01.12.2022FachbeitragDatenschutz

Update Datenschutz Nr. 125

Microsoft 365 und der Datenschutz: US-Datenübermittlung unzulässig, Einwilligungen unwirksam

Rund um Microsoft 365 und die Nutzung in Unternehmen und Verwaltung gab es zuletzt immer wieder Diskussionen. Obwohl vielfach eingesetzt, vertraten die deutschen Aufsichtsbehörden schon lange die Auffassung, dass das US-Unternehmen die Anforderungen an den Datenschutz unzureichend umsetzt. Zu diesem Ergebnis kommt die Datenschutzkonferenz der Deutschen Aufsichtsbehörden (DSK) auch in einer Festlegung aus dem November 2022, in der sie sich mit dem erst am 15. September 2022 veröffentlichten Datenschutznachtrag zu den Produkten und Services von Microsoft beschäftigt.

Demnach informiert Microsoft immer noch ungenügend über die von dem Unternehmen durchgeführte Verarbeitung personenbezogener Daten, was unter anderem dazu führen soll, dass eine Datenverarbeitung durch Microsoft auf Grundlage einer Einwilligung unzulässig sei. Zudem sei aktuell kein Fall denkbar, in dem eine Verarbeitung personenbezogener Daten, die der DSGVO unterliegen, auf den Microsoft-US-Servern zulässig ist.

Anders als in vorangegangenen Stellungnahmen adressiert die DSK unmittelbar die Verantwortlichen, also vor allem die Unternehmen, die MS 365 zur Verarbeitung personenbezogener Daten nutzen. Unternehmen sollten deshalb spätestens jetzt tätig werden, um Bußgelder zu vermeiden.

A. Hintergrund

Hintergrund der behördlichen Überprüfungen von Microsoft sind unter anderem die strengen Anforderungen an den Transfer personenbezogener Daten in nicht-EU-Länder sowie die Urteile des EuGH, der erst das Safe-Harbor-Abkommen mit den USA und dann den EU-US-Privacy-Shield für unwirksam erklärte. Seitdem liegt zum US-Transfer kein Angemessenheitsbeschluss gemäß Art. 45 DSGVO mehr vor, der den Einsatz von US-Anbietern ohne weitere Maßnahmen ermöglicht. Aktuell befinden sich EU und USA in den Abstimmungen zu einem „Privacy Shield II“. Es gibt jedoch bereits jetzt erhebliche Zweifel daran, dass die zu diesem Zweck erlassene US-Durchführungsverordnung (Executive Order) in der Lage ist, ein Datenschutzniveau herzustellen, das dem in der EU entspricht (wir berichteten). Der Einsatz von US-Anbietern bleibt also schwierig.

Nachdem das OLG Karlsruhe in einem Vergaberechtsstreit festgestellt hatte, dass der Einsatz eines europäischen Tochterunternehmens eines US-Anbieters (hier ging es um AWS) nicht schon per se zu einem Datenschutzverstoß führt (Beschluss vom 7. September 2022, 15 Verg 8/22; Heuking berichtete), war zuletzt die Hoffnung gewachsen, dass eine rechtskonforme Nutzung der Dienste der EU-Töchter von US-Unternehmen, etwa der Microsoft Ireland Operations Ltd., möglich ist. Diese Hoffnung bekommt durch die Stellungnahme der DSK nun einen Dämpfer.

Bereits 2020 kamen die Aufsichtsbehörden zu dem Ergebnis, dass der datenschutzkonforme Einsatz von Microsoft auf Grundlage der zu diesem Zeitpunkt aktuellen Vertragsdokumente nicht möglich war (Heuking berichtete über die Kritik der Berliner Beauftragten für Datenschutz und Informationsfreiheit im Juli 2020). Infolgedessen sollte eine Arbeitsgruppe zusammen mit Microsoft die für einen rechtskonformen Einsatz in Europa notwendigen Änderungen bei dem US-Unternehmen einleiten. Obwohl diese Gespräche zwischenzeitlich beendet wurden, äußert die DSK auch an der neuesten Vertragsänderung bei Microsoft erhebliche Kritik.

B. Die Kritik der DSK

Der von der DSK bewertete Datenschutznachtrag von Microsoft, soll das bisherige Data Protection Addendum (DPA) von Microsoft ersetzen, um so unter anderem den Anforderungen der neuen EU-Standarddatenschutzklauseln zum Datentransfer in Drittländer (Heuking berichtete) zu genügen, die ab dem 27. Dezember 2022 auch für Altverträge zwingend verwendet werden müssen.

Obwohl dieser Datenschutznachtrag das Ergebnis der Gespräche mit Microsoft sein soll, attestiert die DSK diesem nur „geringfügige Verbesserungen“, ein datenschutzkonformer Einsatz von MS 365 bleibt schwierig. Insbesondere habe Microsoft keine Anpassungen an den tatsächlichen Verarbeitungen vorgenommen und behält sich weiterhin vor Daten zu nicht weiter konkretisierten „Geschäftstätigkeiten“ zu verarbeiten.

In der Regel setzen Unternehmen MS 365 auf Grundlage eines Vertrags über Auftragsverarbeitung ein (Art. 28 DSGVO). Für eine solche Privilegierung muss der Auftraggeber die alleinigen Weisungsrechte haben, die jedoch nicht umfassend ausgeübt werden können, da sich Microsoft die Verarbeitung zu eigenen Zwecken vorbehält. Das Weisungsrecht bleibt zudem eingeschränkt, wenn die Offenlegung der Daten durch Microsoft rechtlich vorgeschrieben oder im Datenschutznachtrag beschrieben ist. Dass Microsoft diese Offenlegungen nicht auf Fälle beschränkt, die auf Grundlage von Unions- oder mitgliedsstaatlichem Recht vorgeschrieben sind, steht im Widerspruch zu Art. 28 Abs. 3 S. 2 lit. a DSGVO.

Der Bericht  der DSK-Arbeitsgruppe „Microsoft-Onlinedienste“ richtet sich jedoch nicht an das US-Unternehmen selbst, sondern an datenschutzrechtliche Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO, die Microsoft-Dienste zur Verarbeitung personenbezogener Daten nutzen.

Diese sind gemäß Art. 5 Abs. 2 DSGVO dazu verpflichtet nachzuweisen, dass sie die in Art. 5 DSGVO niedergelegten Datenschutzgrundsätze einhalten („Rechenschaftspflicht“). Laut der DSK sei genau dieser Nachweis auf Grundlage des neuen Datenschutznachtrages von Microsoft jedoch nicht möglich, da Unternehmen nicht in der Lage seien, Transparenz und Rechtmäßigkeit (Art. 5 Abs. 1 lit. a DSGVO) der Verarbeitung nachzuweisen. Dies liege vor allem daran, dass Microsoft keine Angaben dazu mache, wessen personenbezogene Daten das US-Unternehmen zu welchen eigenen Zwecken verarbeitet. In der Folge sei auch die Information der betroffenen Personen nach Art. 12 ff. DSGVO nicht möglich – schließlich wisse nicht einmal das verantwortliche und somit informationspflichtige Unternehmen selbst, was mit den Daten von Angestellten, Kundinnen, Lieferanten etc. geschieht.

Aufgrund dieser unzureichenden Information sei weiterhin eine Einwilligung der betroffenen Personen in die Offenlegung ihrer Daten an Microsoft nicht möglich. Wird dennoch eine Einwilligung eingeholt, ist diese unwirksam, denn es fehlt an einer Rechtsgrundlage und jede Datenverarbeitung aufgrund einer solchen Einwilligung stellt einen Datenschutzverstoß dar.

Zudem sei eine Verarbeitung personenbezogener Daten, die der DSGVO unterliegen, durch Microsoft in den USA unzulässig. Zwar besteht mit den im Juni 2021 in Kraft getretenen Standarddatenschutzklauseln ein neues Instrument im Sinne von Art. 46 Abs. 2 lit. c DSGVO, um den Datentransfer in Drittländer rechtssicher zu ermöglichen (wir berichteten). Allerdings befreien diese Vertragsklauseln die Verantwortlichen nicht davon, das Schutzniveau in dem jeweiligen Drittland selbst zu überprüfen. Gerade für die USA wurde immer wieder angezweifelt, ob dies überhaupt möglich ist. Hier hat sich die DSK nun positioniert: Für einen rechtmäßigen Datenexport in die USA gebe es aufgrund des Geschäftsmodells von Microsoft keine denkbaren ausreichenden Schutzmaßnahmen, der Datentransfer sei in keinem Fall zulässig. Zumindest die Speicherung personenbezogener Daten „grundsätzlich“ nur in der EU soll zwar (frühestens) ab Dezember möglich sein, es bleibt aber dabei, dass Microsoft die Daten auch in die USA übermittelt kann.

Weitere Kritikgründe sind unzureichende Rückgabe- und Löschpflichten sowie Rechtsunsicherheit dadurch, dass sich die ergänzend von Microsoft ergriffenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO (TOM) nicht auf alle betroffenen personenbezogenen Daten erstrecken.

Eine Bewertung des US-Durchführungsbeschlusses führt die DSK hingegen nicht durch und begründet dies damit, dass sich zu diesem Zeitpunkt noch nichts über dessen tatsächliche Umsetzung sagen lässt.

C. Warum ist das wichtig für Unternehmen?

Werden Microsoft-Dienste genutzt, werden über diese fast immer auch personenbezogene Daten verarbeitet. Dies können beispielsweise Mitarbeiterdaten in Lohnbuchhaltungsunterlagen sein oder Kundendaten im E-Mail-Postfach, das über Outlook verwaltet wird. In all diesen Bereichen ist der Anwendungsbereich der DSGVO eröffnet.

Bei Verstoß gegen die Pflichten der DSGVO drohen Bußgelder in Höhe von bis zu EUR 20 Mio. oder 4 % des weltweiten Jahresumsatzes. Wurde die Nutzung von MS 365 bisher meist noch von den Behörden geduldet und im Zweifel vor allem der US-Anbieter selbst kritisiert, spricht das neue Positionspapier nun die Unternehmen direkt an und kommt zu dem Ergebnis, dass diese auch auf Grundlage des neuen Datenschutznachtrages nicht in der Lage sein werden, ihren Rechenschaftspflichten bei der Nutzung von MS 365 nachzukommen. Auch die Feststellungen, dass die Verwendung von MS 365 nicht mehr auf eine Einwilligung der Betroffenen gestützt werden kann und die Verarbeitung auf US-Servern bei MS 365 grundsätzlich unzulässig ist, gibt den Behörden hier neues Handwerkszeug. Es spricht deshalb vieles dafür, dass die Unternehmen selbst künftig stärker in den Fokus der Behörden geraten, wenn es um den datenschutzkonformen Einsatz von MS 365 geht. Um die potentiell hohen Bußgelder zu vermeiden, sollten Unternehmen beim Einsatz von MS 365 schon jetzt die Initiative ergreifen und nicht abwarten, bis es zu spät ist und eine Abmahnung eingeht.

D. Das ist jetzt zu tun

Anders als für öffentliche Stellen ist der Einsatz von Microsoft in Unternehmen zumindest nicht von vornherein ausgeschlossen. Zwar kann eine Einwilligung in die Datenübermittlung durch die betroffenen Personen nicht wirksam erteilt werden, allerdings ist immer noch eine Rechtfertigung aufgrund der berechtigten Interessen des Verantwortlichen möglich (Art. 6 Abs. 1 S. 1 lit. f DSGVO). Auch wenn die DSK hier nicht ausdrücklich Stellung bezieht, scheint sie diese Rechtsgrundlage jedenfalls nicht pauschal für unzulässig zu halten. Da sich die DSK eindeutig gegen die Nutzung von MS 365 auf US-Servern positioniert hat, ist jedenfalls diese Nutzung einzustellen. Allerdings birgt auch die Nutzung auf EU-Servern Risiken, vor allem da Microsoft nicht ausschließt, auch hier im Einzelfall Daten an die USA zu übermitteln. Die DSK scheint jedoch weiterhin um eine Lösung mit Microsoft bemüht und auch der Privacy Shield II ist weiterhin in Planung. Bis dahin sollten Unternehmen die folgenden Maßnahmen ergreifen:

  • Bestenfalls individualvertraglich aushandeln, dass Microsoft keine Daten zu eigenen Zwecken verarbeitet. Eine so gute Verhandlungsposition haben meist aber nur sehr große Unternehmen.
  • Rechtsgrundlagen überprüfen: Die Verarbeitung personenbezogener Daten durch Microsoft darf nicht mehr auf die Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a DSGVO gestützt werden.
  • Interessenabwägung durchführen: Gibt es ein überwiegendes berechtigtes Interesse daran, MS 365 einzusetzen und so personenbezogene Daten an Microsoft zu übermitteln? Dies ist in der Regel zu verneinen, wenn gleichwertige Programme existieren, bei denen eine derartiger Datenzugriff nicht möglich ist und bei denen eine eigene Verarbeitung des Anbieters ausgeschlossen ist.
  • Nutzung der „EU Data Boundary“: Personenbezogene Daten werden dann zumindest „grundsätzlich“ nur im EU-Raum verarbeitet. Ein Nutzung von MS 365 ohne die Data Boundary ist aktuell auch bei umfassenden zusätzlichen Schutzmaßnahmen nicht möglich!
  • Zudem verlangt die DSK von Microsoft eine kundenspezifische Konkretisierung, etwa durch eine Auflistung im Anhang oder ein in den Vertrag einzubeziehendes Verzeichnis der Verarbeitungstätigkeiten. Auch hier kann zumindest versucht werden nachzuverhandeln.
  • Verträge mit anderen US-Anbietern überprüfen: Behalten sich diese die Verwendung von Daten zu unbenannten eigenen Zwecken vor, ist die rechtskonforme Information oder Einwilligung der Betroffenen vermutlich ebenfalls ausgeschlossen.
Als PDF herunterladen

Ansprechpartner

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.