Wir haben in unserem Blog bereits an zahlreichen Stellen über mögliche Datenschutzverletzungen sowie deren Eintrittsszenarien berichtet. Eine potenzielle Datenschutzverletzung, welche häufiger nicht die praktische Bedeutung erfährt, welche sie eigentlich genießen sollte, haben wir bisher noch unbeachtet gelassen: Weitreichende Zugriffsrechte, welche die unbefugte Kenntnisnahme von (personenbezogenen) Daten ermöglichen. Der Bayrische Landesbeauftragte für den Datenschutz (BayLfD) veröffentlichte Mitte Januar 2026 eine Kurz-Information unter dem Titel „Dateiablagen als Quelle von Datenpannen“.  Der BayLfD bietet mit seinen „Aktuellen Kurz-Informationen“ praxisnahe Hinweise zur Datenschutz-Grundverordnung für öffentliche Stellen und Unternehmen. Gründe genug also sich einmal näher mit den entsprechenden Fallkonstellationen auseinander zu setzen. Die Kurz-Information Nr. 65 soll im Mittelpunkt unseres heutigen Blog-Beitrages stehen.

First at all: Unbfugte Kenntnisnahme als Datenschutzverletzung

Zur Erinnerung: Nach Art. 4 Nr. 12 DS-GVO ist eine Verletzung des Schutzes personenbezogener Daten eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

In den durch den BayLfD geschilderten Fällen handelt es sich vielmals um eine unbefugte Offenlegung. Eine Offenlegung liegt dabei vor, wenn die jeweils betroffenen personenbezogenen Daten einem Empfänger gemäß Art. 4 Nr. 9 DS-GVO zur Kenntnis gelangen. Nach hier vertretener Ansicht ist es dafür unerheblich, ob es sich hierbei um einen internen oder externen Empfänger handelt.

Der Europäische Datenschutzausschuss führt hierzu in seinen Leitlinien 9/2022 für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der DS-GVO aus: „Die unrechtmäßige oder unbefugte Verarbeitung schließlich kann die Offenlegung personenbezogener Daten gegenüber (bzw. den Zugang zu personenbezogenen Daten von) Empfängern, die nicht zum Erhalt der (bzw. zum Zugang zu den) Daten befugt sind, sowie jede andere Form der Verarbeitung unter Verstoß gegen die DSGVO beinhalten.“

Abzustellen ist demnach auf die nicht vorliegende Autorisierung bzw. Befugnis zur Kenntnisnahme der Daten. Obwohl insofern ein Zusammenhang mit der Zulässigkeit der Datenverarbeitung besteht (zur Erinnerung: eine Datenschutzverletzung im Sinne des Art. 4 Nr. 12 DS-GVO setzt eine Verletzung der Sicherheit voraus, nicht einen Verstoß gegen die Rechtmäßigkeit der Datenverarbeitung), ist für die Schutzverletzung nur auf die technischen und organisatorischen Maßnahmen abzustellen.

Dagegen kann durchaus hinterfragt werden, ob die Verletzung der Sicherheit voraussetzt, dass tatsächlich eine Kenntnisnahme der personenbezogenen Daten durch unbefugte Personen erfolgt ist oder die Möglichkeit der Kenntnisnahme ausreicht. Richtigerweise wird man davon ausgehen müssen, dass in den Fällen der unbefugten Offenlegung eine Verletzung der Sicherheit bereits eingetreten ist, wenn die Offenlegung erfolgt ist. Dagegen wird man die Frage, ob tatsächlich eine Kenntnisnahme stattgefunden hat, im Rahmen der Bewertung der Höhe des Risikos nachgehen und ob möglicherweise technische und organisatorische Maßnahmen (beispielsweise Löschbestätigung ohne Sichtung von Datensätzen) das potenzielle Risiko minimieren oder ausschließen.

Nun zur besagten Kurzinformation

Zurück zum Paper des BayLfD. Betrachtet werden (zentrale) Dateiablagen in Form von Verzeichnissen auf einem Server wie auch elektronische Akten oder ähnlichem: „Oftmals sind zentrale Dateiablagen als eigene Laufwerke mit einem festen Laufwerksbuchstaben eingerichtet, auf die je nach Größe der Dienststelle alle Beschäftigten oder – etwa nach Organisationseinheiten gegliedert – größere oder kleinere Gruppen zugreifen können. Die Verzeichnisnamen in den Laufwerken sind in der Regel so gewählt, dass für die Beschäftigten ersichtlich ist, welche Kategorien von Informationen dort zu erwarten sind.“

Zur Vermeidung von Datenschutzverletzungen im Zusammenhang mit Verzeichnissen und Dateiablagen rät der ByLfD zu folgenden Maßnahmen:

• Prüfen von Berechtigungen, bevor personenbezogene Daten in einem Verzeichnis abgelegt werden;
• Im Zweifel sind neue Verzeichnisse anzulegen;
• Seitens des Verantwortlichen wird zudem das Festlegen von zentralen Anforderungen bzw. Vorgaben für Dateiablagen aufgeführt (z. B. Festlegung von Zuständigkeiten für die Löschung von Dateien, Ergreifen zusätzlicher Maßnahmen bei der Ablage von sensiblen Daten wie Erstellung von Unterverzeichnissen oder Berechtigungsbeschränkungen bzw. Vergabe von Passwörtern) sowie Vergabe von Löschfristen.

Ähnliche Problemstellung, anderes System: Microsoft SharePoint

Die Nutzung von Microsoft SharePoint als Plattform für die gemeinsame Dokumentenverwaltung bringt in seiner Verwendung häufig ähnliche Probleme mit sich: „Obwohl SharePoint durch seine Funktionen zur Versionierung, Zugriffssteuerung und Zusammenarbeit viele Vorteile bieten kann, besteht auch hier die Gefahr, dass Datenpannen auftreten, insbesondere wenn Berechtigungen nicht sorgfältig verwaltet werden.“ Bei SharePoint können Berechtigungen auf unterschiedlichen Ebenen (Site-, Bibliotheks- oder Dokumentenebene) vergeben werden. Hierdurch entsteht mitunter eine hohe Komplexität. Dies gilt insbesondere, wenn diverse Dateiablagen im SharePoint von unterschiedlichen Teams genutzt werden.

Im Vergleich zu „normalen“ Dateiablagen bietet SharePoint jedoch die Möglichkeit sogenannte Audit-Logs zu protokollieren, um potenzielle Zugriffe nachzuverfolgen. Wiederrum sollte man Vorsicht walten lassen, das die Auswertungen der Zugriffsrechte wiederrum einen Zugriff auf personenbezogene Daten darstellen kann und somit einer (datenschutzrechtlichen) Rechtfertigung bedarf.

Fazit

Der BayLfD kommt im Ergebnis daher zu den Kernaussagen, dass Betriebsmittel wie gemeinsame Datenablagen oder Austauschverzeichnisse eine häufige Quelle von Datenpannen bzw. Datenschutzverletzungen sein können und dass bei der Arbeit sowie der Administration solcher Datenablagen und Verzeichnisse durch leicht umsetzbare Routinen einfache Verletzungshandlungen vermieden werden können. Beide Ansichten überzeugen. In der täglichen Arbeit stellen wir ebenso fest, dass leicht zu derartigen Verletzungen durch unbefugte Offenlegungen kommen kann. All zu leicht sind weitreichende (Lese-)Rechte eingerichtet, ohne dass es hierfür entsprechende Rechtfertigungen gibt. Ein handfestes Berechtigungskonzept kann hier beispielsweise Abhilfe schaffen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Erst vor kurzem haben wir über den aktuellen Stand in Sachen Microsoft vs. Datenschutz berichtet. Seitdem hat sich wieder einiges getan. Den Stein brachte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder – Datenschutzkonferenz (DSK) mit neuen Veröffentlichungen ins Rollen. Ein Update zur aktuellen Rechtslage soll der nachstehende Beitrag liefern.

Die DSK äußert sich wiederholt zu Microsoft 365

Auslöser des erneuten Gesprächsstoffs war die Veröffentlichung einer Festlegung der DSK in Sachen Microsoft 365 samt Zusammenfassung des der Festlegung zugrundeliegenden Berichtes der Arbeitsgruppe „Microsoft-Onlinedienste“ am 25. November 2022. In dieser Festlegung hält die DSK zunächst in Ziff. 1 fest, dass sie den vorbezeichneten Bericht und dessen Zusammenfassung zur Kenntnis genommen hat. Darüber hinaus folgt in Ziff. 2 unter datenschutzrechtlichen Gesichtspunkten der direkte Hammer:

„Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann.“ Und weiter: „Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.“

Dies bedeutet für datenschutzrechtlich Verantwortliche, da insbesondere aus Transparenzgründen der Nachweis eines datenschutzkonformen Einsatzes von Microsoft 365 den Verantwortlichen nach Ansicht der DSK, anhand der seitens Microsoft aktuell zur Verfügung gestellten vertraglichen Dokumenten nicht gelingt, verstoßen diese zumindest gegen ihre Rechenschaftspflicht aus Art. 5 Abs. 2 DS-GVO. Einen Blick in Art. 83 DS-GVO sparen wir uns an dieser Stelle. Der Vollständigkeit halber sei noch erwähnt, dass in Ziff. 3 der Festlegung die DSK festhält, dass eine Zusammenfassung der Arbeitsgruppenergebnisse zur Verfügung gestellt wird. Mittlerweile ist am 7. Dezember 2022 eine Veröffentlichung des Abschlussberichtes der Arbeitsgruppe erfolgt, der der Positionierung der DSK zu Grunde liegt. Sicherlich wäre hier mit Blick auf den Prüfungsumfang mehr drin gewesen, aber nüchtern betrachtet ist es nicht Aufgabe der DSK, Produkte auf deren Datenschutzkonformität zu überprüfen. Die Hauptkritikpunkte treten aber deutlich hervor: Transparenz, Transparenz und nochmals Transparenz.

Wie reagiert Microsoft?

Microsoft Deutschland hat auf die oben dargestellten Dokumente der DSK seinerseits umgehend reagiert und eine „Stellungnahme zur datenschutzrechtlichen Bewertung von Microsoft 365 durch die DSK“ veröffentlicht. Hierin heißt es zunächst:

„Wir teilen die Position der DSK nicht. Wir stellen sicher, dass unsere M365-Produkte die strengen EU-Datenschutzgesetze nicht nur erfüllen, sondern oft sogar übertreffen. Unsere Kunden in Deutschland und in der gesamten EU können M365-Produkte weiterhin bedenkenlos und rechtssicher nutzen.“ Dem nicht genug: „Die von der DSK geäußerten Bedenken berücksichtigen die von uns bereits vorgenommenen Änderungen nicht angemessen und beruhen auf mehreren Missverständnissen hinsichtlich der Funktionsweise unserer Dienste und der von uns bereits ergriffenen Maßnahmen.“

Das sollte man erst einmal auf sich wirken lassen. Microsoft lässt hier zunächst durchblicken, dass sie der Meinung sind, die DSK – respektive die zuständige Arbeitsgruppe – habe die Funktionsweise der Microsoft-Onlinedienste nicht angemessen berücksichtigt oder einfacher ausgedrückt, nicht verstanden. Nichts desto trotz geht Microsoft auf die DSK und deren Forderung nach mehr Transparenz ein: „Wir nehmen uns die Forderung der DSK nach mehr Transparenz zu Herzen. Während unsere Transparenzstandards schon jetzt die der meisten anderen Anbieter in unserem Sektor übertreffen, verpflichten wir uns, noch besser zu werden. Insbesondere werden wir im Rahmen unserer geplanten EU-Datengrenze im Sinne der Transparenz weitere Dokumentationen über die Datenströme unserer Kunden und die Zwecke der Verarbeitung bereitstellen. Wir werden auch mehr Transparenz über die Standorte und die Verarbeitung durch Unterauftragsverarbeiter und Microsoft Mitarbeiter außerhalb der EU schaffen.“

Siehe da, nicht nur bekommen noch die Konkurrenten einen Seitenhieb ab, obwohl man Microsoft wohl zugutehalten kann und wohl auch muss, dass für sie im Vergleich zu anderen US-Techgiganten Datenschutz nicht nur für eine Phrase halten. Auch die DSK wird nochmals adressiert: „Microsoft hat vollumfänglich mit der DSK kooperiert, und obwohl wir mit der Bewertung der DSK nicht einverstanden sind, möchten wir verbleibende Bedenken ausräumen.“

Und sonst?

Neben der DSK haben sich auch andere aktive und ehemalige Landesdatenschutzbeauftragte zu Wort gemeldet. So ist in einem Interview mit Dr. Stefan Brink (Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg – LfDI) zu lesen, dass die Arbeitsgruppe Microsoft im Rahmen von Anhörungen aktiv einbezogen und daher sehr häufig mit Microsoft geredet wurde und sogar die Untersuchungsergebnisse Microsoft auch vorab zur Verfügung gestellt wurden. Und weiter führt Dr. Brink aus: „Die Ergebnisse der Arbeitsgruppe waren dann auch aus meiner Sicht nicht überraschend. Es war absehbar, dass es Probleme insbesondere mit der Transparenz und der Nachvollziehbarkeit der Datenverarbeitungen geben würde.“

Im Ergebnis sieht der LfDI dann ähnlich wie die DSK die nunmehr bestehende Hauptprüfungspflicht – zur Erfüllung der Rechenschaftspflicht aus Art. 5 Abs. 2 DS-GVO bei den datenschutzrechtlichen Verantwortlichen, also von Behörden, Unternehmen über Vereinen bis hin zum Blumenhändler um die Ecke jeden, der Microsoft 365 im Einsatz hat oder einsetze möchte. Allerdings lässt der LfDI auch Hoffnung am Horizont aufkommen: „[…]wenn es in absehbarer Zeit aus Perspektive des Verantwortlichen gelingt, den Dienstleister Microsoft und sein Angebot weiter zu verbessern. Und da gibt es immer auch positive Entwicklungen zu verzeichnen. Microsoft hat sich wiederholt beschwert, dass aus den DSK-Beschlüssen nicht hinreichend ersichtlich würde, dass sie erhebliche Verbesserungen vorgenommen haben. Und das stimmt auch: Das Angebot von Microsoft ist inzwischen besser als vor zwei Jahren. Aber es reicht gemessen an den Maßstäben der DSK halt noch nicht.“

Ebenfalls hat sich der Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (TLfDI) Dr. Lutz Hasse zu Wort gemeldet, wie einem aktuellen Beitrag zu entnehmen ist. Der TLfDI will mit den Verantwortlichen über die Umsetzung des Beschlusses der Datenschutzkonferenz zur Office-Software Microsoft sprechen: „Konsequenz könnte laut Hasse sein, dass die Software nicht mehr verwendet werden kann.“

Aber auch Thomas Kranig (Präsident des Bayerischen Landesamtes für Datenschutzaufsicht a. D) .äußert sich gemeinsam mit Kristin Benedikt und Prof. Dr. Rolf Schwartmann in einem Beitrag. Dabei erfolgt zuweilen eine sehr kritische Auseinandersetzung mit der Thematik: „Nach dem Willen der Aufsicht soll hierzulande die Nutzung von Microsoftprodukten also faktisch eingestellt werden. Nehmen Deutschlands Unternehmen, Schulen, Städte und Gemeinden, Gerichte und Gesetzgebungseinrichtungen die Empfehlung zu diesem „digitalen Lockdown“ ernst, dann steht hier faktisch alles still, denn es gibt keine alternative Software, die in der Fläche einsetzbar wäre.“ Dem ist aus Sicht der Praxis nichts hinzuzufügen. Verantwortliche werden durch die Datenschutzaufsicht derzeit vor schier unlösbare Aufgaben gestellt.

Fazit

Wer bei der rasanten Entwicklung und der fortwährenden Streitigkeit zwischen Microsoft und der DSK den Überblick verloren hat oder ihn gar nicht erst behalten wollten, für diejenigen stellen die Kollegen Steffan Hessel und Christina Kiefer eine Gegenüberstellung der wesentlichen Aussagen der Datenschutzkonferenz und von Microsoft bereit. Festzuhalten bleibt, dass die Rechtslage in Bezug auf den Einsatz von Microsoft 365 alles andere als rechtssicher bezeichnet werden darf. Datenschutzrechtlich Verantwortliche sollten sich bei dem Einsatz intensiv mit den datenschutzrechtlichen Verpflichtungen auseinandersetzen. Verantwortliche, die auf externe Unterstützung zurückgreifen sollten spätestens dann hellhörig werden, wenn mit dem datenschutzkonformen Einsatz von Microsoft 365 geworben wird. Daneben bleibt für die Anwender zu hoffen, dass es entweder seitens Microsoft weitere Anpassungen erfolgen oder dass letztendlich eine gerichtliche Entscheidung für Rechtssicherheit sorgt.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Einsatz und Verwendung von Microsoft 365 im Lichte datenschutzrechtlicher Bestimmungen ist bereits seit vielen Jahren immer wieder Thema und Ausgangspunkt zahlreicher Diskussion über den Einsatz der wohl meistgenutzten Software weltweit. Wir haben bereits in der Vergangenheit über die Thematik berichtet. Der nachfolgende Beitrag beschäftigt sich erneut mit der „Problematik“ Microsoft 365 und soll die aktuellen datenschutzrechtlich relevanten Entwicklungen aufzeigen. 

Wo liegt das datenschutzrechtliche Problem beim Einsatz von Microsoft 365?

Bei dem Einsatz von Microsoft 365 werden unter Berücksichtigung datenschutzrechtlicher Gesichtspunkte üblicherweise die folgenden Probleme angeführt: Es kann nicht ausgeschlossen werden, dass Microsoft bestimmte Nutzungsdaten für eigene Zwecke verwendet oder an Werbepartner weitergibt. Ferner erfolgt bei der Nutzung eine Übermittlung von bestimmten Kategorien von Nutzerdaten.

Die bisher zwischen Microsoft und den Kunden geschlossenen Nutzungsbedingungen (Online Service Terms – OST) bzw. der Auftragsverarbeitungsvertrag (Date Processing Agreement – DPA) entsprachen nach Ansicht der Datenschutzaufsichtsbehörden nicht den datenschutzrechtlichen Anforderungen. So wurden insbesondere Verstöße gegen die Transparenz der Datenverarbeitung, die Einwirkungsmöglichkeiten des Auftraggebers, die Zwecke der Datenverarbeitung oder die Löschung von Daten bemängelt. Hierzu gab es bereits eine Äußerung der Datenschutzkonferenz zu MS Office 365. Dem ging die Prüfung die dem Einsatz des Produktes Microsoft Office 365 zu Grunde liegenden Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft Onlinedienste (Data Processing Addendum) – jeweils Stand Januar 2020 durch einen Arbeitskreis der Datenschutzkonferenz (DSK) voraus. Doch damit der Sache nicht genug, denn da es sich bei Microsoft um einen Anbieter außerhalb der Europäischen Union bzw. außerhalb des Europäischen Wirtschaftsraumes handelt, klingeln vermutlich bei allen Datenschützern die Alarmglocken hinsichtlich der Übermittlung personenbezogener Daten in Drittländer. Seit das EuGH-Urteil zum EU-US-Privacy-Shield gefallen ist, bestehen bei Datenübermittlungen an datenschutzrechtliche Drittländer erhebliche Rechtsunsicherheiten.

Was tut Microsoft für den Datenschutz?

Schon in der jüngeren Vergangenheit konnte man durchaus Bestrebungen seitens Microsoft in Sachen Datenschutz feststellen. So hat Microsoft beispielsweise ein Additional Safeguards Addendum to Standard Contractual Cluases veröffentlicht. In dieser Ergänzung der Standardvertragsklauseln unterbreitet der US-Dienstleister Vorschläge für Garantien zur Stärkung der Betroffenenrechte. Im August 2022 folgte die Veröffentlichung einer Stellungnahme durch Microsoft Deutschland zur Datenschutzkonformität von Microsoft 365 und Microsoft Teams. Bereits aus den einleitenden Sätzen geht die Brisanz der Thematik hervor:

„Stellungnahmen öffentlicher Stellen, insbesondere die einiger Datenschutzbehörden, erwecken bereits seit längerem möglicherweise den Eindruck, Microsoft 365 und Microsoft Teams für Unternehmen und die öffentliche Hand (insb. den Bildungssektor) könnten nicht datenschutzkonform eingesetzt werden oder seien gar selbst nicht datenschutzkonform. Derartige Aussagen sind nicht richtig […].“

Inhaltlich handelt die Stellungnahme zahleiche Punkte und Argumente ab, weshalb eine datenschutzkonforme Benutzung der Microsoft Produkte möglich sei. Im Mittelpunkt stehen dabei mögliche Zugriffe durch US-Behörden:

„Ein Interesse von US-Behörden z.B. an Daten aus einem Schulunterricht in Deutschland kann nicht ernsthaft behauptet werden.“

Und weiter:

„Eine umfangreiche Auswertung öffentlich verfügbarer Dokumente von US-Regierungs-Behörden zur Nutzung von § 702 des Foreign Intelligence Surveillance Act (FISA) in der Praxis belegt dagegen: Es gibt keinen Anhaltspunkt dafür, dass die US-Regierung § 702 FISA nutzt, um (i) Industriespionage zu betreiben oder US-amerikanische wirtschaftliche Interessen zu verfolgen oder (ii) Regierungen im Europäischen Wirtschaftsraum ins Visier zu nehmen; und die US-Regierung nutzt § 702 FISA im Wesentlichen zur Sammlung von Informationen für Ermittlungen zu schwerwiegenden Bedrohungen der nationalen Sicherheit, wie Terrorismus, Cybersecurity-Angriffe und Waffenproliferation.“

Zu den Datenübermittlungen an Drittländer führt Microsoft wie folgt aus:

„Die DS-GVO erlaubt Übermittlungen in Drittstaaten, einschließlich in die USA, unter Nutzung von geeigneten Garantien (z.B. Standardvertragsklauseln 2021/914 und zusätzliche Maßnahmen). Dabei ist eine Risikoanalyse im Lichte der Schrems II-Rechtsprechung des EuGH durchzuführen und es sind ggf. zusätzliche Maßnahmen zu implementieren. Microsoft bietet für Datenübermittlungen in Drittstaaten zusätzliche, rechtlich anerkannte Schutzmechanismen, wie zusätzliche vertragliche Klauseln. Es ist rechtlich nicht geboten, jedes theoretische Restrisiko, etwa eines behördlichen Zugriffs im Drittstaat, im Zusammenhang mit einer internationalen Datenübermittlung auszuschließen. Einen „Null-Risiko-Ansatz“ zu fordern, ist unverhältnismäßig und steht weder im Einklang mit der DS-GVO noch mit den Regelungen der Standardvertragsklauseln, der Schrems II-Rechtsprechung und den Empfehlungen des Europäischen Datenschutzausschusses für Maßnahmen zu Datenübermittlungen in Drittstaaten.“

Wie kann ich mich einer datenschutzkonformen Nutzung von Microsoft 365 nähern?

Seit dem 15. September 2022 ist nunmehr eine neue Fassung des Auftragsverarbeitungsvertrages verfügbar, in welchem gleichfalls die die neuen Standardvertragsklauseln eingebunden sind. Die Unterlagen werden wie gewohnt in die OST eingebunden. Der Vertrag muss nach Angaben von Microsoft aktiv abgeschlossen werden. Hierzu ist eine Aktualisierung der bestehenden Verträge über den Onlinedienst notwendig. 

Die wesentlichen Änderungen betreffen die o.g. Kritikpunkte seitens der Datenschutzaufsichtsbehörden. So nimmt Microsoft insbesondere Änderungen in Bezug auf die Beschreibungen der Datenverarbeitungen zu eigenen Zwecken vor. Die Standardvertragsklauseln sind im Modul 3 (Processor–Processor) verfügbar, da die Microsoft Ireland Operations, Ltd. als Auftragnehmer des Kunden als datenschutzrechtlich Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO fungiert und die Microsoft Corporation als Unterauftragnehmer tätig wird. Dies führt gleichwohl nicht zu einem Übertragen der Verantwortlichkeit in Bezug auf die stattfinden Datenübermittlungen an Drittländer und dem damit einhergehenden Prüfungsauftrag. Vielmehr obliegt es dem Kunden sich von den getroffenen technischen, organisatorischen und vertraglichen Maßnahmen zu überzeugen. Dies gilt ebenso für die nach Klausel 14 der Standardvertragsklauseln anzufertigenden Transferfolgenabschätzung (Transfer Impact Assessment – TIA). Aufgrund der geschilderten Vertragssituation Kunde >> Microsoft Ireland Operations, Ltd >> Microsoft Corporation ist der TIA in der vertraglichen Beziehung zwischen den Microsoft Unternehmen anzufertigen und sollte vom Kunden angefordert und geprüft werden. Eine Dokumentation dieses Vorgehens ist mit Blick auf die nach Art. 5 Abs. 2 und Art. 24 DS-GVO bestehende Rechenschaftspflicht absolut empfehlenswert.

Darüber hinaus empfiehlt sich den Betrieb von Microsoft 365 auf eigenen IT-Strukturen des Verantwortlichen oder bei Datenlokalisierungen innerhalb der EU bzw. des EWR vorzunehmen, die per se keiner Herausgabepflicht nach dem US-CLOUD-Act unterliegen. Ebenfalls muss eine weitestgehende Unterbindung der Übertragung von Telemetrie-Daten beim Einsatz von Microsoft 365 vorgenommen werden, um den Anforderungen nach Art. 25DS-GVO gerecht zu werden. Ein vollständiger Ausschluss wird wohl kaum möglich sein.

Weitere Anregungen zu möglichen „Stellschrauben“ lassen sich in den FAQs zu Microsoft 365 des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz finden.

FAZIT

Der Stein des Anstoßes ist mehr als nur ins Rollen gekommen. Insbesondere da der Umsetzungszeitraum für die „neuen“ Standardvertragsklauseln am 27. Dezember 2022 endet, war die Einführung selbiger durch Microsoft eigentlich nur eine Frage der Zeit. Positiv hervorzuheben sind jedoch auch die weiteren Schritte, die Microsoft Richtung Datenschutzkonformität bereit ist zu unternehmen. Richtig erscheint – mit Blick auf den risikobasierten Ansatz, welcher der Datenschutz-Grundverordnung innewohnt und mithin ein stückweit den Ausführungen von Microsoft folgend – im Rahmen der Prüfung der Datenübermittlungen an Drittländer und der notwendigen Risikoanalysen, wie sie bei einem TIA erforderlich sind, keinen „Null-Risiko-Ansatz“ zu fahren. Deutlich wird jedoch ebenfalls, dass ohne jegliche Prüfungen und Konfigurationen Microsoft 365 Produkte derzeit nicht datenschutzkonform genutzt werden können.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

WAS IST PASSIERT?

Microsoft hat ein Additional Safeguards Addendum to Standard Contractual Cluases veröffentlich. In dieser Ergänzung der Standardvertragsklauseln unterbreitet der US-Dienstleister Vorschläge für Garantien zur Stärkung der Betroffenenrechte. Insbesondere werden folgende relevante Zusagen seitens Microsoft gegeben: 

(1) Microsoft verpflichtet sich, bei einer Anordnung zur Herausgabe von Daten durch US-Behörden dazu (Ziff. 1 des Addendum): 
– alle Maßnahmen zu ergreifen, damit der Anfragende die Daten unmittelbar bei dem Kunden von Microsoft erfragen muss; 
– den Kunden unverzüglich zu benachrichtigen und für den Fall der Untersagung einer solchen Benachrichtigung des Kunden, alle rechtmäßigen Anstrengungen zu unternehmen, um das Recht auf Aufhebung des Verbots zu erwirken, damit dem Kunden so bald wie möglich so viele Informationen wie möglich mitgeteilt werden und 
– alle rechtmäßigen Anstrengungen zu unternehmen, um die geltend gemachte Offenlegung wegen Rechtsmängeln oder Konflikten mit dem Recht der Europäischen Union oder dem geltenden Recht der Mitgliedstaaten anzufechten.

(2) Microsoft gewährt den Betroffenen im Falle einer Offenlegung von Daten auf Anordnung einer US-Behörde einen Anspruch auf Ersatz des Schadens, der durch die Offenlegung entstanden ist (Ziff. 2 des Addendum). 

WIE REAGIEREN DIE AUFSICHTSBEHÖRDEN ZUR MAßNAHME VON MICROSOFT?

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, der Bayrische Landesbeauftragte für den Datenschutz und das Bayrische Landesamt für Datenschutzaufsicht und der Hessische Beauftragte für Datenschutz und Informationsfreiheit äußern sich wie folgt: 

„Damit [mit dem Additional Safeguards Addendum] sei, so die gemeinsame Bewertung der beteiligten Datenschutzaufsichtsbehörden, zwar die Transferproblematik in die USA nicht generell gelöst – denn eine Ergänzung der Standardvertragsklauseln könne eben nicht dazu führen, dass der vom Europäischen Gerichtshof als unverhältnismäßig beanstandete Zugriff der US-amerikanischen Geheimdienste auf die Daten unterbunden werde.“
Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg Dr. Stefan Brink

„Die Vorschläge von Microsoft sind ein wertvoller Impuls für die gemeinsame Suche nach Rechtssicherheit für Datenübermittlungen in die USA genauso wie in andere Staaten, deren Rechtsordnung den Schutzstandard des europäischen Datenschutzrechts nicht hinreichend gewährleisten können. Der Europäische Gerichtshof hat eindeutig entschieden, dass Datenflüsse aus Europa in die USA ohne zusätzliche Maßnahmen nicht mehr zulässig sind. Microsoft hat mit seiner heute vorgestellten Initiative diese Forderung des Europäischen Gerichtshofs und der für die Durchsetzung der DSGVO zuständigen Datenschutzaufsichtsbehörden in einem ersten Schritt aufgegriffen. Gerade für kleine und mittlere Unternehmen, die auf den unkomplizierten und trotzdem datenschutzkonformen Einsatz von Standardprodukten in besonderem Maße angewiesen sind, ist dies eine ermutigende Nachricht.“ 
Präsident des Bayrischen Landesamt für Datenschutzaufsicht Michael Will

„Bayerische öffentliche Stellen sollten in erster Linie Dienstleistungen in Anspruch nehmen, die auf Datentransfers in Drittländer verzichten. Allerdings wäre es realitätsfremd zu glauben, dass dies für alle gängigen Büroanwendungen möglich ist. Umso wichtiger ist es, wenn auch US-amerikanische Anbieter von Büroanwendungen die Anforderungen der Datenschutz-Grundverordnung erfüllen. Ich halte die aktuellen Vorschläge von Microsoft für einen ersten wichtigen Ausgangspunkt für die kommenden Verhandlungen.“ 
Der Bayerische Landesbeauftragte für den Datenschutz Prof. Dr. Petri

“Die Frage, ob in den USA ein angemessener Datenschutz für europäische Exportunternehmen besteht, ist durch eine Abwägungsentscheidung zu beantworten. Dies war durch die begrenzte Kalkulierbarkeit der bisherigen US-Regierung betriebenen Handelspolitik belastet. Angesichts des Wahlergebnisses kann künftig von einer Verbesserung der Verhandlungssituation ausgegangen werden. Aber auch dann ist ein Verhandlungserfolg nur zu erwarten, wenn die Datenschutzprobleme schrittweise ergebnisoffen auf allen Entscheidungsebenen diskutiert werden. Es kommt nur darauf an, dass die relevanten Argumente auf den Tisch gebracht werden. Wer das macht, ist unerheblich. Die eigentliche Abwägung kann dann aber nur durch die zuständigen Gremien erfolgen.“
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Michael Ronellenfitsch

Eine kritische Auseinandersetzung erfolgt durch Matthias Bergt – Referatsleiter des Referates I B der Berliner Beauftragten für Datenschutz Informationsfreiheit – in seinem Beitrag „Zusatz zu Standardvertragsklauseln: Massenweise Nebelkerzen von Microsoft und manchen Datenschutz-Aufsichtsbehörden“.  

WELCHE NEUEN ERKENNTNISSE IN SACHEN INTERNATIONALER DATENTRANSFER GIBT ES NOCH?

 Unlängst veröffentlichte bereits der Europäische Datenschutzausschuss (EDSA) ein Paper mit Empfehlungen zu „zusätzlichen Maßnahmen“ für Datenübermittlungen in Drittländer. Dieses Dokument enthält erste Handlungsempfehlungen zur Ausgestaltung von Schutzmaßnahmen. Das Papier des EDSA wurde zunächst in eine Öffentliche Konsultation bis zum 21.12.2020 gegeben. 

Zudem veröffentlichte die EU-Kommission am 12.11.2020 – nur einem Tag nach der Veröffentlichung durch den EDSA – den Entwurf der neuen Standard Contractual Clauses. In dieser Sache läuft die öffentliche Konsultation noch bis zum 10.12.2020. 

FAZIT

Seit dem viel zitierten Urteil des EuGH stehen Verantwortliche und Auftragsverarbeiter bei geplanten Datenübermittlung in Drittstaaten vor einigen herausfordernden Aufgaben. Mit dem Vorgehen eines der größten Technologieunternehmen wird zwar – so auch die Aufsichtsbehörden – keines Falles schlagartig die Problematik der Drittsaatentransfers gelöst, insbesondere da die vorgelegte Ergänzung der Standardvertragsklauseln nicht die generelle Zugriffsmöglichkeiten der US-Geheimdienste unterbindet. Den bisher veröffentlichten Stellungnahmen der einzelnen Landesdatenschutzbeauftragten lässt sich dennoch entnehmen, dass die Maßnahme als ein Fingerzeig in die richtige Richtung gewertet werden kann, auch wenn diese Euphorie augenscheinlich nicht von allen Aufsichtsbehörden geschürt wird. Es wird nunmehr eine Bewertung des Vorschlages von Microsoft seitens der Datenschutzkonferenz abzuwarten sein. 

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.

WAS WURDE GEPRÜFT?

Der Arbeitskreis hatte „die dem Einsatz des Produktes Microsoft Office 365 zu Grunde liegenden Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft Onlinedienste (Data Processing Addendum / DPA) – jeweils Stand: Januar 2020“ geprüft und hinsichtlich der Erfüllung der Anforderungen von Art. 28 Abs. 3 Datenschutz-Grundverordnung (DS-GVO) bewertet. Im Einzelnen:

(1) Zunächst kritisiert der Beschluss die fehlende Beschreibung von Art und Zweck der Verarbeitung – selbst wenn es unter der Berücksichtigung des Dienstes MS Office 365 als cloudspezifischer Dienst sachdienlich sein kann, beide Kategorien verallgemeinert darzustellen – insbesondere wenn es um die Verarbeitung besonderer personenbezogener Daten im Sinne von Art. 9 DS-GVO geht. Es soll hierbei der Abstraktionsgrad auf Seiten von Microsoft verringert werden.

(2) Weiterhin merkt der Arbeitskreis an, dass innerhalb der Datenschutzbestimmungen für Microsoft Online-Dienste zwar darauf verwiesen wird, dass Microsoft als ein unabhängiger Verantwortlicher anzusehen ist, soweit personenbezogene Daten im Zusammenhang mit den legitimen Geschäftszwecken von Microsoft verarbeitet werden. Jedoch geht aus den Bestimmungen nicht eindeutig hervor, welche personenbezogenen Daten in diesem Rahmen verarbeitet werden. Zudem liegt für die Übermittlung weiterer personenbezogener Daten vom Verantwortlichen an Microsoft, z.B. im Rahmen der Telemetriedaten, neben dem Auftragsverarbeitungsvertrag keine weitere belastbare Rechtsgrundlage vor. Die ist insbesondere für öffentliche Stellen problematisch, da diese sich gemäß Art. 6 Abs. 1 S. 2 DS-GVO in der Erfüllung ihrer Aufgaben vorgenommenen Verarbeitungen nicht auf ein etwaiges berechtigtes Interesse im Sinne des Art. 6 Abs. 1 S. 1 lit. f) DS-GVO berufen können.

(3) Ferner kritisiert der Arbeitskreis, dass Microsoft Daten offenlegen muss, wenn die Datenschutzbestimmungen es vorsehen oder dies gesetzlich vorgeschrieben ist. Insbesondere wird hierbei auf den sogenannten Cloud-Act verwiesen, dem Microsoft als US-Dienstleister unterliegt.

(4) Gerügt wird außerdem, dass seitens Microsoft keine ausreichende Darstellung erfolgt, welche dem Risiko angemessenen Maßnahmen der angebotene Onlinedienst für die Verarbeitung von personenbezogenen Daten bietet. Die derzeitige Darstellung zu den technischen und organisatorischen Maßnahmen allein reiche nicht aus, um eine objektive Einschätzung zu treffen, ob die Maßnahmen dem Risiko angemessen sind.

(5) Außerdem wird angemerkt, dass durch Microsoft Daten, die zu eigenen Zwecken verarbeitet werden, nicht gelöscht werden.

(6) Schließlich wird eine fehlende Transparenz hinsichtlich des Einsatzes von Unterauftragnehmern kritisiert. Diesbezüglich soll Microsoft in Zukunft proaktiv Mechanismen zur Benachrichtigung der Kunden treffen.

WAS WURDE NICHT GEPRÜFT?

Microsoft hat seine OST sowie seine DPA seit Januar 2020 bereits mehrfach überarbeitet und angepasst. Hierbei wurden Änderungen in den Verträgen und auch in den Dokumentationen vorgenommen. Die Prüfung des Arbeitskreises beruht nicht auf den aktualisierten Dokumenten. Es erfolgt keine differenzierte Betrachtung einzelner Produkte. Microsoft Office 365 ist vielmehr ein Oberbegriff für eine ganze Produktgruppe, welche strenggenommen in Office 365 und Microsoft 365 zu unterteilen sind. Innerhalb der Produktgruppen gibt es zudem zahlreiche Produkte, Lizenzen und Konfigurationsmöglichkeiten. Keine Berücksichtigung fand ferner das Urteil des Europäischen Gerichtshofes (EuGH) vom 16. Juli 2020 in der Rechtssache C-311/18 (Schrems II).

WELCHE AUSWIRKUNGEN HAT DER BESCHLUSS FÜR DIE PRAXIS?

Festzuhalten bleibt, dass nicht alle Aufsichtsbehörden der DSK der datenschutzrechtlichen Bewertung des Arbeitskreises folgen. Die Datenschutzaufsichtsbehörden Baden-Württembergs, Bayerns, Hessens und des Saarlands stellen klar, dass auch sie bei Microsoft Office 365 erhebliche datenschutzrechtliche Verbesserungspotenziale sehen, gerade auch mit Blick auf die jüngste Entscheidung des EuGH zu internationalen Datentransfers. Sie unterstützen im Grundsatz die Zielsetzungen des Arbeitskreises, soweit er Ansatzpunkte für datenschutzrechtliche Verbesserungen des Produkts Microsoft Office 365 formuliert. Seine Gesamtbewertung können sie allerdings schon deshalb nicht teilen, weil sie zu undifferenziert ausfällt. Die genannten Aufsichtsbehörden sehen die Bewertung des Arbeitskreises Verwaltung vom 15. Juli 2020 zwar als relevante Arbeitsgrundlage, aber noch nicht als entscheidungsreif an. Das gilt umso mehr, als bislang noch keine förmliche Anhörung von Microsoft zu den Bewertungen des Arbeitskreises Verwaltung erfolgt ist.

Ziel des Beschlusses war es, dass eine Grundlage geschaffen wird, auf deren Basis in den Dialog mit Microsoft getreten werden kann. Diese Gespräche sollen federführend durch den Landesbeauftragten für den Datenschutz Brandenburg und das Bayerischen Landesamts für Datenschutzaufsicht zeitnah aufgenommen werden.

Die größte Herausforderung seitens Microsoft dürfte die Anpassung hinsichtlich der Offenlegung z.B. gegenüber Strafverfolgungsbehörden (beispielsweise aufgrund des Cloud-Act) sein. Microsoft selbst setzt bereits vor dem Urteil des EuGH auf die sogenannten EU-Standardvertragsklauseln. Jedoch kann auch so ein Zugriff durch US-Behörden nicht ausgeschlossen werden. Ein Problem, welches jedoch nahezu alle US-Dienstleister gleichermaßen betrifft. Abzuwarten bleibt hier die Entwicklung hinsichtlich der Wirksamkeit der Standardvertragsklauseln.

Aufgrund der vorangestellten Ausführungen sind derzeit wohl keine konkreten Maßnahmen seitens der Aufsichtsbehörden aufgrund des Dokumentes des Arbeitskreises zu erwarten. Vielmehr geht die DSK selbst davon aus, dass eben jenes Dokument zunächst eine Gesprächsgrundlage mit Microsoft bilden kann. Organisationen in der Praxis sollten in aller erster Linie Ruhe bewahren und keine voreiligen Entscheidungen treffen. Vielmehr sollte mit größter Sorgfalt die weitere Entwicklung beobachtet werden. Deutlich wird jedoch, dass ohne jegliche Konfiguration Produkte aus den Gruppen Office 365 und Microsoft 365 nicht datenschutzkonform genutzt werden können.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine.