Produkte

Diskussionen zum Microsoft-Datenschutz

Diskussionen zum Microsoft-Datenschutz

Es gibt am Markt viele Diskussionen, Stellungnahmen und Kommentare, ob z.B. Microsoft-365 von deutschen Unternehmen nach der EU-DSGVO oder ob es z.B. bei Steuerberatern nach den Offenbarungsverbotsklauseln im § 203 StGB überhaupt eingesetzt und genutzt werden darf.

Nachfolgend hat SPECTRUM einmal versucht die wichtigsten Fakten und derzeitigen Diskussionen zusammenzufassen, damit sich jeder Anwender selbst einen eigenen Überblick verschaffen kann – natürlich ist dies keine Rechtsberatung.

 

Microsoft 365 ist ein Cloud-Dienst von Microsoft der weltweit über das globale Internet von überall erreichbar ist und somit weltweit unterschiedliche Datenschutzstandards und Datenschutzgesetze - zum Teil sogar noch mit branchen- oder berufsbezogener Auslegungen - berücksichtigen muss. Hier finden Sie Auszüge aus diversen Microsoft-Veröffentlichungen, damit Sie sich hier informieren können, um sich eine eigene Meinung zu bilden:

Microsoft Veröffentlichungen zum Datenschutz

 

Was ist Microsoft 365 ?

Grundsätzliches:
Microsoft 365 ist eine Kombination aus

  1. den bekannten Office-Software-Produkten wie man sie von PC- oder Netzwerk-Installationen kennt (auch aus WTS- und ASP-Lösungen) wie Outlook, Word, Excel, PowerPoint, Publisher und Access
  2. WEB-Versionen von Outlook, Word und Excel für iOS- bzw. Android-Tablets oder Smartphones
  3. und von Online-Diensten wie Hosted-Exchange mit Mail-Provider-Funktion, wie den Besprechungs- und Notizverwaltungs-, Chat- und Videokonferenz-Dienst Teams, wie den File-Hosting-Dienst OneDrive, die Kollaborations- und Webportal-Software Hosted-SharePoint zur Realisierung von Intranet-, Extranet- oder Internet-Webportalen und Cloud-Verwaltung-  und  Speicherung von Office-Dokumenten, PDFs, Bildern, Videos, E-Mails, Kalendereinträgen, Aufgaben, Verträgen oder Projektinformationen
  4. aus besonderen Diensten wie Azure Information Protection (AIP) - eine cloudbasierte Lösung, die Organisationen das Klassifizieren und Schützen von Dokumenten und E-Mails durch Anwendung von Bezeichnungen ermöglicht, wie Intune - zur Verwaltung von Windows- oder Apple-PCs und mobilen iOS- oder Android-Endgeräten (MDM - Mobile Device Management) oder von mobilen Anwendungen (MAM, Mobile Application Management) über das Internet

Die diversen Programme, Anwendungen, Funktionen und Dienste in Microsoft 365 unterscheiden sich zum Teil erheblich voneinander und müssen datenschutzrechtlich trotz des gemeinsamen Paket-Namens daher natürlich unterschiedlich betrachtet werden:

Nutzung von Outlook, Word, Excel, PowerPoint: Für die Installation und Nutzung der Anwendungen Outlook, Word, Excel, PowerPoint auf dem kundeneigenen System (das kann ein lokaler PC oder ein lokales Netzwerk/WTS-System sein - aber auch ggfs. die Nutzung eines Kunden-individuellen Application Service Providing / ASP-Systems z.B. im SPECTRUM-RZ mit diesen Anwendungen) gilt grundsätzlich der gleiche datenschutzrechtliche Rahmen wie bisher. Wenn man hier seine Daten wie gewohnt auf dem kundeneigenen System (bzw. in seinem DMS-System) ablegt und verwaltet, gibt es keine Unterschiede. Man kann in diesen Anwendungen auch grundsätzliche Sicherheitseinstellungen treffen, so dass selbst Fehlermeldungen und sonstige Einstellungen nicht an Microsoft gemeldet werden.

 

 

Nutzung von Microsoft-365-Hosted-Exchange: Hier ist Microsoft auch der E-Mail-Provider. E-Mails werden dann z.B. nicht über das abgesicherte Internet-Zugangssystem SPECTRUM-NET zugestellt und versendet sondern über das Microsoft-Mail-Provider-System, welches sehr gut ist und einen hervorragenden Ruf bei der Viren- und Spam-Abwehr hat. Da der unverschlüsselte E-Mail-Verkehr ja sicherheitstechnisch ein generelles Problem darstellt, sehen wir hier datenschutztechnisch keinen Unterschied zu anderen bekannten E-Mail-Providern wie WEB.DE, GMX, T-Online, AOL, Freenet, Telekom, 1&1, Strato, Vodafone, Unitymedia, Google-Mail, Yahoo-Mail usw.. Positiv muss hier noch berücksichtigt werden, dass die Microsoft-Rechenzentren für das E-Mail-Providing in Deutschland stehen und man bei Microsoft-365-Hosted-Exchange eine generelle TLS-Verschlüsselung einrichten kann, um z.B. die Anforderungen an eine Minimal-Mail-Verschlüsselung nach den Vorgaben z.B. der Bundessteuerberaterkammer, der Bundesrechtsanwaltskammer usw. einhalten zu können.

Nutzung von Teams, OneDrive, SharePoint: Hier werden die Daten immer in der Microsoft-Cloud gespeichert und verwaltet. Die nachfolgenden datenschutzrechtlichen Betrachtungen beziehen sich daher primär auf die Nutzung dieser Dienste. Positiv hervorzuheben ist hier, dass laut Zusage von Microsoft diese Daten ausschließlich auf deutschen Servern bzw. auf Servern in der EU verwaltet werden und dass Microsoft trotz aller internationalen Ausrichtungen redlich bemüht ist, alle datenschutzrechtlichen Anforderungen nach der europäischen DSGVO und dem deutschen BDSG einzuhalten.

Nutzung von  Azure Information Protection (AIP) und Intune: Die datenschutzrechtliche Betrachtung wird hier in diesem Artikel nicht weiter behandelt, da derzeit der Einsatz und die Nutzung dieser Dienste von unseren Kunden zu gering ist und immer eine datenschutzrechtliche Folgenabschätzung als Einzelbetrachtung verlangt.

 

Übersicht Microsoft 365

 

 

Kritiken zur Datenschutz-Konformität

Das Thema der datenschutzrechtlichen Zulässigkeit des Einsatzes von Microsoft 365 ist nach Ansicht von Datenschützern außerordentlich komplex und noch lange nicht abschließend behandelt. Jetzt neigen leider Datenschützer oft dazu, alles nur aus ihrer subjektiven Brille zu betrachten, so dass der Anwender sich an diesen oft plakativen Veröffentlichungen nur zum Teil anlehnen kann.

Wenn Sie von hier oben die Punkte nach unten gehend betrachten, erkennen sie die Chronologie der Diskussion in zeitlicher Reihenfolge - wenn Sie direkt nach unten auf dieser Seite gehen, finden Sie die aktuell letzten Veröffentlichungen zu diesem Thema.

 

 

1. Niederländisches Ministeriums für Justiz und Sicherheit:

Losgeschlagen wurde die Kritik an Microsoft 365 am 5. Nov. 2018 durch eine Privacy Company, die im Auftrag des niederländischen Ministeriums für Justiz und Sicherheit (Ministry of Justice and Security of the Netherlands - SLM Rijk) eine Datenschutzstudie zu den Datenschutzrisiken von Windows 10 Enterprise, Office 365 ProPlus und Office Online erstellte (Data Protection Impact Assessment - DPIA).

SLM Rijk - Studie 1

Diese Studie kam damals bei ihrer Datenschutzfolgenabschätzung zu dem Ergebnis, dass Office365-Anwendungen (heute Microsoft 365) die gesetzlichen Forderungen der damals neuen europäischen Datenschutzgrundverordnung (EU-DSGVO) nicht erfüllen würde.

Microsoft hat dann schnell nachgebessert:

  • Ende April 2019 hat Microsoft die Datenschutzeinstellungen in Office 365 so geändert, dass diese nun der Datenschutz-Grundverordnung (DSGVO) entsprechen. Die Nutzer haben seitdem die Möglichkeit, die Telemetrie- und Diagnosedaten sowohl einzusehen als auch die Datenübermittlung generell zu deaktivieren und somit blockieren zu können.
  • Microsoft hat außerdem DSGVO-konforme Anpassungen bezüglich der Zweckgebundenheit, des Rechts auf Korrektur und Löschen sowie der expliziten Einverständniserklärung der betreffenden Personen für die Verarbeitung ihrer Daten vorgenommen.
  • Zum Jahreswechsel 2019/2020 hat Microsoft zudem auch seine Online Service Terms (OST) für Firmenkunden geändert. Diese „Cloud-Verträge“ enthalten nun die Änderungen, die mit der niederländischen Regierung ausgehandelt wurden und gelten weltweit für alle öffentlichen Organisationen und Firmenkunden. Dabei hat sich Microsoft auch explizit dazu bekannt, die Rolle des Datenverantwortlichen zu übernehmen.

Die niederländischen Aufsichtsbehörden kamen dann am 22.7.2020 zu dem Ergebnis, dass die aktualisierte Office 365 ProPlus Version 1905 (Microsoft 365 Business) nun EU-DSGVO konform genutzt werden kann.

SLM Rijk - Studie 2

Nach Aussage niederländischer Juristen, die die Nutzung von Microsoft 365 (Office 365) analysiert hatten, kann man folgendes nun sagen:

Bei der Nutzung von Microsoft 365 verarbeitet Microsoft eine Vielzahl von Daten und dabei auch personenbezogene Daten.

  • Ein Teil der Datenverarbeitungen betreffen die Funktionsdaten. Dabei handelt es sich um Datenverarbeitungen, die notwendig für die Bereitstellung des Microsoft 365 Services sind. Microsoft wird hierbei gemäß den Online Service Terms (OST) als Auftragsverarbeiter gem. Art. 28 DSGVO tätig. Ein entsprechender Auftragsverarbeitungsvertrag ist in den OST enthalten. Die Verarbeitungen von Funktionsdaten resultieren aus der Weisung des Auftraggebers an Microsoft. Die Weisung entspricht dabei der Nutzung des Dienstes durch den Auftraggeber. Funktionsdaten werden unverzüglich nach der Bereitstellung des Service gelöscht.
  • Außer den Funktionsdaten zur Bereitstellung des Service verarbeitet Microsoft zwangsläufig als Auftragsverarbeiter auch Inhaltsdaten. Damit sind die tatsächlichen Dokumente, Präsentationen, E-Mails etc. gemeint, die Nutzer Microsoft im Rahmen ihrer Tätigkeit mit Microsoft 365 erstellen und in der Microsoft-Cloud speichern (d.h. hier sind nicht die im kundeneigenen System gespeicherten Outlook-, Word-, Excel-Daten gemeint) . Diese in der Microsoft-Cloud gespeicherten Daten verarbeitet Microsoft nur für die Bereitstellung des Dienstes Microsoft 365. Eine Verwendung zu anderen Zwecken ist in den OST unter „Verarbeitung von Kundendaten“ definitiv ausgeschlossen.

 

  • Neben den Funktions- und Inhaltsdaten verarbeitet Microsoft bei der Bereitstellung von Microsoft 365 auch noch Diagnosedaten. Diese enthalten eine von Microsoft 365 eindeutig generierte ID mit der sie einem Benutzer eindeutig zugeordnet werden können. Eine genaue Auflistung der Kategorien von Daten und Kategorien von Betroffenen Personen ist in Appendix 2 der Datenschutz-Folgenabschätzung der Juristen der Niederlande zu finden. Dabei werden unter anderem folgende Datenarten übermittelt: Client-ID, User-ID, Dauer der Nutzung eines Office-Dienstes, Größe der bearbeiteten Datei, Event-ID (ID der getätigten Aktion – bspw. Speicherung eines Dokuments), Programmsprache usw.. Diese Informationen werden an die Server von Microsoft gesendet. Dabei ist eine Übermittlung der Daten in die USA grundsätzlich zwar nicht auszuschließen, aber Microsoft hat schriftlich zugesichert, dass die Daten NICHT für Profiling, Datenanalyse, Marktforschung oder Werbung genutzt werden.
  • Außerdem sind nun nach der von Microsoft eingeführten breitflächigen Verfügbarkeit der „Service-Verschlüsselung“ mittels „Customer Key“ alle Sicherheitsanforderungen erfüllt. Die Dienste-Verschlüsselung per Customer Key kann Kunden beim Einhalten ihrer Compliance-Vorgaben helfen, da sie hierdurch die Schlüssel zur Chiffrierung ihrer Microsoft-365-Daten selbst managen können.

 

Anfang Mai 2019 hat dann das niederländische Ministerium für Justiz und Sicherheit (SLM Rijk) mit Microsoft neue Datenschutzbestimmungen für über 300.000 Desktops in den niederländischen Ministerien, bei der Steuer- und Zollverwaltung, bei der Polizei, in der Justiz und für unabhängige Verwaltungsbehörden für die Nutzung von Microsoft 365 abgeschlossen: „there are no more known high data protection risks for data subjects related to the collection of data about the use of Microsoft 365.“.

Auch die Privacy Company kommentiert seither, dass Microsoft die acht zuvor identifizierten Datenschutzrisiken für Microsoft 365 durch eine Kombination aus technischen, organisatorischen und vertraglichen Maßnahmen gelöst hat.

Für Office Online und die Mobile Office Apps hingegen kommt eine separate Untersuchung im Auftrag des Niederländischen Ministeriums für Justiz und Sicherheit vom 23. Juli 2019 zu dem Ergebnis, dass wegen der noch immer gegebenen Risiken ein datenschutzrechtskonformer Einsatz nicht möglich sei.

SLM Rijk - Studie 3

Für Office Online und die Mobile Office Apps gibt es aber noch Einschränkungen, so dass SLM Rijk am 23. Juli 2019 daher staatlichen Institutionen rät, Office Online und die mobilen Office-Apps vorerst nicht zu nutzen.


Weitere Informationen: "Strategic Vendor Management Microsoft for the Dutch government"

SLM Rijk - generelle Informationen


Wichtig zu wissen ist noch, dass die Regelungen, die die Niederländische Regierung mit Microsoft erreicht hat, für alle Institutionen, Unternehmen und Anwender in der EU Gültigkeit hat.

 

 

2. Hessischer Datenschutzbeauftragter zum Einsatz von Microsoft 365 an hessischen Schulen:

Im Juli 2019 heizt der Hessische Beauftragte für Datenschutz und Informationsfreiheit mit einer neuen Stellungnahme die Diskussion erneut an und untersagte sogar zunächst die Nutzung von Microsoft 365 in hessischen Schulen. Der Einsatz von Microsoft 365 an Schulen sei danach datenschutzrechtlich unzulässig, soweit Schulen personenbezogene Daten in der europäischen Cloud speichern. Der hessische Datenschützer legt allerdings klar, was für Microsoft gilt, ist auch für die Cloud-Lösungen von Google und Apple zutreffend.

Stellungnahme des Hessischen Beauftragten für Datenschutz und Informationsfreiheit zum Einsatz von Microsoft Office 365 in hessischen Schulen vom 9.7.2019:

Hessischer DSB zu O365

Hessischer DSB 2.Stellungnahme

 

Allerdings ruderte dann der hessische Datenschutzbeauftragte schon im August 2019 zurück und bekundete nun:

„Der Hessische Beauftragte für Datenschutz und Informationsfreiheit hat sich nach den Gesprächen mit Microsoft, die zu datenschutzrechtlich veränderten Einschätzung führten und die einen erheblichen Anteil der Bedenken entkräfteten, dazu entschlossen, den Einsatz von Microsoft 365 in hessischen Schulen nun unter bestimmten Voraussetzungen und dem Vorbehalt weiterern Prüfungen vorläufig zu dulden“.

Na die Einschränkung mit dem „Vorbehalt weiterer Prüfungen“ kennen Steuerzahler ja auch von den Finanzbehörden und es ist dahingehend verständlich, dass solche Behörden wie ein  Landesdatenschutzbeauftragter generell keinen Persil-Schein ausstellt und sich immer ein Hintertürchen offen hält, eine Genehmigung wieder zurückzuziehen.

 

 

3. Einschätzung der Bundesrechtsanwaltskammer BRAK zu Microsoft 365:

Im November 2019 hat die Bundesrechtsanwaltskamm BRAK ein Papier „Hinweise zum Umgang mit Microsoft 365 aus datenschutzrechtlicher Sicht“ veröffentlicht.

BRAK & O365

Dieses Papier basiert primär noch auf der ersten Einschätzung des Einsatzes von Microsoft 365 an hessischen Schulen und müsste nun eigentlich nach der Neubewertung durch den hessischen Datenschutzbeauftragten mit der Genehmigung des Einsatzes von Microsoft 365 an hessischen Schulen eingestampft bzw. durch ein neues Papier ersetzt werden - denn im BRAK-Papier steht explizit, dass die Bewertung des hessischen Datenschutzbeauftragten für Schulen auch auf Kanzleien zu übertragen ist - dann aber doch auch bitteschön die Erlaubnis nachdem der hessische Datenschutzbeauftragte nach  der zweiten Bewertung den Einsatz an Schulen erlaubt hat.

Dieses BRAK-Papier kann auch als Rechtsanwalt-typisch bezeichnet werden: Die BRAK argumentiert, sie hätte nur vom „Hörensagen“ von datenschutzrechtlichen Bedenken „gehört“, schreibt aber dann: „Bislang sind keine konkreten Beanstandungen der Nutzung von Microsoft 365 durch Datenschutzbehörden gegenüber einzelnen Kammern oder Kanzleien bekannt geworden“.

Interessant auch, dass die BRAK im November 2019 noch die datenschutzrechtlichen Bedenken des niederländischen Ministeriums für Justiz und Sicherheit aus Nov. 2018 zitiert und nicht die Aussage von Anfang Mai 2019, nachdem das niederländische Ministerium für Justiz und Sicherheit (SLM Rijk) mit Microsoft neue Datenschutzbestimmungen ausgehandelt hatte und nun den Einsatz von Microsoft 365 für statthaft hält. Man muss der BRAK hier wohl etwas wenig Sorgfältigkeit vorwerfen.

Dann verweist man in dem BRAK-Papier auf den Bundesdatenschutzbeauftragten BfDI. Der wiederum verweist auf die ursprüngliche Datenschutz-Folgenabschätzung der niederländischen Regierung aus Nov. 2018 und verkündet dann, „dass aus Sicht des BfDI derzeit Microsoft 365 nicht datenschutzkonform eingesetzt werden könne“. Dabei verschweigt das Zitat des BfDI aber die Nachbesserungen (die oben aufgeführt sind) die Microsoft zwischenzeitlich vorgenommen hat und wonach nach heutiger Sichtweise des niederländischen Ministeriums für Justiz und Sicherheit eine Nutzung von Microsoft 365 sehr wohl zulässig ist, sofern man die entspr. Sicherheitseinstellungen vorgenommen hat.

Eine Einschätzung zur Datensicherheit beim Einsatz von Microsoft 365 z.B. von Ärztekammern oder von der Bundessteuerberaterkammer sind derzeit nicht bekannt.

Hinweis: Bei Microsoft gibt es für sog. Berufsgeheimnisträger (entspr. § 203 StGB - Offenbarungsverbot) in Deutschland extra eine Vertrags-Zusatzvereinbarung:

Microsoft-Zusatzvereinbarung für Berufsgeheimnisträger

Microsoft bestätigt hier: "Microsoft ist bewusst, dass der Kunde rechtlichen Verpflichtungen hinsichtlich der Gestaltung des Zugriffs auf Informationen von Mandanten des Kunden unterliegt und die Verletzung solcher Verpflichtungen strafrechtliche Folgen (Freiheits- oder Geldstrafe) haben kann. Microsoft bestätigt, dass alle Kundendaten streng vertraulich behandelt werden müssen. Microsoft stellt sicher, dass die von Microsoft eingesetzten Personen auf Geheimhaltung verpflichtet sind, soweit sie im Zusammenhang mit ihrer Tätigkeit Kenntnis von Kundendaten erlangen könnten".

 

 

4. Hinweise des Berliner Datenschutzbeauftragten zur Nutzung von Microsoft-Teams:

Im Juli 2020 – mitten in der Corona-Hochzeit, als alle Unternehmen Videokonferenz-Systeme einsetzen wollten/mussten – begann der Berliner Beauftragte für Datenschutz und Informationsfreiheit als Datenschutz-Aufsichtsbehörde mit Hinweisen zu Videokonferenz-Diensten erneut den Clinch mit Microsoft. Hier wurden neben Microsoft Teams auch 16 weitere Anbieter wie Zoom, Skype, GoToMeeting, Google-Meet, Cisco-WebEx, Jitsi usw. analysiert.

Berliner DSB zu Teams

Obwohl Microsoft ja die Nutzungsbedingungen erst kürzlich überarbeitet hatte, enthalte nach Ansicht des Berliner Datenschutzbeauftragten der Auftragsverarbeitungsvertrag noch immer unklare und widersprüchliche Regelungen und weiche damit von den gesetzlichen Mindestanforderungen ab.  

Umgehende Stellungnahme von Microsoft

In der umgehend erfolgten Stellungnahme von Microsoft zu der Einschätzung der Berliner Datenschützer widerspricht der Konzern aber der Behörde deutlich. Microsoft sei überzeugt - so antwortet Microsoft - dass die Produkte Microsoft 365 im Allgemeinen und auch Microsoft Teams im Speziellen datenschutzkonform eingesetzt werden könnten. Dabei geht Microsoft im Detail auf die einzelnen Kritikpunkte der Berliner Datenschützer ein. Insbesondere die Mängel im Auftragsverarbeitungsvertrag seien laut Microsoft hauptsächlich auf Grund von Übersetzungsfehlern der Datenschützer zurückzuführen. Dabei kritisiert Microsoft auch, dass sich die Behörde nicht mit den von Microsoft zur Verfügung gestellten Informationen beschäftigt hätte und daher zu einem falschen Ergebnis gekommen sei.

Interessant ist hier in der Stellungnahme des „Berliner Datenschutzbeauftragte zur Durchführung von Videokonferenzen während der Kontaktbeschränkungen“ vom 6.5.2020 der Vermerk in Absatz 2.f::
"Auch sogenannte Berufsgeheimnisträger können Microsoft Teams und Skype for Business Online einsetzen. Sie können Microsoft Teams und Skype for Business auch als Berufsgeheimnisträger einsetzen. Microsoft stellt hierfür auf Anfrage eine Zusatzvereinbarung für Berufsgeheimnisträger bereit".


SPECTRUM-Statement: Wir wissen nicht mehr, was wir einem normalen Anwender bei seiner Datenschutzfolgenabschätzung nach EU-DSGVO bei dieser unterschiedlichen Interpretation und bei diesem facettenreichen und komplexen Thema raten sollen, um die IT-technischen und juristischen Begebenheiten so einschätzen, dass er zu einer risikolosen und handhabbaren Einschätzung gelangen kann.

Vielleicht stellt sich der Anwender einfach auf den Standpunkt der niederländischen  Steuer- und Zollverwaltung, der niederländischen Polizei oder der niederländischen Justiz, die seit 2019 mit staatlicher Genehmigung erfolgreich und EU-DSGVO-konform Microsoft 365 einsetzen dürfen.

 

 

5. EU-Datenschutzbeauftragter kritisiert Microsoft:

Der europäische Datenschutzbeauftragte hat erst im Juli 2020 die Microsoft-Produkte und -Dienste überprüft, die von EU-Institutionen genutzt werden. Das Ergebnis dieser Untersuchung veröffentlichte er in seinem 30 Seiten langen Bericht (European Data Protection Supervisor – EDPS: Outcome of own initiativeinvestigation into EU-Institutions’ use of Microsoft products and services).

EDPS & Microsoft

Für die in diesem Bericht genannten in Teilbereichen noch offenen Punkte – die sich übrigens primär auf das Betriebssystem Windows 10 und nicht auf Microsoft 365 bezieht - gab der EU-Datenschutzbeauftragte den europäischen Institutionen sofort Handlungs- und Lösungsempfehlungen an die Hand, um die Bedenken durch technisch-organisatorische Massnahmen zu beseitigen. Nach diesem EDPS-Papier könnten bestimmte Mängel durch entsprechende Konfiguration der Produkte behoben werden, andere wiederum sollten mit Microsoft ausgehandelt werden. Danach ergibt sich unter Beachtung dieser Konfigurations-Empfehlung keine Einschränkungen mehr.

 

 

6. Statements sonstiger Datenschutzaufsichtsbehörden

Gemäß einer Anfrage beim Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) war zu erfahren, dass ein neues bundesländerübergreifendes Verfahren zur datenschutzrechtlichen Beurteilung von Microsoft 365 gerade stattfindet, das jedoch noch nicht abgeschlossen ist.

Interessant: Es gibt zwar noch keine Datenschutzfolgenabschätzung der Bundesbehörden für den Einsatz von Microsoft 365, die gesetzmäßig der Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) durchführen müsste. Der hat aber zunächst das Bundesamt für Sicherheit in der Informationstechnik BSI um eine Stellungnahme gebeten  -  aber viele deutsche Bundesbehörden haben trotzdem schon Beschaffungsprozesse für Microsoft 365 initiiert ....  

 

 

7. Es verbleibt datenschutzrechtlich noch das Problem mit dem US-Cloud-Act:

Nach den Terroranschlägen vom 11.9.2001 hatten die USA zunächst den US-PATRIOT-ACT verabschiedet. Das Gesetz bringt eine Einschränkung der amerikanischen Bürgerrechte in größerem Maße mit sich, aber auch Auswirkungen für USA-Reisende, da die Anforderungen an Pässe erhöht wurden. Ser USA PATRIOT Act steht als "Akronym für Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001", zu Deutsch heißt das in etwa: „Gesetz zur Einigung und Stärkung Amerikas durch Bereitstellung geeigneter Instrumente, um Terrorismus aufzuhalten und zu verhindern“. Gemäß dem PATRIOT ACT von 2001 müssen US-Unternehmen personenbezogene Daten auf Verlangen von US-Behörden (NSA, FBI, CIA usw.) herausgeben – allerdings nur, wenn die Daten in den USA liegen.

Hintergrund zum Cloud-ACT

Dann hatten US-Strafverfolgungsbehörden von Microsoft verlangt, dass Microsoft auch Daten, die auf Servern im Ausland gespeichert sind, herauszugeben. Hiergegen hatte Microsoft alle rechtlichen Schritte eingelegt und sich geweigert, diese Daten herauszugeben.

Daraufhin hatte die Trump-Administration am 23.3.2018 den US-Cloud-Act (Clarifying Lawful Overseas Use of Data Act) erlassen, übrigens einstimmig im amerikanischen Parlament mit den Stimmen der Demokraten und Republikaner..

Cloud Act

Der CLOUD ACT ist heute das eigentliche datenschutzrechtliche Rest-Problem bei der Nutzung von Microsoft 365.

Nach dem CLOUD ACT dürfen US-Strafverfolgungsbehörden wie FBI, CSI, NSA, DEA, US-Customs, US-Treasury-Department usw. bei US-Firmen auch auf Daten im Ausland zugreifen.

Der US-CLOUD ACT verstößt nach Auffassung von Datenschützern gegen Artikel 48 der EU-DSGVO, der das Herausgeben von Daten an Behörden eines Landes außerhalb der EU regelt.

Dem von der Herausgabeverpflichtung betroffenen US-Unternehmen steht jedoch nach dem CLOUD ACT Gesetz ein gerichtliches Widerspruchsrecht gegen die Anordnung zur Herausgabe von Daten zu, wenn der Eigentümer der Daten kein US-Bürger ist, nicht in den USA lebt und das Unternehmen durch die Herausgabe der Daten gegen Rechte in anderen Ländern verstoßen würde.

Zu beachten: Der US-Cloud-Act bezieht sich nicht nur auf US-Unternehmen die ihren Hauptsitz in den USA haben, der US-Cloud-Act bezieht sich auf alle Unternehmen weltweit, die z.B. eine Niederlassung in den USA unterhalten und/oder dort einer Geschäftstätigkeit nachgehen. D.h. der Cloud-Act betrifft nicht nur Microsoft, Google, Apple, Facebook & Co sondern auch SAP, Sage, Telekom, Vodafone, Mobilcom, O2, Versatel & Co. Noch schlimmer: fast alle RZ-Betreiber in Deutschland gehören US-Konzernen wie Ionos, Interxion, Itenos, euNetworks, Interroute, Level3, Colt, HostEurope, QSC, GlobalCrossing, Tiscali, IronMoutain, Cogent, eShelter, Telehouse, GlobalSwitch, Telecity-Group, UnitedInternet usw..

Positiv: Microsoft hat sich hierzu schriftlich gegenüber seinen europäischen Kunden verpflichtet, bevor man Daten von Ausländern herausgibt, immer Einspruch vor Gericht einzulegen und mehr kann Microsoft eigentlich auch nicht machen, denn alles andere ist „höhere transatlantische Politik“.

Nach Artikel 83 Absatz 5 der EU-DSGVO drohen bei einem Verstoß gegen die Pflichten aus Artikel 48 EU-DSGVO besonders hohe Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des rechtswidrig handelnden Unternehmens – je nachdem, welcher Betrag höher ist. Also hat Microsoft auch allen Grund, sich hier auf die Hinterbeine zu stellen und die Daten der Europäer vor dem Zugriff der US-Administration zu schützen ….

Die USA hatten angekündigt, dass sie ein Widerspruchsrecht für alle Länder akzeptieren würden, die mit den USA ein Abkommen unter dem CLOUD ACT abschließen würden. Die Verhandlungen liegen aber seit Präsident Trumps Amtsübernahme auf Eis. Letztlich zwingt dieser Mechanismus Staaten dazu, mit den USA entsprechende Vereinbarungen zu schließen, die das Persönlichkeitsrecht und damit das Recht an personenbezogenen Daten ihrer Bürger oder von in ihrem Staatsgebiet gespeicherten Daten gegenüber US-Behörden wirksam schützen bzw. offenlegen.

Wie solche Fälle also in Zukunft zwischen etwa den USA und der EU beziehungsweise deren Mitgliedsstaaten so gelöst werden können, dass Unternehmen die Rechtsvorschriften der jeweils beiden betroffenen Länder einhalten können, hängt davon ab, ob es gelingt, mit den USA entsprechende Übereinkommen abzuschließen.

Erst kürzlich hat nun aber auch die EU eine ähnliche Gesetzesinitiative zur Erlangung von sog. "Waffenfreiheit" unter der Bezeichnung „e-Evidence-Verordnung“ (Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel) auf den Weg gebracht und sich zu Verhandlungen mit der US-Regierung bereit erklärt.

Wie solche Fälle also in Zukunft zwischen etwa den USA und der EU beziehungsweise deren Mitgliedsstaaten so gelöst werden können, dass Unternehmen die Rechtsvorschriften der jeweils beiden betroffenen Länder einhalten können, hängt davon ab, ob es gelingt, mit den USA entsprechende Übereinkommen abzuschließen.

Erst kürzlich hat nun aber auch die EU eine ähnliche Gesetzesinitiative zur Erlangung der sog. "Waffengleichheit" unter der Bezeichnung „e-Evidence-Verordnung“ (Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel) auf den Weg gebracht und sich dann zu Verhandlungen mit der US-Regierung bereit erklärt.

EU-Initiative: e-Evidence

Allerdings sieht der US-CLOUD ACT nur Verhandlungen mit „ausländischen Regierungen“ vor und nicht mit „internationalen Organisationen“, wie etwa der EU. Die US-Administration hat sich bisher geweigert mit der EU-Kommission für ganz Europa zu verhandeln und Deutschland und andere EU-Staaten haben ihrerseits mitgeteilt, dass sie nicht an direkten bilateralen Abkommen mit den USA interessiert sind und auf eine Lösung auf EU-Ebene setzen

Sollen nun europäische Unternehmen und Kanzleien unter diesem transatlanisches PowerPlay leiden?

SPECTRUM Statement: Einmal realistisch betrachtet stellt sich die Frage: braucht die NSA, die CIA, das FBI überhaupt so ein Gesetz um Daten auszuschnüffeln? Haben die nicht längst schon überall die Datenleitungen angezapft?

Braucht der Bundesfinanzminister z.B. eigentlich ein neues e-Evidence-Gesetz um Daten von Steuerbetrügern auszuspähen – hat er dafür nicht schon längst den Bundestrojaner?

Müssen deutsche Unternehmen und Kanzleien bei der Nutzung von Microsoft 365 wirklich den CLOUD-ACT berücksichtigen?

Hier ein interessanter Artikel des HEISE-IT-Magazins zum US-Cloud-Act:

Heise - Cloud-Act

Ändert der US-Cloud-Act die bisherigen Mechanismen für Anfragen nach Kundeninformationen durch die US-Strafverfolgung?

Hintergrund-Info

 

 

8. Checkliste für notwendige Einstellungen für den datenschutzkonformen Einsatz von Microsoft 365:

Spezialisten haben nachfolgende Checkliste erstellt, um Microsoft 365 datenschutzkonform einsetzen zu können:

1. Die Nutzung von Connected Experiences/Services in Microsoft 365 muss deaktiviert werden. Diese Services übermitteln Daten in großem Umfang an Microsoft und dürfen daher nicht genutzt werden. Damit fallen Funktionen wie z.B. der Übersetzer oder die Raumsuche weg.

2. In den Einstellungen muss beim Senden der Diagnosedaten die Option „weder noch“ ausgewählt werden. Ein direkter Nachteil für den Nutzer entsteht hierdurch nicht.

3. Die Funktion zur Datenübermittlung an das Microsoft-Programm zur Verbesserung der Benutzerfreundlichkeit von Anwendungen muss deaktiviert werden.

4. Das Telemetrie-Niveau von Microsoft 365 ist auf „weder noch“ zu stellen. Dies kann per Gruppenrichtlinie oder als Registry-Eintrag vorgegeben werden. Ebenso sollte bei dieser Gelegenheit das Telemetrie-Niveau in Windows 10 Enterprise auf „Security“ gesetzt werden.

5. Der Versand von Daten im Rahmen des Customer Experience Improvement Programms (CEIP) sollte unterbunden werden. Auch dies kann in der Gruppenrichtlinie oder per Registry-Eintrag geregelt werden und hat keine Folgen für den Nutzer.

6. Die LinkedIn-Integration von Mitarbeiterkonten ist zu deaktivieren. Dies kann in der Administratoroberfläche eingestellt werden. Derzeit ist die Funktion in Deutschland per Default deaktiviert. Allerdings sollte dies nach Updates überprüft werden. Es ist nicht ungewöhnlich, dass Microsoft bei Updates Änderungen an den Einstellungen vornimmt.

7. Folgende Connected Experiences sind ebenfalls zu deaktivieren:

  • 3D Maps
  • Insert Online 3D Models
  • Map Chart
  • Office Store
  • Insert Online Video
  • Researcher
  • Smart Lookup
  • Insert Online Pictures
  • LinkedIn Resume Assistant
  • Weather Bar in Outlook
  • PowerPoint QuickStarter
  • Giving Feedback to Microsoft
  • Suggest a Feature

 

8. Nutzer sind nach Möglichkeit technisch und durch interne Richtlinien davon abzuhalten, Office-Online-Anwendungen oder mobile Office-Applikationen zu verwenden. In einer Datenschutzfolgenabschätzung im Auftrag der niederländischen Aufsichtsbehörde wurde die Zulässigkeit der Online-Anwendungen und mobilen Applikationen von Office 365 bewertet. Diese kommt zu dem Schluss, dass deren Einsatz an fünf Punkten ein hohes datenschutzrechtliches Risiko für den Betroffenen birgt und daher unterlassen werden sollte. Das schränkt jedoch die Nutzung von Microsoft 365 in vielen Bereichen ein, da die Programme nur vorinstalliert auf einem PC oder Mac genutzt werden können, nicht hingegen auf Smartphones. Die Verwendung der Microsoft-365-Webanwendung und der Office-Apps muss bis auf weiteres als datenschutzrechtlich sehr kritisch angesehen werden, bis Microsoft weitere Schritte zur Verbesserung des Datenschutzniveaus innerhalb dieser Software unternimmt.

9. Abschluss eines Auftragsverarbeitungs-Vertrages (VAV) mit Microsoft: Der entsprechende Vertrag ist in den Microsoft-OST (Online Service Terms) enthalten und wird mit diesen zusammen abgeschlossen und muss somit nicht separat abgeschlossen werden.

10. Je nach Art und Umfang der Daten die mittels Microsoft 365 verarbeitet werden sollen, ist ggf. die Anfertigung einer eigenständigen Datenschutz-Folgenabschätzung notwendig.

11. Abschließend kann gesagt werden, dass Microsoft 365 aus datenschutzrechtlicher Sicht noch nicht mit der letzten Rechtssicherheit überall benutzt werden kann und eine Entwicklung und die ausstehende Rechtsprechung des EuGH abgewartet werden muss.


Sofern diese Anforderungen beachtet werden, lässt sich Microsoft 365 für den Moment eigentlich datenschutzkonform einsetzen. Es bleibt jedoch zu beobachten, ob Microsoft die nun gelebte Datensparsamkeit auch beibehält oder ob die Aufsichtsbehörden weitere Erkenntnisse hinsichtlich der Datenübermittlung erlangen und weitere Forderungen gegenüber Microsoft stellen.

 

 

 

9. Muss ein individueller Auftragsdatenvertrag mit Microsoft geschlossen werden ?

Kunden fragen oft, wie man denn mit Microsoft einen Vertrag zur Auftragsverarbeitung nach Art. 28 der EU-DSGVO abschließen kann?

Der Art. 28 Abs. 9 der EU-DSGVO führt hierzu aus:

  • „Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem EU-Recht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor …“

Schaut man sich diesen Absatz genauer an, sieht man, dass die rechtliche Grundlage für die Verarbeitung von personenbezogenen Daten des Auftraggebers durch den Auftragnehmer nicht zwingend ein Vertrag sein muss, wie man ihn beispielsweise mit seinem IT-Dienstleister abschließt. Das Wort ODER lässt auch andere Optionen als gleichwertig zu einem Vertrag zu.

  • „Die Auftragserteilung kann gemäß Art. 28 Abs. 9 DS-GVO in Zukunft auch in einem elektronischen Format erfolgen. Das strenge Schriftformerfordernis (handschriftliche Unterschrift) gilt damit nicht mehr. Ausreichend für das elektronische Format ist jedes elektronische Dokument, das dauerhaft wiedergegeben werden kann (vergleichbar mit der Textform in [§ 126b BGB])

Microsoft bietet anstelle eines Vertrages, wie er im deutschen Rechtsraum üblich ist, die sogenannten OST oder Online Service Terms, zu Deutsch: "Online Service-Nutzungsbedingungen". Alle Lizenzverträge von Microsoft umfassen diese Online Services-Nutzungsbedingungen. Die Lizenzverträge und damit eine OST werden abgeschlossen, wenn ein Kunde sich für ein Microsoft 365 Paket anmeldet.
Eine Unterschrift ist nach der EU-DSGVO nicht erforderlich, um einen rechtswirksamen Vertrag abzuschließen, es reicht die sog. Textform.

Der Vorteil für den Kunden in diesem Verfahren besteht auch darin, dass Microsoft so diese OST immer nach den Erfordernissen der diversen Eingaben der europäischen Institutionen anpasst und diese somit direkt für alle Nutzer in den EU-Mitgliedsstaaten gelten (Beispiel: Nach Intervention des niederländisches Ministeriums für Justiz und Sicherheit im Jahre 2018 wurden die in den Niederlanden ausgehandelten vertraglichen Verbesserungen direkt in der OST für alle EU-Kunden integriert).

Muss man mit Microsoft eine TOM schriftlich vereinbaren - sog. techn. organisatorische Massnahmen?

Nach den EU Standardvertragsklauseln mit dem Zusatz zur DSGVO können diese auch durch eine Erklärung oder durch den Nachweis eines entsprechenden Zertifikats nachgewiesen werden. Hier werden Sicherheitsstandards wie DIN ISO 27001 / ISO 27002 und ISO 27018 benannt, die einen ausreichenden Schutz garantieren.

Microsoft hält u.a. folgende internationalen Standards ein: ISO20000, ISO22301, ISO27001, ISO27017, ISO27701, ISO9001

Microsoft-Compliances

Der § 203 StGB und die Microsoft Cloud

Hierzu stellt Microsoft einen entsprechenden Zusatz zu den OST Dokumenten für deutsche Berufsgeheimnisträger zur Verfügung.

Microsoft & Offenlegung von Kundendaten

In den Microsoft Bestimmungen für Onlinedienste OST geht Microsoft folgende Verpflichtung ein:

  • "Microsoft wird Kundendaten nicht gegenüber Strafverfolgungsbehörden offenlegen, sofern nicht gesetzlich vorgeschrieben. Sollte sich eine Vollstreckungsbehörde mit Microsoft in Verbindung setzen und Kundendaten anfordern, versucht Microsoft, die Vollstreckungsbehörde an den Kunden zu verweisen, damit sie diese Daten direkt beim Kunden anfordert. Wenn Microsoft verpflichtet ist, Kundendaten gegenüber einer Vollstreckungsbehörde offenzulegen, wird Microsoft den Kunden unverzüglich darüber informieren und ihm eine Kopie der Aufforderung zukommen lassen, sofern dies nicht gesetzlich verboten ist."

 

 

10. Die Datenschutzkonferenz sagt aktuell am 22.10.2020, dass Microsoft angeblich die DSGVO-Ansprüche an Auftragsverarbeiter nicht erfüllt und dass vieles zu vage sei und ein US-Zugriff nicht ausgeschlossen ist

Datenschützer sehen Microsoft 365 in Behörden daher als nicht rechtskonform an

Am 10. 5. Okt. 2020 berichtet der HEISE-IT-Newsticker über die Ergebnisse der deutschen Datenschutzkonferenz.

Die Datenschutzkonferenz des Bundes und der Länder (DSK) hat im September mit knapper Mehrheit beschlossen, dass derzeit "kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich ist". Sie folgte damit einer Bewertung ihres Arbeitskreises Verwaltung vom 15. Juli. Dieser hatte über ein halbes Jahr lang geprüft, ob die Datenschutzbestimmungen und Online-Geschäftsbedingungen für das "Cloud-basierte" Softwarepaket mit Artikel 28 der Datenschutz-Grundverordnung (DSGVO) zur Auftragsdatenverarbeitung vereinbar sind.

Dies ist nach Ansicht der Aufsichtsbehörden nicht der Fall. Wer die danach die "Cloud-Variante" von Word, Excel oder Powerpoint handelt danach ggfs. nicht rechtskonform.

Statement von SPECRUM hierzu: Eine solche "Cloud-Nutzung" von Word, Excel und Powerpoint empfiehlt SPECTRUM auch nicht. Word, Excel und Poerpoint sollten SPECTRUM-Kunden auch immer auf den ASP-Servern im SPECTRUM-Hochsicherheits-RZ in Düsseldorf nutzen und dort die Daten verwalten - eine Speicherung in der Microsoft-Cloud hält SPECTRUM auch für z.Tl. höchst brisant. Hier liegt ja gerade der Vorteil der hybriden Cloud-Nutzung: Word, Excel, Powerpoint & Daten auf den eigenen Private-Cloud-Servern im SPECTRUM-Rechenzentrum und ggfs. Teams- und OneNote-Nutzung über Microsoft 365.

 

Interessant war das Abstimmungsergebnis der 17 Datenschützer aus Bund und Länder: Insgesamt waren acht Datenschutzbehörden gegen und neun für dieses harte Statement. Die Datenschutzbeauftragten von Bayern, Baden-Württemberg, Hessen, Rheinland-Pfalz, Sachsen und dem Saarland sowie das Bayerische Landesamt für Datenschutzaufsicht hatten erklärt, die Gesamtbewertung nicht zu teilen, "weil sie zu undifferenziert ausfällt" und legt wert darauf, dass dies kenntlich gemacht wird.

Die Datenschutzaufsichtsbehörden der Minderheit, die also gegen eine pauschale Negierung von Microsoft 365 waren, stellten klar, dass auch sie bei Microsoft 365 noch erhebliche datenschutzrechtliche Verbesserungspotenziale sehen, gerade auch mit Blick auf die jüngste Entscheidung des Europäischen Gerichtshofs zu internationalen Datentransfers vom 16. Juli 2020 (C-311/18 – Schrems II). Sie lehnten diese ablehnung der Ablehnung u.a. auch damit ab, dass der Arbeitskreis Verwaltung, der ja zu diesen Microsoft 365 Bedenken gekommen war, seine Bewertung auf der Grundlage von Vertragsbestimmungen getroffen, die Microsoft zwischenzeitlich bereits zweimal überarbeitet hat. Man hat auf dieser Datenschutzkonferenz also "schnee von gestern" beratschlagt.

Die Auffassung der Minderheitsmeinung kann sich SPECTRUM nur anschließen, denn plakative Äußerung wie "Microsoft 365 ist nicht datenschutzkonform" sind hier der falsche Weg, eine differenzierte Betrachtung muss hier durchgeführt werden und eine SPECTRUM-Installation in einer Hybrid-Lösung zusammen mit SPECTRUM-ASP ist hiervon überhaupt nicht tangiert. SPECTRUM begrüßten aber, dass die Datenschutzkonferenz eine neue Arbeitsgruppe eingesetzt hat, um im Dialog mit Microsoft nachhaltige datenschutzgerechte Korrekturen zu erreichen und die letzten Unstimmigkeiten auszuräumen.

 

 

11. Microsoft passt sich europäischem Datenschutz an

20.11.2020: So eine neue aktuelle Bewertung der Datenschutzbeauftragten der Länder Baden-Württemberg, Bayern und Hessen. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit von Baden-Württemberg Stefan Brink führt dazu aus: „Wenn ein datenverarbeitendes Unternehmen künftig auf dem europäischen Markt agieren will, muss es europäische Rechtsstandards erfüllen, insbesondere die DSGVO einhalten. Dazu gehört, dass die Unternehmen Betroffene informieren, wenn Sicherheitsbehörden Zugriff auf ihre Daten erlangen. Wir haben im September verschiedenen Unternehmen Empfehlungen zum internationalen Datentransfer gegeben, auch an Microsoft. Es ist gut und notwendig, dass das Unternehmen sich nach dem europäischen Datenschutz richtet und seine Vertragsklauseln jetzt entsprechend ändert. Der Europäischen Gerichtshof hat eindeutig entschieden, dass Datenflüsse aus Europa in die USA ohne solche zusätzliche Maßnahmen nicht mehr zulässig sind.“

Die neuen Vertragsklauseln von Microsoft enthalten Regelungen über

  • den Anspruch auf Schadensersatz für die betroffene Person, deren Daten unrechtmäßig verarbeitet wurden und die dadurch einen materiellen oder immateriellen Schaden erlitten hat;
  • die Information der betroffenen Person, wenn Microsoft durch eine staatliche Anordnung rechtlich bindend dazu verpflichtet wurde, Daten an US-Sicherheitsbehörden herauszugeben;
  • die Verpflichtung von Microsoft, den Rechtsweg zu beschreiten und die US-Gerichte anzurufen, um die behördliche Anordnung zur Herausgabe der Daten anzufechten.

Microsoft hat jetzt als einer der zentralen Anbieter global vernetzter IT-Produkte mit Cloud-Diensten für Unternehmen einige Garantien abgegeben, die unmittelbar die Nutzerrechte stärken. Eine Bewertung dieser Garantievorschläge wurde nun von den Datenschützer aus Baden-Württemberg, Bayern und Hessen vorgenommen.

Damit sei, so die gemeinsame Bewertung der beteiligten Datenschutzaufsichtsbehörden, zwar die Transferproblematik in die USA (aufgrund des US Cloud Acts) nicht generell gelöst – denn eine Ergänzung der Standardvertragsklauseln könne eben nicht dazu führen, dass der vom Europäischen Gerichtshof als unverhältnismäßig beanstandete Zugriff der US-amerikanischen Geheimdienste auf die Daten unterbunden werde.

Aber dass sich Microsoft als einer der größten, international agierenden Konzerne weltweit, mit einer erheblichen Marktmacht in Europa, nun in die richtige Richtung bewege und wesentliche Verbesserungen für die Rechte der Europäischen Bürgerinnen und Bürger in seine Vertragsklauseln aufnehme, sei ein wichtiger Schritt und ein deutliches Signal an andere Anbieter, diesem Beispiel zu folgen.

Hintergrund: Der internationale Datentransfer aus Europa in die USA ist nach dem Urteil des Europäischen Gerichtshofs zu Schrems II vom Juli 2020 nur noch sehr eingeschränkt möglich, obwohl hauptsächlich US-Anbieter zentrale Akteure der weltweiten Datenverarbeitung sind. Aus Sicht des EuGHs ist die völlig überzogene Massenüberwachung durch US-amerikanische Sicherheitsbehörden der Grund, weswegen Daten von Europäern nur noch unter ergänzenden Schutzmaßnahmen in die USA übermittelt werden dürfen. Die Trump-Administration hatte Verhandlungen mit der EU abgelehnt, da man die EU als nicht adäquate Staatenvertretung ansieht und nur mit jedem einzelnen Staat in Europa Einzelverträge abschließen will. Vielleicht ist die neue US-Administration hier verhandlungsbereiter. Die Datenschützer aus Baden-Württemberg, Bayern und Hessen haben nun ein Zeichen gesetzt, denn es muss ja irgendwie weitergehen und Europa bzw. europäische Unternehmen können sich ja nicht selbst vom Trend des Cloud-Computings ausschließen.

 

 

12. Gelten die datenschutzrechtlichen Bedenken für Behörden, Kommunen und große Unternehmen nicht?

Es ist schon lustig: kleine und mittelständische Unternehmen sind verunsichert beim Einsatz von Microsoft 365 oder anderen Cloud-Dienstleistungen durch die pauschale, negative Berichterstattungen in der Presse. Die großen, weltweiten Wirtschaftsprüfungs-Gesellschaften (wie Deloitte, EY - Ernst & Young, KPMG und PwC - PricewaterhouseCoopers, BDO, Rödl, Ebner Stolz, Baker Tilly Roelfs, Nexia, Crowe-Global, Moore-Stephens, Grant-Thornton, RSM, PKF, HLB, AGN, Kreston, DFK, Moores-Rowland, Ecovis usw.) mit ihrer höchst sensiblen Datenverarbeitung von geheimen Unternehmensdaten von tausenden von Großkonzernen nutzen aber alle schon lange diese Cloud-Services. Bestehen da keine Datenschutzprobleme?

Interessant: Zum Jahresende 2020 wurde bekannt, dass der Staatskonzern DEUTSCHE BAHN komplett alle über 8.000 bisher betriebenen Server abschaltet, verschrottet und komplett in die Cloud umgezogen ist, hälftig in die Microsoft-Cloud und außerdem in die Amazon-Cloud (AWS). Auch wenn die Bahn nur Rechenzentren von Microsoft und Amazon in Deutschland nutzt - müssten hier doch eigentlich die gleichen Bedenken der Datenschützer gelten - oder?

In Bayern, Baden-Württemberg, Hessen usw. nutzen die Schulen schon lange Microsoft 365. Es gibt auch fast keine Kommunen oder Stadtverwaltungen mehr in Deutschland, die nicht Cloud-Services nutzen.

Die Deutsche Telekom z.B. vermarktet selbst ganz aktiv Microsoft 365 und Azure Services ....

Führen die Datenschützer hier einen vergeblichen Kampf?

Müssen die Datenschützer auch hier im Endeffekt klein beigeben - so wie sie es schon bei der VoIP- oder Cloud-Telefonie gemacht haben, hier sind die Rufe nach verschlüsselten Übertragungen und sonstigen datenschutzrechtlichen Bedenken schon lange verstummt ....

Grüßt hier Don Quijote ?

Nach Recherchen in diversen Anwenderberichten in Computer-Magazinen setzen u.a. folgende Großunternehmen in Deutschland Microsoft 365 bzw. andere Cloud-Dienstleistungen ein: ABB, Addidas, Adecco, Aldi-Gruppe, Allianz, Airbnb, Asklepios-Kliniken, AXA, BASF, Bayer, Bayrische Landesbank, Bayrische Vereinsbank, Beiersdorf, Bertelsmann, BMW, Boehringer Ingelheim, Bosch, Ceconomy, Commerzbank, Continental, Covesto, Daimler, Debeka, Deutsche Bank, Deutsche Börse, Deutsche Post, Deutsche Telekom, Deutsche Wohnen, DM-Drogeriemarkt, DZ-Bank, EDEKA-Gruppe, EnBW, Ergo, Evonik Degussa, Expedia, Exxon, EWE, E.ON, Feldmühle, Fraport, Fresenius, GE, Goldman Sachs, Hella, Heidelberg Zement, Henkel, Hilton-Gruppe, Hoechst, Hoffmann-La Roche, HUK-Coburg, Infinion, Landesbanck-Baden-Württemberg, Landesbank-Hessen-Thüringen, Lanxess, LG, Liebherr, Linde, Lufthansa, Kellogs, KfW-Bankengruppe, K+S AG, MAN, MC Donald, Merck, Monsanto, MTU, Münchner Rück, Netflix, Norddeutsche Landesbank, Novatis, Osram, Otto-Gruppe, Procter & Gamble, REWE-Gruppe, Rheinmetall, RWE, Rynair, Sanofi, Sana-Kliniken, Schwarz-Gruppe (Lidl, Kaufland usw.), Salzgitter AG, SAP, Siemens, Shell, Sparkassen, Axel Springer, Saint-Gobain, Strabag, ThyssenKrupp, Uber, United Internet, Volkswagen, Volksbanken, Vonovia, Vattenfall, Wacker-Chemie, Wissag AG, Würth-Gruppe, Carl Zeiss, ZF Friedichshafen, 3M  u.v.a.m.

Selbst die DATEV e.G. - die Genossenschaft der deutschen Steuerberater - ist seit Neuestem CSP-Tier1-Partner von Microsoft mit QMTH-Autorisierung und bietet Microsoft 365 für ihre RZ-Dienstleistungen an.

 

 

 

13. Am 18.2.2021 schlägt die Berliner Datenschutzbeauftragte erneut zu und rät von der Nutzung aller marktführenden Videokonferenzsysteme wie Microsoft Teams, Skype, Zoom, Google Meet, GoToMeeting, Teamviewer und Cisco WebEx ab.

Am 18.2.2021 gab es nun wieder einen herben Rückschlag für die Nutzer und Interessenten von Microsoft 365, MS Teams & Co: Das Thema Datenschutz zeigt ja einen wellenförmigen Auf- & Ab-Verlauf, mal gibt es härtere Auslegungen - mal wird alles wieder verharmlost. Diesmal hat die Berliner Datenschutzbeauftragte Maja Smoltczyk für erneuten Wirbel gesorgt: Das Handelsblatt berichtete als erster unter der Headline "Microsoft Teams, Zoom, WebEx: Berliner Behörde warnt vor gängigen Videosystemen" über die neueste Veröffentlichung der Berliner Behördenleiterin. Die Berliner Behörde hatte weniger die eigentliche Technik als die reinen vertraglichen Grundlagen für die Nutzung beurteilt, d.h. die jeweiligen Verträge zur Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 der europäischen Datenschutzgrundverordnung (EU-DSGVO).

Interessant ist, dass alle kleinen RZ-Anbieter, die auf dem Open-Source-Produkt "Jitsi" basierte eigene Videokonferenzlösungen am Markt anbieten, von der Berliner Behörde eine grüne Ampel bekamen (übrigens: auch das SPECTRUM-Videokonferenzsystem basiert auch auf Jitsi).

Etwas befremdlich ist jedoch die Qualität des Papiers der Berliner Behörde: Es gab in den letzten Jahren immer wieder Beanstandungen von deutschen und europäischen Datenschutzbehörden an dem Inhalt dieser Microsoft-OSTs, dieser Microsoftbedingungen für die Verarbeitung von personenbezogenen Daten nach Art. 28 DSGVO. Diese sind aber von Microsoft jeweils kurzfristig nachgebessert worden (letztmalig am 20.11.2020). Die Datenschutzbeauftragten der Länder Baden-Württemberg, Bayern und Hessen halten diese Änderungen für ausreichend und haben keine Beanstandungen mehr. Nach uns aktuell vorliegenden Informationen gibt es derzeit auch keine Nachbesserungsforderungen mehr von deutschen oder europäischen Datenschutzaufsichtsbehörden an Microsoft. Was soll also jetzt am 18.2.2021 eine Veröffentlichung der Berliner Datenschutzbeauftragten, die sich auf den Stand vom 3.7.2020 bezieht?

Es ist nahezu eine Zumutung für den normalen Anwender die Ausführungen in dem Papier "Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenzdiensten" der Berliner Aufsichtsbehörde zu lesen und zu verstehen. Manche Ausführungen erinnern an "beleidigte Leberwurst-Statemens" wenn man über Korrekturen bei der deutschen Überetzung sich ausläßt oder das Nichtvorliegen einer deutschen Übersetzung von Orginalverträgen in englischer Sprache sich auslässt. Nirgendwo in der DSGVO steht, dass alle Vertragsunterlagen bei weltweit operierenden Anbietern in Deutsch vorliegen müssen. Wir haben Ihnen dieses Papier angefügt (Klick auf das Button) und einige Passagen einmal rot gekennzeichnet, damit der normale Betrachter versteht, um "welche Haare an Kaisers Bart" hier gestritten wird.

PDF-Download des Papiers
der Berliner Datenschützer

Wir halten es für gelinde gesagt für eine Unverschämtheit, dass sich die Datenschützer sich nicht mit Microsoft an einen runden Tisch setzen und die strittigen, restlichen kleinen Punkte endlich klären. Ständig nur Papiere und Gegenpapiere zu veröffentlichen hilft hier den Anwendern nicht weiter.

Es ist schon erstaunlich, dass Datenschützer das Thema Videokonferenz ständig mit Restriktionen belegen und hingegen das Thema normale Telefonkonferenz und Telefaxübermittlung links liegen lassen.

Beim heutigen Telefonbetrieb gibt es schon lange keine galvanische Ende-zu-Ende Verbindung über Hubdrehwähler-Vermittlungstechnik mehr - wie in den 60 und 70er Jahren des vorigen Jahrhunderts. Auch beim Telefonieren werden heute nur noch IP-Päckchen unverschlüsselt durchs Internet verschickt. Individuelle Auftragsverarbeitungsvereinbarungen mit Vodafone, O2, 1&1 Drillisch, Telekom & Co hat auch fast kein Anwender. Es gibt zwar bei den Datenschutzaufsichtsbehörden Hinweise auf deren Webseiten, dass man Voice-over-IP-Telefongespräche am besten Ende-zu-Ende verschlüsseln sollte, nur die Telefon-Provider bieten hierzu keine technischen Lösungen an und daher ist das Thema heute mehr oder weniger gegessen. Die Datenschützer haben hier bei der Voive-over-IP-Technik anscheinend auf breiter Linie resigniert und man hört aktuell nichts zu Einschränkungen – z.B. das Rechtsanwälte, Steuerberater, Ärzte, Krankenhäuser usw. keine Telefonkonferenzen mehr machen dürfen.

Früher war auch der Faxbetrieb eine galvanisch durchverbundene analoge Verbindung zwischen 2 Faxgeräten. Die Datenschützer haben dann bei der Änderung der Fax-Übertragungsart auf IP-basierte Datenpäckchen zwar schon vor über 10 Jahren den warnenden Finger erhoben und gefordert (nachzulesen bei einigen Datenschutzaufsichtsbehörden in Deutschland) dass Faxe nur noch mit einer Ende-zu-Ende-Verschlüsselung abhörsicher übertragen werden sollten. Jetzt gibt es tatsächlich im militärischen Bereich spezielle Fax-Geräte, die eine solche Verschlüsselungstechnik beherrschen. Nur bei Steuerberatern, Mandanten, Kammern und sonst. Institutionen hat man kaum Nato-oliven Faxgeräte gesehen und trotzdem werden tagtäglich millionenfach vertrauliche Daten gefaxt. Auch hier hört man von Datenschützer selten Statements, die Berufsangehörigen oder Kammern die Fax-Nutzung untersagen.

Dies vorausgeschickt ist eine Videokonferenztechnik heute IP-technisch nichts Anderes als bei einer Telefonkonferenz oder einer Faxübermittlung, es werden Datenpäckchen durchs Internet verschickt, die im Allg. zwischen den Teilnehmern und den Providern auch verschlüsselt sind. Es ist also nicht verständlich, dass sich Datenschützer aktuell nur bei Videokonferenztechniken ereifern .....

 

 

Fazit bzw. Zusammenfassung:

Was können Microsoft-Anwender also tun? Es wäre möglich darauf zu verzichten, Microsoft-Produkte einzusetzen und Software von anderen Herstellern einsetzen, nur es gibt kaum noch Alternativen .....

Ja – man könnte auch überlegen, das Internet wieder abzuschalten .....

Bei diesen Betrachtungen handelt es sich wohl sicherlich nur um eine theoretische Lösung, denn die Produkte von Microsoft sind in vielen Fällen heutiger Marktstandard und in anderen Software-Anwendungen integriert.

Microsoft hat angekündigt, dass es ab Ende 2024 die klassischen MS-Office-Produkte (zumindest für gehostete Serverlösungen) nicht mehr geben wird - also steht ein Umstieg an.

Alternativ könnten Microsoft-Kunden noch versuchen, Anpassungen an den Vertragsbedingungen von Microsoft zu erreichen. Den meisten Kunden fehlt hier aber der Verhandlungsspielraum hinsichtlich der Ausgestaltung der vertraglichen Grundlagen. Diese Option besteht wohl nur, wenn die europäischen Wettbewerbsbehörden und Datenschutzorganisationen mit Microsoft verhandeln. Festzustellen ist, dass bisher Microsoft dazu immer bereit war und laufend nachgebessert hat. Bevor z.B. deutsche Datenschützer umständlich lange Stellungsnahmen mit Verweise auf Verweise veröffentlichen und dann Presserklärungen herausgeben wie "Microsoft 365 ist nicht datenschutzkonform" .... sollte man sich endlich an einen Tisch setzen und mit Microsoft eine angemessene Lösung erarbeiten.

Die Einschätzung der Berliner, hessischen Datenschutzbehörden usw. mag sachlich vielleicht richtig sein. Tatsächlich hilft diese Erkenntnis dem einzelnen Unternehmen jedoch nicht. Wie Betriebe sich verhalten können, um die Anforderungen der EU-DSGVO umzusetzen, bleibt leider bei diesen pressetechnisch hochgeputschten Verlautbarungen oft völlig offen.

Die derzeitige verbliebene Rechtsunsicherheit im Hinblick auf eine Datenschutzkonforme Nutzung von Microsoft 365 ist absolut unbefriedigend. Das Produkt Microsoft 365 wird sicherlich nicht mehr vom Markt genommen. Viele Unternehmen wollen auch die Produkte aus Effizienzgründen einsetzt. Die Lösung der Probleme durch den US-Cloud-Act und das EUGH-Urteil zu Schrems II (bzgl. Privacy Shield) können nur bilateral auf höchster Regierungsebene gelöst werden - dies kann aber kein Grund sein, diese Microsoft-Produkte nicht nutzen zu dürfen. Die deutsche Regierung und die EU sollten sich schnellstens mit Microsoft an einen Tisch setzen, um die letzten datenschutzrechtlichen Bedenken auszuräumen und ggfs. entsprechende technische, organisatorische oder vertragliche Änderungen herbeizuführen. Ein Profilierungskampf hilft hier nicht weiter. Microsoft hat in der letzten Zeit mehrfach die Bereitschaft signalisiert, notwendige Änderungen auch durchzuführen, um die volle Produkt-Akzeptanz zu erreichen.    

Um weitestgehend datenschutzkonform zu handeln, sollten Unternehmen und Kanzleien bis dahin beim Einsatz von Microsoft 365 jedenfalls die oben beschriebene Checkliste mit notwendigen Einstellungen für den datenschutzkonformen Einsatz von Microsoft 365 weitestgehend beachten.

Zusammengefasst: Bei einer hybriden Lösung (die von SPECTRUM präferiert wird) liegen die wichtigen Daten (aus Word, Excel, Powerpoint, Outlook, SQL-Datenbanken usw.) auf den kundenzugeordneten Servern im Hochsicherheits-Rechenzentrum von SPECTRUM in Düsseldorf. Der MS-Exchange-Server liegt in der Microsoft-Cloud in deutschen Rechenzentren. Die Mail-Übertragung findet hier TLS-verschlüsselt statt und erfüllt damit die Verschlüsselungsvorgaben der Rechtsanwalts- bzw. Steuerberaterkammern und der aktuellen deutschen Rechtssprechung. Wenn man dann den Chat- und Videokonferenzdienst MS-Teams, den Cloud-Speicher OneDrive und andere RTools und Programme aus dem riesigen Microsoft 365 Angebot einsetzen will, muss man sicherlich die Datenschschutz-bezogenen Aspekte prüfen - man dürfte hier aber wohl auch kein Problem haben. Denn nach Prüfung der aktuellen Datenschutzbedingungen von Microsoft durch diverse europäische Datenschutzbehörden erfüllen diese nach der vorherrschenden Meinung die Vorgaben der europäischen DSGVO - auch wenn hier erwähnt werden muss, dass in Deutschland noch 9 zu 8 von 17 Datenschutzbehörden noch eine andere Meinung vertreten und Microsoft zu weiteren Zugeständnissen bewegen möchten. Das Restrisiko ist eigentlich nur noch der US-Cloud-Act, dass auf Antrag irgendeiner US-Behörde ein US-Gericht Microsoft auffordert Daten von in Deutschland stehenden Servern an diese US-Behörden auszuliefern (Hinweis: es geht hier nicht um NSA, CIA, FBI & Co - hier hat uns Edward Snowden ja aufgeklärt, holen sich diese Institutionen sowieso irdendwie). Microsoft hat in diesem Fall eines US-Cloud-Act-Urteils allen Kunden in Europa zugesichert, gegen ein solches Urteil Einspruch einzulegen und alle möglichen Instanzen zu durchlaufen. Wenn dies Instanzen alle durchlaufen sind und immer noch die Forderung an Microsoft besteht Daten aus Deutschland an US-Behörden auszuliefern, müsste Microsoft dann entscheiden, ob man ein US-Gesetz (den Cloud-Act) bricht und die darin festgelegten Strafen auf sich nicht oder ob man EU-Gesetz (DSGVO) bricht und die darin festgelegten Strafen auf sich nimmt, die EU-Strafen sind bis zu 4% des Weltumsatzes je Verstoss. Solche Strafen kann auch Microsoft nicht lange durchstehen.