Teil 1: Microsoft 365: Aufsichtsbehörden im Fokus – Was sagen die Datenschützer?
Dies ist der Auftakt einer Beitragsreihe zur rechtskonformen Nutzung von Anwendungen und Diensten der cloudbasierten „Produktivitätsplattform“ Microsoft 365 (Word, Excel, Powerpoint, Outlook, OneDrive, Teams, Sharepoint etc.).
Große Aufmerksamkeit hat die am 3. Mai 2024 veröffentlichte Mitteilung des Landesbeauftragten für den Datenschutz Niedersachen (LfD) zur Nutzung von Microsoft Teams in der niedersächsischen Landesverwaltung gefunden. Der LfD äußert sich darin zu der datenschutzrechtlichen Vereinbarung, auf die sich das Landesministerium für Inneres und Sport mit Microsoft im April 2024 geeinigt hat. Die erzielte Ausgestaltung der Auftragsvereinbarung hält der LfD für „akzeptabel“. Nachdem frühere Stellungnahmen von Datenschutzaufsichtsbehörden in Teilen der Fachöffentlichkeit so wahrgenommen wurden, als sei ein DSGVO-konformer Einsatz von Microsoft 365 kaum möglich, sehen sich nun jene Stimmen bestärkt, die diese Äußerungen vor allem als hilfreiche Sensibilisierung für die Risiken der Microsoft-Produkte verstanden haben, um hieraus risikominimierende Lösungen für den konkreten Anwendungsfall abzuleiten.
Dieser einführende Beitrag skizziert die bisherigen Stellungnahmen der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) zu Microsoft 365. Die weiteren Teile der Beitragsreihe sind mit dem Fokus auf die Nutzung von Mikrosoft 365 in Behörden und öffentlichen Stellen den folgenden Themen gewidmet:
Teil 1: Leitungsverantwortung
Teil 2: BayLfD (u.a.), Microsoft als Auftragsverarbeiter beim Einsatz von „Microsoft 365“. Handreichung (1. September 2023).
Teil 3: Europäischer Datenschutzbeauftragter, Beschluss über die Untersuchung der Nutzung von Microsoft 365 durch die EU-Kommission (8. März 2024).
Teil 4: § 203 StGB Verletzung von Privatgeheimnissen
Teil 5: Personalakten
Teil 6: Datenschutz-Folgenabschätzung
Teil 7: Verzeichnis von Verarbeitungstätigkeiten
Teil 8: Informationspflichten
Teil 9: Cloud-Richtlinie
Teil 10: Exit-Strategie
Teil 11: Basiskonfiguration
Teil 12: Mitbestimmung.
2. Stellungnahmen der DSK
2.1 DSK-Festlegung vom 24. November 2022
Wie die DSK in ihrem Beschluss vom 24. November 2022 zur Arbeitsgruppe DSK „Microsoft-Onlinedienste“ feststellte, konnte von Verantwortlichen der Nachweis, Microsoft 365 datenschutzkonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht – wie von Art. 5 Abs. 2 DSGVO („Rechenschaftspflicht“) gefordert – geführt werden. Insbesondere erfüllte diese Standard-Auftragsverarbeitungsvereinbarung (Products and Services Data Protection Addendum – „DPA“) nicht die Anforderungen nach Art. 28 Abs. 3 DSGVO. Nach Feststellung der DSK stellte Microsoft weder die erforderliche Transparenz der Verarbeitung personenbezogener Daten für eigene Zwecke her, noch belegte Microsoft deren Rechtmäßigkeit.
2.2 Dritte Zwischenkonferenz der DSK vom 27. September 2023
Mit dem geänderten DPA vom 1. Januar 2023 (und den entsprechenden Erläuterungen in den Produktbestimmungen) wurde der offizielle Beginn der Microsoft EU Data Boundary (zunächst nur für „Kundendaten“) für die Microsoft Cloud vollzogen.
Die EU-Datengrenze, die für die „Data Boundary Online Services“ im DPA vom 2. Januar 2024 allgemein auf personenbezogene Daten erweitert wurde, soll in ihrer Endausbaustufe eine weitgehende Datenspeicherung und -verarbeitung innerhalb der Länder der EU und der Europäischen Freihandelsassoziation (EFTA) gewährleisten.
Auf Grund der Einführung der EU Data Boundary beschloss die DSK Ende Januar 2023, das DPA vom 1. Januar 2023 einer Prüfung zu unterziehen. Wie das Bayerische Landesamt für Datenschutzaufsicht auf der 3. Zwischenkonferenz der DSK am 27. September 2023 (TOP 7, S.4) ausführte, gelangte man im Laufe der Prüfung zu der Einschätzung, dass die EU Data Boundary letztlich nichts an der Bewertung ändere, die die DSK im November 2022 zum Auftragsverarbeitungsvertrag von Microsoft beschlossen hatte. Eine abschließende DSK-Bewertung des DPA vom 1. Januar 2023 ist bis heute nicht veröffentlicht worden.
Die letzte Aktualisierung des DPA datiert vom 2. Januar 2024. Neben der bereits erwähnten Ausdehnung der EU Data Boundary auf personenbezogene Daten stellt das neue DPA u.a. klar, dass sämtliche Übermittlungen in ein Drittland den Bedingungen der Standardvertragsklauseln der EU-Kommission von 2021 unterliegen.
Insidas berät Sie umfassend zu allen datenschutzrechtlichen Fragen der Nutzung von Microsoft 365 und unterstützt Sie mit speziell auf Ihren Bedarf zugeschnittenen Cloud-Check-Paketen wirkungsvoll bei der rechtskonformen Umsetzung.
