Office 365: Microsoft bessert beim Datenschutz nach

Inhaltsverzeichnis

Im Lichte des Schrems-II-Urteils des Europäischen Gerichtshofs (EuGH) zum internationalen Datenverkehr hat Microsoft seinen Auftragsverarbeitungsvertrag noch einmal überarbeitet. Die aktuelle Version des "Microsoft Products and Services Data Protection Addendum" (DPA) stammt vom 15. September und geht auf neue Vorgaben der EU-Kommission ein. Der Zusatz zur Datenschutzerklärung umfasst unter anderem die Datenverarbeitung über das Office-Paket Microsoft 365, das trotz einiger Open-Source-Alternativen in vielen Firmen und Behörden eingesetzt wird.

Mit dem Schrems-II-Urteil erklärte der EuGH den transatlantischen "Privacy Shield" und damit eine der wichtigsten Grundlagen für den Transfer von Kundendaten in die USA für ungültig. Als alternatives Instrument für Datenübermittlungen bleiben noch die sogenannten Standardvertragsklauseln (SVK) übrig. Die EU-Kommission bemühte sich folglich, diese Regeln an die Rechtsprechung der Luxemburger Richter anzupassen. Eine neue Version veröffentlichte sie Anfang Juni 2021.

Geänderte Standardvertragsklauseln

Microsoft hat nun die alten SVK der Kommission von 2010 in dem neuen DPA gestrichen und durch die aktuelle Version ersetzt. Dies sei schon allein deswegen nötig geworden, weil mit dem Inkrafttreten der neuen Standardvertragsklauseln ein Datentransfer in Drittländer nur noch bis 27. Dezember 2022 auf die bisherigen SVK hätte gestützt werden dürfen, erläutern die Rechtsanwälte Stefan Hessel und Christoph Callewaert von der Kanzlei Reuschlaw in einem Beitrag auf Microsofts Social-Media-Portal LinkedIn.

Die damit allein gültigen neuen SVK werden dabei in Modul 3 zu Transfers von Auftragsverarbeitern abgeschlossen, berichten die beiden Juristen: "Drittlandsübermittlungen erfolgen somit von Microsoft Irland als Datenexporteur." Zuvor hatte etwa Google bereits vor einem Jahr für seine Cloud-Services die neuen Standardvertragsklauseln verfügbar gemacht.

Damit einher gehen erstmals Garantien, "um etwaige Auswirkungen der Gesetze des Bestimmungsdrittlands" auf die Einhaltbarkeit der Klauseln durch den Datenimporteur zu regeln. Dabei gilt es vor allem vorab zu klären, "wie mit verbindlichen Ersuchen von Behörden im Drittland nach einer Weitergabe der übermittelten personenbezogenen Daten umzugehen ist". Nutzer der neuen SVK müssen zudem ergriffene Maßnahmen benennen, mit denen die Menge der persönlichen Daten vor einem Transfer möglichst gering gehalten, pseudonymisiert und verschlüsselt wird.

Präzisiert hat Microsoft zudem die Angaben, welche Daten zu eigenen Zwecken genutzt werden. Der US-Konzern erläutert so etwa, statistische, nicht-personenbezogene Daten aus pseudonymisierten Daten zu aggregieren und Statistiken zu erstellen. Er versichert dabei, auf die Inhalte von Kundendaten nicht zuzugreifen und diese so auch nicht zu analysieren. Bisher genannte Zwecke wie der Kampf gegen Betrug, Cyberkriminalität oder Hackerangriffe finden sich hier nicht mehr.

Offenlegung verarbeiteter Daten

Die Offenlegung von verarbeiteten Daten – insbesondere gegenüber staatlichen Behörden – sei einer der meistdiskutierten und umstrittensten Aspekte zum Datenschutz bei Microsoft 365, schreiben Hessel und Callewaert. Neben den bereits bestehenden Garantien, etwa jede einzelne staatliche Anfrage zu personenbezogenen Daten zu prüfen und im Fall von Zweifeln an der Rechtmäßigkeit anzufechten, stelle Microsoft in dem neuen DPA noch einmal klar, dass der Maßstab für eine etwaige Herausgabe von Informationen die Datenschutz-Grundverordnung (DSGVO) sei. Offenlegungen erfolgten damit "unmissverständlich am Maßstab des europäischen Rechts".

Ferner hebt der Softwareriese hervor, dass er selbst die Folgenabschätzung für Datentransfers in Drittländer wie die USA als Exporteur durchführe. Damit obliegt die Bewertung der Rechtslage in dem jeweiligen Staat jenseits der EU und die Gewährleistung eines angemessenen Datenschutzniveaus in erster Linie Microsoft.

Die beiden Anwälte bewerten die Anpassungen "insgesamt positiv". Zumindest habe der Konzern rund um die vertraglichen Vereinbarungen "mehrere Kritikpunkte der Aufsichtsbehörden adressiert" und einen klaren Bezug zur DSGVO hergestellt. Prinzipiell sei so "ein datenschutzkonformer Einsatz von Microsoft 365" zusammen "mit einer Datenschutzfolgenabschätzung und geeigneten technischen und organisatorischen Maßnahmen zur Reduzierung von Risiken" möglich. Verantwortliche sollten daher – auch vor dem Hintergrund der aktuellen Überprüfungen des Einsatzes von Microsoft 365 durch die Datenschutzaufsichtsbehörden – einen Abschluss des neuen DPA über eine Zusatzvereinbarung prüfen.

Einhaltung der Datenschutzbestimmungen

Die Datenschutzkonferenz des Bundes und der Länder (DSK) hatte 2020 noch beschlossen, dass derzeit "kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich ist". Experten des Gremiums hatten zuvor über ein halbes Jahr lang geprüft, ob die Datenschutzbestimmungen und Online-Geschäftsbedingungen für das Cloud-basierte Softwarepaket mit Artikel 28 der DSGVO zur Auftragsdatenverarbeitung vereinbar sind. Ihr Ergebnis fiel negativ aus. Wer die Cloud-Variante etwa von Word, Excel, Powerpoint oder Teams ohne Anpassungen nutzt, handelt demnach nicht rechtskonform.

Schon die Arten der personenbezogenen Daten und der Zweck, warum sie verarbeitet werden, bleibe in den Online Service Terms (OST) sowie dem geprüften DPA vom Januar 2020 unklar, rügten die Kontrolleure. Daher sei es auch nicht möglich, gegebenenfalls gesonderte datenschutzrechtliche Anforderungen und Risikostufen zu bestimmen. Solche Angaben müssten eigentlich schon aus dem Auftragsverarbeitungsvertrag ersichtlich sein. Kritiker der Entscheidung haben aber wiederholt darauf hingewiesen, dass das herangezogene DPA längst nicht mehr dem aktuellen Stand bei Microsoft entspreche.

(olb)