10.11.2023
Sieben Datenschutzaufsichtsbehörden veröffentlichten am 22. September 2023 eine neue Handreichung hinsichtlich der Nutzung von Microsoft 365. Darin stellen sie insbesondere Vorschläge für eine vertragliche Zusatzvereinbarung mit Microsoft dar. Der Beitrag gibt einen Überblick über die Handreichung und ihre Auswirkungen.
Im November 2022 stellte die Datenschutzkonferenz (DSK) fest, dass die Auftragsverarbeitungsvereinbarung von Microsoft (das sog. „Products and Services Data Protection Addendum“, kurz „DPA“) nicht den Anforderungen von Art. 28 Abs. 3 DSGVO entspreche. In Gesprächen einigten sich die DSK und Microsoft auf Nachbesserungen. Microsoft begann daraufhin im Januar 2023 mit der Umsetzung der ersten Phase der EU Data Boundary. Die EU Data Boundary betrifft aber lediglich den Kritikpunkt des unzulässigen Datentransfers in ein unsicheres Drittland.
Ein anderer Schwerpunkt der Kritik der DSK bezog sich darauf, dass Microsoft die Zwecke die Verarbeitung nicht hinreichend transparent darstelle. Die Krux daran ist, dass Microsoft regelmäßig als Auftragsverarbeiter agiert. Das beauftragende Unternehmen bleibt dann die verantwortliche Stelle und als solche rechenschaftspflichtig. Zur Erfüllung der Rechenschaftspflicht hat der Verantwortliche jederzeit nachweisen zu können, dass die Datenverarbeitung rechtmäßig ist. Fehlt es den verantwortlichen Stellen jedoch an transparenten Informationen, kann sich dieser Nachweis schwierig bis unmöglich gestalten. In diesen Fällen kann die fehlende transparente Information über die Verarbeitung zu einem Verstoß gegen die Rechenschaftspflicht des Verantwortlichen führen und Grundlage für ein späteres Bußgeld sein.
Zur Einhaltung der Vorgaben an die Transparenz und die daraus folgende Möglichkeit zur Einhaltung der Rechenschaftspflicht hat der Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen) am 22. September 2023 eine Handreichung veröffentlicht, die eine datenschutzkonformere Nutzung von Microsoft 365 ermöglichen soll. Interessanterweise handelt es sich um eine in Kooperation mit anderen Datenschutzbeauftragten erarbeitete Handreichung, die nicht über die DSK veröffentlicht wurde.
Der LfD Niedersachsen wendet sich mit seiner Handreichung primär an die Kunden von Microsoft (Unternehmen wie auch öffentliche Stellen) und legt ihnen den Abschluss einer Zusatzvereinbarung nahe. Durch die Anpassungen in der Zusatzvereinbarung sollen sich bislang kritische Punkte an der Verarbeitung durch Microsoft beheben lassen. Die Handreichung gibt dazu Handlungshinweise und benennt wesentliche ToDo‘s. Die Ausführungen in der Handreichung lassen sich für eine bessere Übersicht in sechs Kriterien unterteilen:
Neben diesen Eckpunkten für vertragliche Anpassungen enthält die Handreichung auch weitere Empfehlungen für eine risikoärmere Nutzung von Microsoft 365. Insbesondere sei zu prüfen, ob ein Betrieb von Microsoft 365 auf eigenen IT-Strukturen möglich sei. Auch legt die Handreichung nahe, die Übermittlung von Telemetriedaten vorab zu filtern (etwa über eine Firewall). Zudem sprechen sich die beteiligten Aufsichtsbehörden in der Handreichung gegen die Nutzung privater Microsoft-Accounts und eigener privater Geräte aus. Abschließend enthält die Handreichung noch einen gesonderten Hinweis für Bildungseinrichtungen. Diese sollen bei Abschluss des Vertrags über die Auftragsverarbeitung darauf achten, dass keine verpflichtende Einwilligung der Eltern von Schülern in die Nutzung von Microsoft 365 an der Schule vereinbart wird.
Der Abschluss einer Zusatzvereinbarung mit Microsoft kann ein Mittel sein, um größere Rechtssicherheit bei der Nutzung von Microsoft 365 zu schaffen. So sieht die Handreichung an wesentlichen Punkten der Zusatzvereinbarung strengere Vorgaben an die Auftragsverarbeitung durch Microsoft vor, indem sie etwa die Position des Verantwortlichen durch ein klar formuliertes Weisungsrecht stärken würde. Auch ließe sich über den Abschluss einer Zusatzvereinbarung besser dem Einwand entgegentreten, dass die Vereinbarungen mit Microsoft nicht den Vorgaben an eine Auftragsverarbeitung nach Art. 28 DSGVO entsprechen.
Es ist aber in der Praxis fraglich, ob Verhandlungen mit Microsoft tatsächlich zu den in der Handreichung geforderten Anpassungen führen würden. So setzt eine vertragliche Anpassung die Bereitschaft von Microsoft voraus, überhaupt mit jedem Kunden in Vertragsverhandlungen zu treten und anschließend auch eine Zusatzvereinbarung mit den geforderten Inhalten abzuschließen. Fehlt es an dieser Bereitschaft aufseiten von Microsoft, besteht die Gefahr, lediglich Ressourcen und Kapazitäten zu verschwenden. Insofern könnte es aus unternehmerischer Sicht ratsam sein, zunächst die Reaktion von Microsoft auf diese Verlautbarungen abzuwarten.
Ungeachtet dessen stellt die Handreichung eine Orientierungshilfe dar, wo Anpassungsbedarf bei den vertraglichen Vereinbarungen mit Microsoft bestehen kann. Im Übrigen lassen sich die weiteren Hinweise zum Umgang mit Microsoft 365 (etwa der empfohlene Ausschluss einer Nutzung privater Mail-Accounts) heranziehen, um die Risiken bei der Nutzung von Microsoft 365 zu verringern. Die Umsetzung derartiger Hinweise kann sich zumindest auf das Ergebnis einer entsprechenden Datenschutzfolgenabschätzung zur Nutzung von Microsoft 365 positiv auswirken.
Dennis Göbel