12.09.2019

Datenschutzkonformer Einsatz von Microsoft Office 365 – Niederlande verhandeln eigene DSGVO-Lösung

Hintergrund

Die niederländische Regierung hat sich mit Microsoft auf eine besonders datenschutzfreundliche Gestaltung von Microsoft Office 365 ProPlus geeinigt, die auch allen anderen Anwendern der Cloud-Lösung von Microsoft zu Gute kommen können.

Die niederländische Regierung verfügt über eine speziell für Microsoft zuständige Beschaffungsstelle, diese Strategic Vendor Management Microsoft unit ist dem Ministerium für Justiz und Sicherheit zugeordnet und fungiert als zentrale Kontaktstelle für Microsoft innerhalb der niederländischen Regierung. Diese Beschaffungsstelle hat sich im Rahmen einer Datenschutz-Folgenabschätzung mit der datenschutzrechtlichen Zulässigkeit von Office 365 ProPlus für den Einsatz in niederländischen Regierungsbehörden auseinander gesetzt. Office 365 ProPlus umfasst insbesondere die cloudbasierten Versionen von Word, Outlook und Excel. Am 7. November 2018 veröffentlichte das Ministerium seinen Bericht, wonach weitreichende Änderungen am Produkt notwendig seien, um dieses im Einklang mit der Datenschutzgrundverordnung (DSGVO) nutzen zu können. Bereits vor der Veröffentlichung des Berichts hatte sich das Ministerium mit Microsoft auf einen Maßnahmenplan geeinigt, mit dem die aus Sicht des Ministeriums notwendigen Anpassungen für einen datenschutzkonformen Behördeneinsatz des Produktes ermöglicht werden sollten.

Das niederländische Ministerium für Justiz und Sicherheit hat nunmehr über den Abschluss der Verhandlungen mit Microsoft und deren Ergebnisse berichtet. Demzufolge hat Microsoft die dringendsten Änderungen des Maßnahmenplans erfolgreich umgesetzt.

Ergebnisse der Verhandlungen

Die Einigung mit Microsoft hat zu einer ganzen Reihe von Anpassungen geführt. Modifikationen waren insbesondere hinsichtlich der aus Sicht des Ministeriums unzureichenden Zweckbindung der Datenverarbeitung, der exzessiven Eigennutzung der Daten durch Microsoft und der Intransparenz der Verarbeitung erforderlich. Microsoft hat in der Folge die Verarbeitungszwecke im Umgang mit Diagnosedaten von ursprünglich acht auf drei reduziert. Ferner hat man sich auf ein grundsätzliches Verbot der Nutzung und Weitergabe der Daten an Dritte für Zwecke der Datenanalyse, Profilerstellung, Werbung und Marktforschung geeinigt. Darüber hinaus hat man sich darauf geeinigt, wie die Daten im Einklang mit den neuesten Standards anonymisiert werden.

Um die Umsetzung der vereinbarten Anpassungen überwachen zu können, hat das Ministerium sich gleichzeitig weitgehende Auditrechte einräumen lassen. Die Veröffentlichung des Ministeriums enthält außerdem verschiedene Empfehlungen zu technischen Einstellungen, die einen DSGVO-konformen Betrieb der Programme ermöglichen sollen. Da diese Veröffentlichung frei zugänglich ist, können hiervon auch Unternehmen profitieren, die ebenfalls auf die Cloud-Lösung von Microsoft umsteigen wollen.

Für die niederländische Regierung gehen mit dem Sachverhalt weitere Vorteile einher. Gemäß Art. 35 DSGVO hat der datenschutzrechtlich Verantwortliche eine Datenschutz-Folgenabschätzung vorzunehmen, wenn eine durch ihn verantwortete Datenverarbeitung voraussichtlich hohe datenschutzrechtliche Risiken birgt. Naturgemäß ist damit ein hoher Aufwand verbunden, wenn die einzelnen Behörden diese jeweils selbständig erstellen müssen. Die Beschaffungsstelle hat mit ihrer zentralen Datenschutz-Folgenabschätzung auf Basis des angepassten Programms nunmehr ein Ausgangsdokument geschaffen, auf dem die einzelnen Behörden aufsetzen können. Diese Muster-Datenschutz-Folgenabschätzung ermöglicht somit eine einheitlichere und effizientere Prüfung durch die einzelne Behörde. Ein ähnliches Vorgehen wird auch von den deutschen Datenschutzbehörden begrüßt. Insofern bietet es sich vor allem in größeren Unternehmen und Konzernen an, für die Durchführung der Datenschutz-Folgenabschätzungen standardisierte Prüfschema zu verwenden.

Einschränkungen

Abseits der datenschutzrechtlichen Verbesserungen der Microsoft Anwendungen, von denen grundsätzlich alle Kunden profitieren, kommen die Verhandlungsergebnisse naturgemäß vor allem den niederländischen Behörden zugute, da die vertraglichen Zusatzvereinbarungen, in denen die Verpflichtungen des für die Datenverarbeitung Verantwortlichen geregelt sind, nur für diese gelten. Gleichwohl zeigt die Verhandlungsbereitschaft auf Seiten von Microsoft, dass auch andere Unternehmen einen Versuch unternehmen sollten, entsprechende Zusatzvereinbarungen zu verhandeln. Gerade größere Konzernen dürften hier grundsätzlich einen gute Verhandlungsposition haben. Obwohl Office 365 damit nun höchstwahrscheinlich datenschutzkonform eingesetzt werden kann, gilt dies jedenfalls nicht für die Anwendungen Microsoft Office Online und die mobilen Microsoft Office Apps, die über den Apple Store für iOS und über Google Play für Android erhältlich sind. Diese waren Gegenstand einer eigenständigen Prüfung, nach der diese als (noch) nicht DSGVO-konform nutzbar eingestuft wurden. Hier dürften ebenfalls weitere Verhandlungen und Verbesserungen auf Seiten von Microsoft anstehen.

Ausblick

Mit Spannung darf erwartet werden, welche Auswirkungen die veröffentlichten Verhandlungsergebnisse auf die Positionierung anderer Staaten, insbesondere die deutschen Aufsichtsbehörden, sowie auf weitere Global Player wie Microsoft haben werden. Bereits jetzt ist absehbar, dass die niederländische Regierung auch die Abstimmung mit anderen Software- und IT-Anbietern suchen wird. Die Existenz einer zentralen Kontaktstelle, die die Verhandlungen für sämtliche Regierungsstellen gebündelt führt, ist dabei sicherlich hilfreich. Vielleicht ermöglicht die gebündelte Kaufkraft von Staaten mittelfristig, Global Player zu einer restriktiveren Datenhandhabung zu motivieren. Ob dem Datenschutz auf Basis einer Verhandlungslösung schneller zur Durchsetzung verholfen werden kann, als dies im Wege der Androhung von Bußgeldern durch Datenschutzbehörden möglich ist, wird sich zeigen.

Letztlich erscheint nach den Nachbesserungen auf Seiten von Microsoft ein datenschutzkonformer Einsatz von Office 365 auch in Deutschland für möglich. Allerdings müssen Unternehmen, die Office 365 einsetzen wollen, ebenfalls entsprechende Maßnahmen einleiten. Hierzu gehört sowohl das Durchführen einer Datenschutz-Folgenabschätzung als auch die datenschutzkonforme Gestaltung der Microsoft Programme.

Das niederländische Ministerium für Justiz und Sicherheit hat jedenfalls bereits in Aussicht gestellt, anderen Parteien mit Informationen und Ratschlägen zur Seite zu stehen.

 

Johannes Klausch, LL.M. (London)
Rechtsanwalt
Senior Associate
Luther Rechtsanwaltsgesellschaft mbH
Berlin
Telefon +49 30 52133 21165
johannes.klausch(at)luther-lawfirm.com