Datenschutz und Microsoft Office 365, was nun?

09.12.2022. 09:47

 

 

Schon seit mindestens zwei Jahren besteht die Problematik, dass der Einsatz von Microsoft 365 (und andere Diensten) von den Aufsichtsbehörden klar problematisiert wird. Es gab da ja schon einmal seitens der Datenschutzkonferenz (DSK) einen Beschluss, bei deren Ergebnis sich die Aufsichtsbehörden jedoch selber nicht ganz einig waren, vgl. https://www.datenschutzkonferenz-online.de/media/pr/20201030_protokoll_3_zwischenkonferenz.pdf. Wer sich wirklich für das Historische interessiert, kann dies hier auch gerne noch einmal nachlesen.

 

Nun gibt es aktuell wieder eine Stellungnahme der DSK zu diesem Thema, weswegen die Frage zur Zeit wieder heiß diskutiert wird.

 

Es gibt nun eine Festlegung der DSK zu Microsoft Onlinediensten, die sich (wieder) den Bericht der Arbeitsgruppe DSK "Microsoft Onlinedienste" zu eigen macht.

Der von der Datenschutzkonferenz Arbeitsgruppe veröffentlichte Abschlussbericht zu Microsoft 365 ist etwas länger und kann hier nachgelesen werden (Stand 11/2022).

Den Beschluss der DSK selbst findet man hier (Stand 24.11.2022). Die Kernaussage des Beschlusses lautet:

Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann. Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.

 

Dazu gibt es mittlerweise auch eine Stellungnahme von Microsoft mit dem Titel "Microsoft erfüllt und übertrifft europäische Datenschutzgesetze", wo man das Ergebnis natürlich so nicht stehen lassen möchte. Wer sich für die Stellungnahme interessiert kann diese hier nachlesen.

Weitere Stellungnahmen hierzu gibt es zwischenzeitlich natürlich auch schon. Z.B. von der Kanzlei reusch law, welche die Meinung von Microsoft und die der Aufsichtsbehörden gegenüberstellen. Vor der Aufsichtsbehörde Thüringen liegt ebenfalls eine Stellungnahme vor.

Wie gehen wir jetzt weiter mit dem Thema um? Generell wird man in der Regel wohl kaum in der Lage sein, die Nutzung dieser Dienste ab sofort einzustellen.

Wichtig ist natürlich die Vertragsdokumente mit Microsoft aktuell zu halten. Das betrifft das Auftragsverhältnis zu Microsoft Irland und die neuen Standardvertragsklauseln zwischen Microsoft Irland und Microsoft in den USA. Mittlerweile ist auch das Transfer Impact Asessment in diesem Zusammenhang. downloadbar!!!

Die Dokumente findet man als Microsoft Kunde im Service & Trust-Portal, bzw. in dem neu gestalteten Vertrauensstellungsportal. Darüber hinaus gibt es auch ein weiteres Dokument, welches die Risikoabwertung unterstützen kann working white paper remake 029 FNL (microsoft.com).

Und dann stellt sich natürlich die Frage, ob man für die Datenübermittlung noch eine Datenschutzfolgenabschätzung benötigt, denn über den Subunternemer Microsoft Irland gelangen die Daten dann ja möglicherweise doch mal nach USA und das TIA stammt ja nicht vom Verantwortlichen, sondern von Microsoft Irland. Ich bin mir ehrlich nicht sicher, ob das einheitlich so gesehen wird. Dafür gibt es aber von Microsoft auch ein Template, was man wohl unterstützend nutzen kann "Customizable DIAP Document for Microsoft online Service".

Rechtlich gesehen wird es nicht reichen allein die Vertragsdokumente abzulegen. Instruktiv zur Ansicht der Aufsichtsbehörden ist das Interview mit Dr. Brink, Leiter der Aufsichtsbehörde in Baden Württemberg, zu der Problematik , was man hier nachlesen kann. Dr. Brink sagt dazu:

"Die Botschaft an die Unternehmen ist, dass sie selbst die Verantwortlichen sind und dass sie als Verantwortlicher selbst die Datenschutzkonformität ihrer Prozesse nicht nur sicherstellen, sondern auch nach Artikel 5 Abs. 2 DSGVO nachweisen müssen. Dieser Nachweis kann nicht allein durch Bezugnahme auf Unterlagen von Microsoft geführt werden, sondern die Verantwortlichen müssen sich selbst von der Rechtskonformität aller Verarbeitungen überzeugen und gegebenenfalls auch weitergehende Ermittlungen dazu anstellen. Unser Beschluss sagt: Die Transparenz von Microsoft reicht hinsichtlich der Datenverarbeitungsvorgänge und der genauen Vorgehensweise noch nicht aus; das haben wir in unserem Bericht beispielhaft im Bereich der Auftragsverarbeitung festgestellt. Wenn Microsoft sich etwa die Datenverarbeitung für eigene Zwecke herausnimmt, muss der Verantwortliche sich darüber klar werden, was sein Dienstleister, also Microsoft, genau macht: In welchen Bereichen macht er sich selbstständig und wie kriegt man das als Verantwortlicher eingefangen? Diese Aufgabe ist aus unserer Sicht tatsächlich nur schwer zu erfüllen.
 
So liebe verantwortliche Unternehmen, dann wissen Sie ja jetzt, was Sie Weihnachnten zu tun haben. Dann machen Sie mal!
 
Aber es gibt natürlich auch noch einen Lichtblick und das ist die Hoffnug, dass wir möglichst bald einen neuen Angemessenheitsbeschluss der EU bezüglich hinsichtlich der Datenverarbeitung in den USA bekommen.
 
Dazu und zum aktuellen Stand:
 
 
 
Der Entwurf eines solchen Angemessenheitsbeschlusses könnte möglicherweise schon in Kürze veröffentlicht werden, wie die IAPP mitbekommen haben will (siehe hier).
 
Nachtrag:

Die EU-Kommission leitete am 13.12.2022 den Prozess zur Anerkennung der USA als sicheres Drittland ein: Presseerklärung

Der Draft des Anerkennungsdokumentes als pdf-Datei.

Das könnte Sie auch interessieren

11 Februar 2022

Auftragsdatenverarbeitung,…

Auftragsdatenverarbeitung, Auslandsdatenverarbeitung und Drittstaatentransfer

Mehr Erfahren
04 Oktober 2021

Bußgeld wegen Verstoßes…

Bußgeld wegen Verstoßes gegen Transparenzpflichten

Mehr Erfahren
30 September 2021

Italienische Aufsichtsbehörde…

Italienische Aufsichtsbehörde verhängt Bußgeld wegen fehlender Datenschutz-Folgenabschätzung

Mehr Erfahren
11 August 2021

Berliner Beauftragte…

Berliner Beauftragte für Datenschutz: 50 Berliner Unternehmen erhalten in diesen Tagen postalisch die…

Mehr Erfahren