Datenschutzkonformer Einsatz von Cloud-Diensten – Microsoft 365 im Fokus der Aufsichtsbehörden

Hintergrund

Cloud-Dienste bie­ten im Ver­gleich zu lo­kal be­trie­be­nen Soft­warelösun­gen häufig nied­ri­gere Ein­stiegs- bzw. Be­triebs­kos­ten und sind mit um­fas­sen­den Sup­port- und Pfle­ge­leis­tun­gen der An­bie­ter ver­bun­den. Da­durch können Un­ter­neh­men von re­gelmäßigen Up­dates pro­fi­tie­ren und auf die Re­chen- und Spei­cher­ka­pa­zitäten der Pro­vi­der von je­dem Ort auf der Welt zu­grei­fen. In­so­fern ver­wun­dert es nicht, dass Un­ter­neh­men zu­neh­mend auf die Cloud set­zen und On­line-Dienste in ihre Ge­schäfts­pro­zesse in­te­grie­ren. Als On­line-Kom­plettlösung stellt Mi­cro­soft sei­nen Kun­den seine klas­si­schen Of­fice-An­wen­dung so­wie zahl­rei­che wei­tere Dienste (z.B. Ex­change On­line, Share Point, One Drive) un­ter dem Na­men „Mi­cro­soft 365“ zur Verfügung.

© Unsplash

Bei de­ren Nut­zung wer­den eine Viel­zahl an Da­ten von und über den je­wei­li­gen Nut­zer an Mi­cro­soft über­mit­telt. Die Ver­ar­bei­tung die­ser per­so­nen­be­zo­ge­nen Da­ten durch Mi­cro­soft er­folgt auf Grund­lage der sog. Da­ten­schutz­be­stim­mun­gen für Mi­cro­soft On­line-Dienste („Data Pro­tec­tion Ad­den­dum“, im Fol­gen­den „DPA”), die als Ver­ein­ba­rung zur Auf­trags­ver­ar­bei­tung in den Li­zenz­ver­trag mit ein­be­zo­gen wer­den. Das Mi­cro­soft DPA war in der Ver­gan­gen­heit wie­der­holt Kri­tik der Auf­sichts­behörden aus­ge­setzt. Ne­ben der be­kann­ten Pro­ble­ma­tik von Da­ten­trans­fers in Drittländer ist ins­be­son­dere die nach wie vor be­ste­hende In­trans­pa­renz bei der Über­mitt­lung von Dia­gnose- bzw. Te­le­me­trie­da­ten an Mi­cro­soft strit­tig.

Mangelnde Transparenz des Microsoft DPA

Die Da­ten­schutz­grund­ver­ord­nung (DS­GVO) knüpft an die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Da­ten hohe An­for­de­run­gen hin­sicht­lich der Trans­pa­renz und der je­wei­li­gen Rechts­grund­lage. Dies gilt, wenn die Da­ten aus ei­ge­nem In­ter­esse oder als Auf­trags­ver­ar­bei­ter ver­ar­bei­tet wer­den. 2020 stellte die Kon­fe­renz der un­abhängi­gen Da­ten­schutz­auf­sichts­behörden des Bun­des und der Länder („DSK“) in einem ih­rer Be­schlüsse fest, dass das da­ma­lige DPA den An­for­de­run­gen der DS­GVO nicht ge­recht wurde. Kri­ti­siert wurde ins­be­son­dere die man­gelnde Trans­pa­renz der kon­kret durch Mi­cro­soft ver­ar­bei­te­ten per­so­nen­be­zo­ge­nen Da­ten und de­ren Ver­ar­bei­tungs­zwe­cke. Es sei den da­tenüber­mit­teln­den Un­ter­neh­men an­hand der be­reit­ge­stell­ten In­for­ma­tio­nen nicht möglich, zu er­ken­nen, in wel­chem Um­feld und für wel­che Zwecke die Da­ten­ver­ar­bei­tun­gen durch Mi­cro­soft statt­fin­den. Dies gelte nicht zu­letzt für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Dia­gno­se­da­ten (auch „Te­le­me­trie­da­ten“ ge­nannt) durch Mi­cro­soft.

Da die Ver­ar­bei­tung der Dia­gno­se­da­ten für ei­gene ge­schäft­li­che Zwecke von Mi­cro­soft er­folgt, ist hierfür eine ei­genständige Rechts­grund­lage er­for­der­lich und der Ab­schluss des DPA für sich ge­nom­men nicht aus­rei­chend. Be­reits im Jahr 2018 stell­ten nie­derländi­sche Behörden Über­mitt­lun­gen von Dia­gno­se­da­ten an Mi­cro­soft bei der Nut­zung von Of­fice 365 fest, über die nicht hin­rei­chend in­for­miert wurde. Auch der Lan­des­be­auf­tragte für Da­ten­schutz und In­for­ma­ti­ons­si­cher­heit Ba­den-Würt­tem­berg („LfDI BW“) übte ent­spre­chende Kri­tik an der Trans­pa­renz der Da­ten­ver­ar­bei­tun­gen durch Mi­cro­soft und riet im Zuge des­sen von ei­ner Nut­zung von Of­fice 365 ab, wenn­gleich diese Emp­feh­lung ausdrück­lich auf den Ein­satz in Schu­len und den da­mit ver­bun­de­nen erhöhten Ri­si­ken für Kin­der als Be­trof­fene be­zo­gen war.

Datentransfers ins Ausland

Ne­ben der Kri­tik an den un­zu­rei­chen­den und in­trans­pa­ren­ten Re­ge­lun­gen des DPA selbst, be­ste­hen darüber hin­aus die grundsätz­li­chen Ri­si­ken bei der Nut­zung von Cloud-Diens­ten US-ame­ri­ka­ni­scher An­bie­ter vor einem un­be­rech­tig­ten Zu­griff in den USA bzw. dem je­wei­li­gen Dritt­land, in­dem die Da­ten ver­ar­bei­tet wer­den. Der EuGH hatte in sei­nem „Schrems-II Ur­teil“ (Rs. C-311/18) fest­ge­stellt, dass Da­tenüber­mitt­lun­gen in die USA nicht länger auf Grund­lage des Pri­vacy Shields er­fol­gen können und der Ein­satz von EU-Stan­dard­ver­trags­klau­seln bei Da­tenüber­mitt­lun­gen in Drittländer nur noch un­ter Ver­wen­dung wirk­sa­mer zusätz­li­cher Maßnah­men statt­fin­den darf, die ein dem Schutz per­so­nen­be­zo­ge­ner Da­ten in­ner­halb der EU gleich­wer­ti­ges Ni­veau gewähr­leis­ten können (mehr dazu le­sen Sie hier).

Zwar bie­tet Mi­cro­soft sei­nen Kun­den auch Ser­ver­stand­orte in­ner­halb der EU an. Da­ten­trans­fers in Drittländer las­sen sich aber in der Re­gel nicht gänz­lich ver­mei­den. Hinzu kom­men die um­strit­te­nen Be­stim­mun­gen des sog. „Cloud Acts“. Da­nach können US-An­bie­ter von den Si­cher­heits­behörden zur Preis­gabe auch außer­halb der USA ge­spei­cher­ter Da­ten ge­zwun­gen wer­den, wenn be­stimmte Vor­aus­set­zun­gen vor­lie­gen. Die Auf­sichts­behörden ha­ben vor die­sem Hin­ter­grund wie­der­holt auf die Not­wen­dig­keit ei­ner sogfälti­gen Prüfung der sich für die Be­trof­fe­nen er­ge­ben­den Ri­si­ken hin­ge­wie­sen.

Fazit und Handlungsempfehlung

Die Kri­tik und Emp­feh­lun­gen der Auf­sichts­behörden soll­ten ernst ge­nom­men wer­den. Zwar hat Mi­cro­soft nach­ge­bes­sert und das DPA über­ar­bei­tet. Die be­schrie­be­nen Kri­tik­punkte konn­ten nach un­se­rer Ein­schätzung je­doch nach wie vor nicht in Gänze aus­geräumt wer­den. Es ist da­mit zu rech­nen, dass Auf­sichts­behörden künf­tig ver­mehrt auf Un­ter­neh­men zu­ge­hen und Kon­trol­len durchführen. Der Ham­bur­gi­sche Be­auf­tragte für Da­ten­schutz und In­for­ma­ti­ons­si­cher­heit hat bei­spiels­weise be­reits Fra­gebögen zum Ein­satz von Mi­cro­soft Of­fice 365 an Un­ter­neh­men ver­sandt. Sie­ben deut­sche Auf­sichts­behörden ha­ben außer­dem an­gekündigt, ge­mein­sam ab­ge­stimmte Kon­trol­len zur Ein­hal­tung da­ten­schutz­recht­li­cher Vor­ga­ben bei in­ter­na­tio­na­len Da­ten­trans­fers durch­zuführen (mehr dazu le­sen Sie hier).

Umso wich­ti­ger ist es, vorab eine um­fas­sende Ri­si­ko­ana­lyse durch­zuführen und den Ein­satz von Mi­cro­soft 365 sorgfältig ab­zuwägen. Eine ent­schei­dende Rolle können da­bei ri­si­ko­mil­dernde Maßnah­men ein­neh­men. Diese können tech­ni­scher, or­ga­ni­sa­to­ri­scher oder ver­trag­li­cher Na­tur sein. Mi­cro­soft stellt sei­nen Nut­zern bei­spiels­weise eine Viel­zahl von sys­tem­sei­ti­gen Kon­fi­gu­ra­ti­onsmöglich­kei­ten zur Verfügung, die Da­ten­trans­fers ins Aus­land oder Über­mitt­lun­gen von Dia­gno­se­da­ten er­heb­lich re­du­zie­ren können. Hier­von sollte um­fas­send Ge­brauch ge­macht wer­den. Ein­zelne, be­son­ders kri­ti­sche Dienste, die für die be­ab­sich­tigte Nut­zung nicht zwin­gend benötigt wer­den bzw. für die es brauch­bare Al­ter­na­ti­ven gibt, las­sen sich ggf. auch vollständig de­ak­ti­vie­ren. Darüber hin­aus sollte stets eine möglichst si­chere Ver­schlüsse­lungs­me­thode gewählt wer­den, z. B. in Ge­stalt der sog. „Cu­st­omer Key-Ver­schlüsse­lung“, de­ren Kom­pa­ti­bi­lität erst neu­lich auf wei­tere Cloud-Dienste wie Mi­cro­soft Teams er­wei­tert wurde. Als pro­ba­tes ver­trag­li­ches Mit­tel für in­ter­na­tio­nale Da­ten­trans­fers kann künf­tig außer­dem auf die Ver­ein­ba­rung der im Juli von der Eu­ropäischen Kom­mis­sion veröff­ent­lich­ten neuen „EU-Stan­dard­ver­trags­klau­seln“ hin­ge­wirkt wer­den (mehr dazu le­sen Sie hier).

Un­ter Be­ach­tung die­ser und wei­te­rer Schutzmaßnah­men können die da­ten­schutz­recht­li­chen Ri­si­ken des Ein­sat­zes von Mi­cro­soft 365 un­ter Umständen er­heb­lich re­du­ziert wer­den. Ob sich da­durch eine Nut­zung von Mi­cro­soft 365 im Er­geb­nis recht­fer­ti­gen lässt, kann je­doch nur nach ei­ner auf den Ein­zel­fall be­zo­ge­nen Be­wer­tung der sich für die Be­trof­fe­nen er­ge­ben­den Ri­si­ken an­hand der Sen­si­bi­lität der tatsäch­lich ver­ar­bei­te­ten Da­ten und An­wen­dungs­sze­na­rien be­wer­tet wer­den. Das­selbe gilt für sons­tige Cloud-Dienste, die Da­ten­ver­ar­bei­tun­gen in Drittländern zur Folge ha­ben. Un­ter­neh­men soll­ten sich da­her frühzei­tig mit den über die Cloud-Dienste statt­fin­den­den Da­ten­ver­ar­bei­tun­gen und Über­mitt­lun­gen in Drittländer aus­ein­an­der­set­zen und die Ri­si­ko­abwägung an­hand der ge­trof­fe­nen Zu­satzmaßnah­men hin­rei­chend do­ku­men­tie­ren.