Die cloudbasierte Office- und Kollaborationsplattform „Microsoft 365“ bietet viele Vorteile, die immer mehr Unternehmen nutzen. Gleichzeitig ist Microsoft 365 immer wieder Gegenstand von Prüfungen durch die Datenschutzaufsichtsbehörden und daraus resultierender Kritik einer unzureichenden Umsetzung der DSGVO. Was die wesentlichen Kritikpunkte sind, wie sich die Rechtslage gestaltet und wie Microsoft 365 in der Praxis datenschutzkonform eingesetzt werden kann, wird im Folgenden erläutert.
Datenflüsse in die USA
Immer wieder wird an Microsoft 365 kritisiert, dass Datenübermittlungen in die USA stattfinden und die Daten nicht ausreichend vor einem Zugriff durch US-Sicherheitsbehörden geschützt seien. Dieser Kritik kann jedoch aufgrund der Maßnahmen, die Microsoft ergriffen hat, entgegengetreten werden. So hat Microsoft Irland als Datenexporteur selbst die neuen Standardvertragsklauseln (SCC) der EU-Kommission mit Microsoft USA abgeschlossen. Diese und der kürzlich aktualisierte Datenschutznachtrag (DPA) verpflichten Microsoft Irland, ein Transfer-Impact-Assessment durchzuführen und die Datenschutzkonformität des Drittstaatentransfers sicherzustellen. Zumindest mit dem angekündigten neuen Angemessenheitsbeschluss der EU-Kommission für Datenübermittlungen in die USA („Trans-Atlantic Data Privacy Framework“) oder dem „EU Data Boundary“, mit dem Microsoft seine Dienste als ausschließlich europäische Cloudlösung anbieten wird, wird sich dieser Kritikpunkt künftig erübrigen.
Verarbeitung von Telemetrie zu eigenen Zwecken
Darüber hinaus kritisieren einige Datenschutzaufsichtsbehörden auch die Verarbeitung von Telemetriedaten durch Microsoft zu eigenen Zwecken. Beanstandet wird in erster Linie die Verarbeitung von wesentlichen Telemetriedaten, die im Gegensatz zu anderen Telemetriedaten nicht deaktiviert werden können. Diskutiert wird, wie die datenschutzrechtliche Rollenverteilung zu beurteilen ist, sowie, ob und auf welcher Rechtsgrundlage eine Offenlegung der Daten gegenüber Microsoft durch den Verantwortlichen möglich ist. Selbst wenn man eine Verantwortlichkeit des Kunden und eine Offenlegung gegenüber Microsoft bejaht, könnten sich Unternehmen auf ein berechtigtes Interesse berufen. Öffentlichen Stellen bleibt diese Rechtsgrundlage allerdings verwehrt. Hier kann – sofern man eine Offenlegung annimmt – die Verarbeitung der Telemetriedaten allenfalls für einige Zwecke zur Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich sein. Ob die Datenschutzaufsichtsbehörden an ihrer Kritik festhalten, nachdem Microsoft die Datenverarbeitung zu eigenen Zwecken in dem aktuellen DPA noch einmal transparenter dargestellt hat, bleibt abzuwarten.
Datenschutz in der Praxis
In der Praxis ist der Einsatz von Microsoft 365 in seiner Gesamtheit zu beurteilen. Denn wie die bisherigen behördlichen Prüfverfahren zeigen, steht nicht die Nutzung von Microsoft 365 per se in der Kritik, sondern immer der konkrete Einsatz im Einzelfall. Mit bestimmten Maßnahmen kann daher ein datenschutzkonformer Einsatz von Microsoft 365 sichergestellt werden.
Festlegung der Rechtsgrundlagen
Aufgrund des Erlaubnisvorbehalts der DSGVO muss der Verantwortliche, ausgehend von den Einsatzzwecken von Microsoft 365, die Rechtsgrundlagen für die einzelnen Verarbeitungsvorgänge identifizieren. Neben den Erlaubnistatbeständen der Vertragserfüllung oder der Einwilligung der Betroffenen im Einzelfall lässt sich eine Vielzahl der Verarbeitungen in Unternehmen auf ein berechtigtes Interesse stützen. Für öffentliche Stellen ist der Einsatz von Microsoft 365 zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt denkbar.
Betriebsvereinbarung und Einbeziehung des Betriebsrats
Sofern ein Betriebsrat besteht, sollten die datenschutzrechtlichen Fragen zu Microsoft 365 in einer Betriebsvereinbarung geregelt werden. Diese kann nach § 26 Abs. 1 BDSG (Bundesdatenschutzgesetz) bei Bedarf auch die Rechtsgrundlage für die Verarbeitung von Daten der Beschäftigten bilden. Darüber hinaus sollte in einer Betriebsvereinbarung auch die praktische Nutzung von Microsoft 365, wie beispielsweise das Verbot der Privatnutzung, verbindlich geregelt werden. Nach aktueller Rechtsprechung des Bundesarbeitsgerichts (1 ABR 20/21) muss zudem unabhängig von der einschlägigen Rechtsgrundlage der Betriebsrat einer unternehmenseinheitlichen Nutzung von Microsoft 365 zustimmen und diese betriebsübergreifend regeln.
Datenschutzinformation
Nach Art. 13 ff. DSGVO ist der Verantwortliche verpflichtet, die Betroffenen umfassend über die Verarbeitung seiner Daten zu informieren. Da der Einsatz von Microsoft 365 eine Fülle von Verarbeitungstätigkeiten mit sich bringt und diese komplex ausgestaltet sind, können sich hier Hausforderungen erheben. So hat der Verantwortliche die Verarbeitungstätigkeiten in einfacher Sprache zu erläutern und sicherzustellen, dass die Betroffenen tatsächlich Kenntnis darüber erhalten.
Überwachung des Auftragsverarbeiters
Nach der DSGVO ist der Verantwortliche verpflichtet, Microsoft als Auftragsverarbeiter zu überwachen. Neben einer regelmäßigen Kontrolle der Garantien von Microsoft und einer entsprechenden Dokumentation sollten Verantwortliche auch die (Vertrags-)Dokumente von Microsoft regelmäßig auf deren Aktualität hin überprüfen sowie bei Bedarf geeignete Maßnahmen ergreifen. Aktuell sollte beispielsweise geprüft werden, ob die Unterzeichnung des neuen DPA von September 2022 sinnvoll ist.
Sicherheit der Verarbeitung
Der Verantwortliche ist datenschutzrechtlich dazu verpflichtet, die Risiken der Verarbeitung zu identifizieren und die Sicherheit der Verarbeitung zu garantieren. Hierzu sind in der Praxis insbesondere geeignete Abhilfemaßnahmen zu implementieren. Diese können sowohl technischer als auch organisatorischer Natur sein. Microsoft selbst stellt technische Abhilfemaßnahmen zur Verfügung, deren sich der Verantwortliche bedienen sollte. Als organisatorische Maßnahmen sollten neben Richtlinien und Schulungen insbesondere ein Zugriffs- und Berechtigungskonzept sowie ein Löschkonzept erstellt und technisch in Microsoft 365 umgesetzt werden.
Datenschutzfolgenabschätzung
Ob eine Datenschutzfolgenabschätzung (DSFA) notwendig ist, hängt vom Einzelfall ab. Aufgrund der unbegrenzten Einsatzmöglichkeiten von Microsoft 365, der Vielzahl von verarbeiteten Daten und potentiell Betroffenen sowie der Datenübermittlung in die USA ist jedoch eine DSFA oder eine umfangreiche Datenschutzdokumentation zu empfehlen. Hiermit wird der Verantwortliche zugleich seiner Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO gerecht. Mit Hilfe der DSFA sollten, ausgehend von der individuellen Nutzung von Microsoft 365, die potentiellen Risiken und Abhilfemaßnahmen identifiziert und evaluiert werden.
Datenschutzprozesse
Datenschutz ist ein dynamischer Prozess und Microsoft 365 eine umso dynamischere Cloudlösung. Um die Einhaltung der datenschutzrechtlichen Anforderungen kontinuierlich sicherzustellen, empfehlt es sich, von Beginn an einen Datenschutzprozess zu implementieren, mit dem die einzelnen Anforderungen regelmäßig überprüft und bei Bedarf weitere Maßnahmen ergriffen werden können.
Fazit
Ein datenschutzkonformer Einsatz von Microsoft 365 ist aufgrund der technischen Struktur und der zahlreichen rechtlichen Vorgaben komplex. Auch wenn die Datenschutzaufsichtsbehörden ihren Fokus auf einzelne Aspekte richten, sollte in der Praxis der Blick auf den Datenschutz insgesamt gerichtet werden. Unter Berücksichtigung der individuellen Nutzung kann so mit Hilfe einer DSFA und geeigneter technischer und organisatorischer Maßnahmen ein datenschutzkonformer Einsatz von Microsoft 365 erreicht und dauerhaft sichergestellt werden.
