Die Verwendung von Microsoft 365 wirft noch immer viele Fragen auf. Dabei ist das Programm mit den Anwendungen Teams, Outlook, PowerPoint, Excel, Word oder OneNote, für viele Unternehmen inzwischen unverzichtbar. Die hieraus resultierenden datenschutzrechtlichen Herausforderungen werden in nachfolgenden Artikel zusammen mit Lösungsvorschlägen zur DSGVO-konformen Auslegung dargestellt.
Historische Entwicklung
Microsoft als traditionsreicher US-Konzern mit Stammsitz in den Vereinigten Staaten, betreibt international hunderte Rechenzentren, durch welche der Betrieb der Leistungen von Microsoft 365 sichergestellt ist. Aufgrund schon seit langer Zeit bestehenden Bedenken europäischer Kunden der Microsoft 365 Produkte, wurde schon seit einiger Zeit durch das Unternehmen angeboten, die Leistungen zur Verwendung der Microsoft 365 Produkte in europäischen Standorten zu erbringen, welche im Geltungsbereich der Datenschutz-Grundverordnung liegen. Jedoch kann auch diese Leistung aus europäischen Rechenzentren heraus die datenschutzrechtlichen Probleme nicht vollständig lösen, da trotzdem noch Daten wie erstellte Nutzeridentitäten und damit zusammenhängende Meta-Daten aus den europäischen Rechenzentren in die USA weitergeleitet werden müssen. Zudem haben u.U. auch Mitarbeiter des Dienstleisters aus den USA Zugriff auf europäische Server des Unternehmens, beispielweise im Falle von technischen Wartungsarbeiten u.ä. Gerade dieser Transfer aus der EU in die USA ist der Kernpunkt der Datenschutzproblematik der Microsoft 365 Produkte. Bis zum Sommer 2023 war die Grundlage des datenschutzrechtlichen Problems, dass aus Sicht der Europäischen Union und deren Aufsichtsbehörden die USA als sog. Drittland eingestuft wurden, in welchem keine ausreichenden Garantien zur Anwendung eines ausreichenden Datenschutzes sichergestellt waren.
Angemessenheitsbeschluss „EU-U.S. Data Privacy Framework“
Man versuchte ursprünglich diese Problematik durch ein Datenschutzabkommen zwischen den USA und der EU (Privacy-Shield) zu lösen, bis dieses Abkommen jedoch als weitere Ausweitung des datenschutzrechtlichen Problems im Jahr 2020 durch ein Urteil des Europäischen Gerichtshofes für nichtig erklärt wurde (Schrems-II-Urteil).
Auch diese Problematik versuchte man durch einen weitere EU-Beschluss zu lösen, indem zwischen der EU und den USA ein neuer Angemessenheitsbeschluss gefasst wurde, um den Datentransfer in die USA ohne weitere Maßnahmen zu ermöglichen (EU-U.S. Data Privacy Framework). Dieser sogenannte Angemessenheitsbeschluss der EU-Kommission vom 10. Juli 2023 erlaubt jedoch nur die Weitergabe personenbezogener Daten an zertifizierte Unternehmen in den USA. Die Einstufung und somit Zertifizierung von Unternehmen als sicher erfolgt durch eine US- Behörde (Department of Commerce). Die Voraussetzungen zum Erhalt einer Zertifizierung sind die Verpflichtung zur Nutzung von EU-Standardverträgen oder eine Selbstzertifizierung bei der zuständigen US-Aufsichtsbehörde. .
Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK)
Jedoch konnte auch mit diesem weiteren Abkommen die datenschutzrechtliche Problematik nicht vollständig gelöst werden, da einige deutsche Aufsichtsbehörden auch in diesem Abkommen keine Garantie zur Einhaltung datenschutzrechtlicher EU-Standards sahen. Dies wurde bereits im Vorfeld des Angemessenheitsbeschlusses der EU-Kommission durch den Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) am 24. November 2022 bestätigt, welcher gravierende Datenschutzbedenken feststellte.
Was können Unternehmen tun, um Microsoft 365 möglichst rechtssicher zu nutzen?
Unternehmen sollten im Sinne einer „ersten Hilfe“ insb. die folgenden Maßnahmen beachten, um einen möglichst datenschutzkonformen Einsatz von Microsoft 365 begründen zu können:
- Vertragliche Sicherstellung, dass Microsoft ausschließlich Server innerhalb der EU nutzt.
- Abschluss und die Dokumentation des Abschlusses der neuesten Version des Microsoft DPA samt der EU-Standardvertragsklauseln und des von Microsoft angebotenen „Additional Safeguards Addendum to Standard Contractual Clauses“.
- Abwägung der Risiken: Welche Arten von Daten werden verarbeitet, sind diese besonders sensibel, warum scheiden alternative Anbieter und/ oder Produkte aus? usw.; ggf. Durchführung einer Datenschutz-Folgenabschätzung. Diese räumt die Möglichkeit ein, einen Datentransfer und Datenverarbeitungen, auch auf der Grundlage einer Risikoabwägung zu begründen.
- Transparente Hinweise insb. an die eigenen Beschäftigten und Kunden zum Datenumgang in Form von Datenschutzhinweisen.
- Umsetzung einer internen Richtlinie zum Einsatz von MS 365 Produkten, die regelt, welche Formen der Nutzung erlaubt und welche unbedingt zu unterlassen sind.
Sollten die Lizenzen für Microsoft 365 nicht direkt von Microsoft, sondern über einen Handelspartner bezogen werden, müssen zudem weitere Punkte beachtet werden. Zudem sollte eine möglichst datenschutzkonforme technische Implementierung umgesetzt werden.
Bei weiteren Fragen und bei der Umsetzung der vorgestellten Maßnahmen stehen Ihnen die Kanzlei Vogel & Partner und die V-Formation GmbH gerne zur Verfügung.