• exkulpa
  • /
  • Blog
  • /
  • Datenschutz
  • /
  • Microsoft 365 und Datenschutz: Stellungnahme zum Bericht der Datenschutzkonferenz

Microsoft 365 und Datenschutz: Stellungnahme zum Bericht der Datenschutzkonferenz

16. Dezember 2022 - Minuten Lesezeit

Als Unternehmer ist es wichtig, die Daten Ihres Unternehmens zu schützen und sicherzustellen, dass Sie alle relevanten Vorschriften des Datenschutzes einhalten. Microsoft 365 (ehemals Office 365) erfreut sich in der Geschäftswelt großer Beliebtheit und bietet den Nutzern eine Vielzahl von Funktionen für Kommunikation, Zusammenarbeit, Speicherung und mehr durch beliebte Programme wie etwa Word, Excel, Outlook oder PowerPoint. Doch Microsoft steht seit Langem in der Kritik der Behörden und der Datenschutzkonferenz wegen Mängel im Datenschutz. Die Datenschutzkonferenz erklärt den Einsatz von Microsoft 365 daher für unrechtmäßig.

In diesem Blogbeitrag erörtern wir Ihnen die Prüfung und den Bericht der Datenschutzkonferenz zu Microsoft 365, beziehen als Datenschutzexperten Stellung zum Ergebnis und erklären Ihnen, welche Maßnahmen Sie bei der Nutzung von MS 365 ergreifen können, um sich selbst zu schützen und gleichzeitig sicherzustellen, dass alle Ihre Kundendaten sicher und geschützt sind.

Ausgangspunkt: Mangelnder Datenschutz bei Microsoft 365

Die DSK (Datenschutzkonferenz) hat im November eine Stellungnahme zu Microsoft 365 veröffentlicht, in der es heißt, dass Microsoft-Kunden den rechtmäßigen Einsatz der Onlinedienste nicht nachweisen können. MS 365 ist nach Ansicht der Behörden also rechtswidrig. Bereits im Jahr 2020 kam ein Arbeitskreis der Datenschutzbehörden zu dem Ergebnis, dass Office 365 (jetzt MS 365) nicht datenschutzkonform eingesetzt werden kann. In der Folge fanden Gespräche zwischen Microsoft und der Arbeitsgruppe der DSK, unter der Leitung von Brandenburg und des Bayerischen Landesamts für Datenschutzaufsicht, statt. Die Untersuchung befasste sich mit den Online Service Terms (OST) und dem Auftragsverarbeitungsvertrag (DPA) (jeweils Stand 2020) von Microsoft. Grundlage für die aktuelle Bewertung ist der „Datenschutznachtrag zu den Produkten und Services von Microsoft“.

Datenschutzrechtliche Einordnung der Prüfung durch die DSK

Der Verantwortliche für die Datenverarbeitung muss nach Art. 5 Abs. 2 DSGVO jederzeit nachweisen können, dass er die Daten rechtmäßig verarbeitet. Um sicherzustellen, dass auch Auftragsnehmer sich an die gesetzlichen Vorgaben halten, wird die Datenverarbeitung durch solche in einem Auftragsverarbeitungsvertrag (AV) vereinbart. Gemäß Art. 28 DSGVO dürfen nur solche Auftragsverarbeiter eingesetzt werden, die hinreichende Garantien zum Schutz der personenbezogenen Daten bieten. Die Prüfung eines AV (Auftragsverarbeitungsvertrag) reicht in der Regel aus, um zu bewerten, ob ein Dienstleister entsprechende Garantien vorweisen kann und um als Verantwortlicher seiner Rechenschaftspflicht nachzukommen.

Im Fall von Microsoft hat sich nun die DSK mit der Prüfung der AV-Verträge befasst und diese u.a. aus folgenden vier Gründen für rechtswidrig erklärt:

1. Fehlende Transparenz im Bezug auf den Umgang mit den Kundendaten

3. Unzureichende Informationen über eingesetzte Unterauftragnehmer

Insbesondere die Datenverarbeitung in den USA hat die Behörden zu der nun vorliegenden Bewertung veranlasst. Hintergrund ist das sogenannte Schrems II-Urteil des EuGH und dem damit verbundenen Wegfall eines wesentlichen Erlaubnistatbestands zur Datenübermittlung.

Microsoft 365 Datenschutz - Datenübermittlung in die USA unrechtmäßig

Bei der datenschutzrechtlichen Einordnung der DSK-Stellungnahme ist eine alleinige Betrachtung des Ergebnisses nicht ausreichend, auch die Prüfung selbst und die rechtliche Stellung der DSK ist einzubeziehen. So ist anzuführen, dass die Prüfung sich ausschließlich auf die 2020 festgestellten Mängel im AV beschränkt, eine vollständige Prüfung oder datenschutzrechtliche Bewertung von MS 365 liegt explizit nicht vor. Die DSK als solche ist zunächst „nur“ ein Zusammenschluss der Datenschutzbehörden Deutschlands, innerhalb derer es in der Vergangenheit schon unterschiedliche Auffassungen zu bestimmten Themen gab. Auch die Bewertung des Arbeitskreises zu Office 365 wurde innerhalb der DSK kritisiert, so merkten u.a. die Datenschutzbehörden aus Hessen und Baden-Württemberg an, dass die Untersuchung insgesamt zu undifferenziert sei. Allein die Prüfung eines (veralteten) AV, ohne eigenständige technische Prüfung und ohne förmliche Anhörung von Microsoft sei nicht ausreichend, um das Produkt öffentlichkeitswirksam als rechtwidrig einzustufen. Eine vollständige Prüfung hat auch vor dem Hintergrund der jüngsten Stellungnahme nicht stattgefunden. Der Bericht der Arbeitsgruppe enthält:

  • eine allein auf ausgewählte rechtliche Anforderungen der DSGVO beschränkte Bewertung, jedoch keine vollständige datenschutzrechtliche Bewertung des Cloud-Dienstes Microsoft 365,
  • im Wesentlichen eine Untersuchung, die sich auf die der sechs vom AK Verwaltung 2020 festgestellten vertraglichen Mängel beschränkt und keine darüber hinausgehenden Prüfungen enthält,
  • keine eigenständigen technischen Untersuchungen durch die Arbeitsgruppe und damit keine Prüfung der tatsächlich stattfindenden Datenflüsse und Verarbeitungen,
  • keine Untersuchung der Umsetzung der vertraglich festgelegten Verarbeitungen bzw. der tatsächlich stattfindenden Verarbeitungen,
  • keine Prüfung der Einzelkomponenten des Cloud-Dienstes, insbesondere keine Prüfung einzelner Funktionalitäten auf ihre Datenschutzkonformität (z.B. im Bereich Beschäftigtendatenschutz und Überwachung der Mitarbeitenden durch Verantwortliche),
  • keine Prüfung der einzelnen Verarbeitungstätigkeiten,
  • keine Prüfung des gesamten einschlägigen Vertragswerks von Microsoft sowie
  • keine Prüfung der datenschutzrechtlichen Anforderungen aus dem TTDSG und der Fragen, die sich aus dem Telekommunikationsrecht und des Fernmeldegeheimnisses ergeben.

Weitere Umstände sprechen dafür, der Bewertung der DSK nicht vorschnell zu folgen und den Sachverhalt zumindest vorläufig zu beobachten: So wurde seitens der USA im Oktober eine Executive Order unterzeichnet, womit für den Datentransfer in die USA in absehbarer Zeit nach einem nun durch die EU folgenden Angemessenheitsbeschluss wieder eine rechtliche Grundlage vorliegen sollte. Parallel hat Microsoft bis Ende 2022 eine EU Data Boundary angekündigt, die Unternehmen und Behörden vertraglich zusichert, dass die Daten innerhalb der EU verarbeitet werden und die Verarbeitung transparenter dargestellt wird.  

Mit ihrer Meinung zu Microsoft 365 steht die DSK in Europa aktuell alleine da, bei unterschiedlicher Auslegung des geltenden Rechts wird in letzter Konsequenz der EuGH entscheiden müssen.

Empfehlung für den praktischen Umgang mit Microsoft 365

Datenschutzrechtliche Empfehlung zu Microsoft 365 und Datenschutz

Die Stellungnahme der DSK ist als Meinung der deutschen Datenschutzbehörden auch als solche zu bewerten. Die DSK selbst ist zunächst ein loser Zusammenschluss der deutschen Datenschutzbehörden und besitzt als Gremium aktuell keine erweiterten rechtlichen Befugnisse. Zwar sollte die DSK dem aktuell vorliegenden Koalitionsvertrag zufolge institutionalisiert werden, bisher wurde das aber rechtlich nicht geregelt. Neben den zuvor angesprochenen Problemstellungen und offenen Fragen, die sich bei näherer Betrachtung der DSK-Stellungnahme ergeben, ist das zentrale Problem weiterhin nicht geklärt: Derzeit gibt es zu Microsoft 365 keine konkurrenzfähige Alternative

Bei der Bewertung mag auch der erste Artikel der DSGVO herangezogen werden, in dem es heißt „Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.“ Microsofts Marktmacht und dessen wirtschaftliche Bedeutung machen es in diesem Fall beinahe unmöglich, der Auffassung der DSK Folge zu leisten und MS 365 nicht weiter einzusetzen.

Es empfiehlt sich, die weiteren Entwicklungen zu beobachten, insbesondere den in Kürze erwarteten Angemessenheitsbeschluss für die Datenübermittlung in die USA und die von Microsoft angekündigte EU-Boundary. Trotz aller Kritik an der Stellungnahme der DSK sind viele der aufgeworfenen Punkte nicht von der Hand zu weisen. Ob diese weiter verfolgt werden, bspw. in einer technischen Prüfung der von Microsoft angeführten Maßnahmen, die dann in eine vollständige datenschutzrechtliche Bewertung einfließen können, bleibt abzuwarten.

Unternehmen sollten in jedem Fall die übrigen rechtlichen Vorgaben beim Einsatz der Microsoft-Produkte beachten und umsetzen. Die Nutzung von MS 365 ist in das Verzeichnis der Verarbeitungstätigkeiten aufzunehmen, auch die Informationspflichten, bspw. bei der Nutzung von MS Teams für Videokonferenzen müssen eingehalten werden. Ihr Datenschutzbeauftragter wird Sie hierbei unterstützen.

Allgemeine Datenschutzeinstellungen für die Nutzung von MS 365

Zusätzlich werden folgende, allgemeine (technische) Datenschutzeinstellungen empfohlen:

  • Deaktivierung der (optionalen) Connected Experiences: Microsoft tritt bei der Bereitstellung dieser Dienste als Verantwortlicher auf, kann die erhobenen Daten also deutlicher umfassender nutzen, als im Rahmen eines AV-Verhältnisses. Zu den (optionalen) Connected Experiences zählen die Wetteranzeige in Outlook oder der Übersetzer, die entsprechend wegfallen. Eine Übersicht finden Sie hier.
  • Diagnosedaten deaktivieren; Ohne Auswirkungen für den Nutzer, sollte bei Diagnosedaten „weder noch“, bei Windows 10 kann ferner „Diagnosedaten aus (Sicherheit)“ eingestellt werden.
  • Deaktivierung der LinkedIn-Integration
  • Deaktivierung der Programme zur Verbesserung der Kundenerfahrung
  • Deaktivierung der Nutzungsberichte
  • Allgemeine Datenschutzeinstellungen im Trust Center; darunter „Senden von persönlichen Informationen an Microsoft, um Office zu verbessern“ und „Office die Verbindung mit Microsoft-Onlinediensten erlauben, um für Ihren Standort und Ihre Voreinstellungen relevante Funktionen bereitzustellen“
  • Deaktivierung von 3rd Party Apps in Teams und Implementierung der Ende-zu-Ende-Verschlüsselung
Allgemeine Einstellungen für Datenschutz bei Microsoft 365

Je nach Office-Paket kann ferner ein Customer Key verwendet werden, der eine kundenseitige Verschlüsselung der Daten ermöglicht. Das niederländische Justizministerium empfiehlt in einer DSFA ferner die Nutzung des DaRT-Tools und bei Einrichtung der Mehr-Faktor-Authentifizierung (MFA) nicht auf SMS oder Telefonie zurückzugreifen.

Auf diese Weise zeigen Sie, dass Ihr Unternehmen sich der MS 365–Problematik angenommen und sämtliche möglichen Schritte für mehr Sicherheit unternommen hat. Das ist immer besser, als gar nicht tätig zu werden.

Daniel Lüttgens

Daniel Lüttgens

Weitere blogartikel
{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}

Sie haben Beratungsbedarf oder wünschen ein Angebot zum Datenschutz?

>