem Kunden jegliche technische Funktionsweise eines datenverarbeitenden Programms vollständig dargestellt werden müsse. Laut eigenen Angaben erfülle Microsoft den geforderten Standard an Sicherheit und Integrität der Verarbeitung. Ebenso sei es nicht rechtlich geboten, jedes Restrisiko im Zusammenhang mit Datenübermittlungen in Drittländer auszuschließen, sodass die aktuellen Schutzmaßnahmen ausreichend seien.

Analyse

Anders als in den vorangegangenen Stellungnahmen enthält der Bericht des EDSB nun erstmals eine Untersagungsverfügung. Die Kommission wird angewiesen, bis zum 9. Dezember 2024 alle Verarbeitungen auszusetzen, die bei der Nutzung von Microsoft 365 Drittlandbezug aufweisen.

Kernproblem der Verfügung des EDSB ist, dass es für AVVs keine gesetzliche Grundlage gibt. Die inhaltlichen Anforderungen für AVVs ergeben sich nur lückenhaft aus Art. 28 Abs. 3 DSGVO. Dies führt naturgemäß zu Rechtsunsicherheit. Am 24. August 2023 hat der Landesbeauftragte für den Datenschutz Niedersachsen gemeinsam mit sechs weiteren Aufsichtsbehörden daher eine Handreichung veröffentlicht, wie AVVs bei der Nutzung von Microsoft 365 auszugestalten seien. In dieser Handreichung stellen die Aufsichtsbehörden ausführlich dar, wie detailliert aus ihrer Sicht entsprechende AVVs zu gestalten sind.

Die Verfügung des EDSB führt eindringlich die bestehenden Rechtsunsicherheiten in bizarrer Weise vor Augen: Die Europäische Kommission, welche die DSGVO selbst verabschiedet hat, verstößt nun gegen ebendiese. Es bleibt insoweit abzuwarten, wie die Europäische Kommission den Aufforderungen des EDSB bis Ende des Jahres nachkommen wird und wie sich die Streitigkeiten rund um Microsoft 365 weiterentwickeln. Die jetzige Auseinandersetzung könnte dazu führen, die Debatte auch hierzulande wieder zu entfachen.

Sowohl in der Beratungspraxis als auch im Rahmen von Unternehmenstransaktionen ist somit weiterhin auf das datenschutzrechtliche Risiko bei der Nutzung von Microsoft 365 hinzuweisen. Ob die Aufsichtsbehörden insoweit unmittelbar Sanktionen in Form von Bußgeldern verhängen werden, ist fraglich. Hiervon haben sie in der Vergangenheit abgesehen. Das Praxisrisiko ist daher gering: Die Erfahrung vergangener aufsichtsbehördlicher und gerichtlicher Verfahren hat gezeigt, dass vom Aufkommen datenschutzrechtlicher Bedenken bezüglich eines Produkts bis zu deren Bebußung – insbesondere bei Software – einige Jahre vergehen. Hinzu kommt, dass Microsoft in der Vergangenheit stets adäquat auf die behördlichen Anforderungen eingegangen ist und diese umgesetzt hat. Es sollte daher abgewartet werden, welche Abhilfemaßnahmen Microsoft dieses Mal trifft. Hierzu hat das Unternehmen bis zum 9. Dezember 2024 Zeit.

Empfohlenes Vorgehen zur Risikominimierung

Da ein Restrisiko verbleibt, sind auch nicht-staatliche Akteuren gut beraten, die Nutzung von Microsoft 365 durch datenschutzrechtliche Risikominimierungsmaßnahmen zu begleiten. Zu den effektivsten Risikominimierungsmaßnahmen zählen aus unserer Sicht z. B.:

  • Durchführung und Dokumentation einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO
  • Abschluss einer Betriebsratsvereinbarung gemäß § 87 Abs. 1 Nr. 6 BetrVG
  • Durchführung transparenter Betroffeneninformationen gemäß Art. 13 DSGVO
  • Eintrag in das Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO
  • Auswahl datenschutzfreundlicher Einstellungen durch die jeweiligen Microsoft 365 System-Administratoren.
Als PDF herunterladen

Ansprechpartner

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.