Produkte

Diskussionen zum Microsoft-Datenschutz

Diskussionen zum Microsoft-Datenschutz

Es gibt am Markt viele Diskussionen, Stellungnahmen und Kommentare, ob z.B. Microsoft-365 von deutschen Unternehmen nach der EU-DSGVO oder ob es z.B. bei Steuerberatern nach den Offenbarungsverbotsklauseln im § 203 StGB überhaupt eingesetzt und genutzt werden darf.

Die ganze Aufregung, ob Microsoft 365 Datenschutz-konform eingesezt werden kann, ist nach dem mit "Schrems-II" bezeichneten Urteil des EUGH vom 16. Juli 2020 (Rs. C-311/18) entbrannt, weil der europäische Gerichtshofentschieden hatte, dass durch einige US-Gesetze (wie z.B. der sog. "US-Cloud-Act") US-amerikanische Behörden von US-Konzernen wie Microsoft verlangen könnten, personenbezogene Daten herausgeben zu müssen. Das EUGH sah das transatlantische "Privacy Shield" nicht mehr gewährleistet und viele Datenschützer hatten dies zwischenzeitlich zum Anlass genommen in Unternehmen und Behörden Produkte, Techniken oder Verfahren zu verbieten, die sog. "unzulässige Transfer-Optionen" beinhalteten, weil das gleichwertige Schutzniveau für die personenbezogenen Daten bei US-Unternehmen nicht mehr voll gewährleistet werden könnte.

Dies hat sich aber eigentlich seit dem 4.6.2021 alles wieder in Luft aufgelöst, weil die EU-Kommission einen neuen Rahmen für die sog. "Standardvertragsklauseln" (siehe ganz unten auf dieser Seite) erlassen hat und damit Datenübertragungen auch außerhalb der EU im Rahmen der EUGH-Rechtssprechung wieder ermöglich hat.

Nachfolgend hat SPECTRUM einmal versucht die wichtigsten Fakten und derzeitigen Diskussionen zusammenzufassen, damit sich jeder Anwender selbst einen eigenen Überblick verschaffen kann – natürlich ist dies keine Rechtsberatung.

 

Microsoft 365 ist ein Cloud-Dienst von Microsoft der weltweit über das globale Internet von überall erreichbar ist und somit weltweit unterschiedliche Datenschutzstandards und Datenschutzgesetze - zum Teil sogar noch mit branchen- oder berufsbezogener Auslegungen - berücksichtigen muss. Hier finden Sie Auszüge aus diversen Microsoft-Veröffentlichungen, damit Sie sich hier informieren können, um sich eine eigene Meinung zu bilden:

Microsoft Veröffentlichungen zum Datenschutz

 

Was ist Microsoft 365 ?

Grundsätzliches:
Microsoft 365 ist eine Kombination aus

  1. den bekannten Office-Software-Produkten wie man sie von PC- oder Netzwerk-Installationen kennt (auch aus WTS- und ASP-Lösungen) wie Outlook, Word, Excel, PowerPoint, Publisher und Access
  2. WEB-Versionen von Outlook, Word und Excel für iOS- bzw. Android-Tablets oder Smartphones
  3. und von Online-Diensten wie Hosted-Exchange mit Mail-Provider-Funktion, wie den Besprechungs- und Notizverwaltungs-, Chat- und Videokonferenz-Dienst Teams, wie den File-Hosting-Dienst OneDrive, die Kollaborations- und Webportal-Software Hosted-SharePoint zur Realisierung von Intranet-, Extranet- oder Internet-Webportalen und Cloud-Verwaltung-  und  Speicherung von Office-Dokumenten, PDFs, Bildern, Videos, E-Mails, Kalendereinträgen, Aufgaben, Verträgen oder Projektinformationen
  4. aus besonderen Diensten wie Azure Information Protection (AIP) - eine cloudbasierte Lösung, die Organisationen das Klassifizieren und Schützen von Dokumenten und E-Mails durch Anwendung von Bezeichnungen ermöglicht, wie Intune - zur Verwaltung von Windows- oder Apple-PCs und mobilen iOS- oder Android-Endgeräten (MDM - Mobile Device Management) oder von mobilen Anwendungen (MAM, Mobile Application Management) über das Internet

Die diversen Programme, Anwendungen, Funktionen und Dienste in Microsoft 365 unterscheiden sich zum Teil erheblich voneinander und müssen datenschutzrechtlich trotz des gemeinsamen Paket-Namens daher natürlich unterschiedlich betrachtet werden:

Nutzung von Outlook, Word, Excel, PowerPoint: Für die Installation und Nutzung der Anwendungen Outlook, Word, Excel, PowerPoint auf dem kundeneigenen System (das kann ein lokaler PC oder ein lokales Netzwerk/WTS-System sein - aber auch ggfs. die Nutzung eines Kunden-individuellen Application Service Providing / ASP-Systems z.B. im SPECTRUM-RZ mit diesen Anwendungen) gilt grundsätzlich der gleiche datenschutzrechtliche Rahmen wie bisher. Wenn man hier seine Daten wie gewohnt auf dem kundeneigenen System (bzw. in seinem DMS-System) ablegt und verwaltet, gibt es keine Unterschiede. Man kann in diesen Anwendungen auch grundsätzliche Sicherheitseinstellungen treffen, so dass selbst Fehlermeldungen und sonstige Einstellungen nicht an Microsoft gemeldet werden.

 

 

Nutzung von Microsoft-365-Hosted-Exchange: Hier ist Microsoft auch der E-Mail-Provider. E-Mails werden dann z.B. nicht über das abgesicherte Internet-Zugangssystem SPECTRUM-NET zugestellt und versendet sondern über das Microsoft-Mail-Provider-System, welches sehr gut ist und einen hervorragenden Ruf bei der Viren- und Spam-Abwehr hat. Da der unverschlüsselte E-Mail-Verkehr ja sicherheitstechnisch ein generelles Problem darstellt, sehen wir hier datenschutztechnisch keinen Unterschied zu anderen bekannten E-Mail-Providern wie WEB.DE, GMX, T-Online, AOL, Freenet, Telekom, 1&1, Strato, Vodafone, Unitymedia, Google-Mail, Yahoo-Mail usw.. Positiv muss hier noch berücksichtigt werden, dass die Microsoft-Rechenzentren für das E-Mail-Providing in Deutschland stehen und man bei Microsoft-365-Hosted-Exchange eine generelle TLS-Verschlüsselung einrichten kann, um z.B. die Anforderungen an eine Minimal-Mail-Verschlüsselung nach den Vorgaben z.B. der Bundessteuerberaterkammer, der Bundesrechtsanwaltskammer usw. einhalten zu können.

Nutzung von Teams, OneDrive, SharePoint: Hier werden die Daten immer in der Microsoft-Cloud gespeichert und verwaltet. Die nachfolgenden datenschutzrechtlichen Betrachtungen beziehen sich daher primär auf die Nutzung dieser Dienste. Positiv hervorzuheben ist hier, dass laut Zusage von Microsoft diese Daten ausschließlich auf deutschen Servern bzw. auf Servern in der EU verwaltet werden und dass Microsoft trotz aller internationalen Ausrichtungen redlich bemüht ist, alle datenschutzrechtlichen Anforderungen nach der europäischen DSGVO und dem deutschen BDSG einzuhalten.

Nutzung von  Azure Information Protection (AIP) und Intune: Die datenschutzrechtliche Betrachtung wird hier in diesem Artikel nicht weiter behandelt, da derzeit der Einsatz und die Nutzung dieser Dienste von unseren Kunden zu gering ist und immer eine datenschutzrechtliche Folgenabschätzung als Einzelbetrachtung verlangt.

 

Übersicht Microsoft 365

 

 

Kritiken zur Datenschutz-Konformität

Das Thema der datenschutzrechtlichen Zulässigkeit des Einsatzes von Microsoft 365 ist nach Ansicht von Datenschützern außerordentlich komplex und noch lange nicht abschließend behandelt. Jetzt neigen leider Datenschützer oft dazu, alles nur aus ihrer subjektiven Brille zu betrachten, so dass der Anwender sich an diesen oft plakativen Veröffentlichungen nur zum Teil anlehnen kann.

Wenn Sie von hier oben die Punkte nach unten gehend betrachten, erkennen sie die Chronologie der Diskussion in zeitlicher Reihenfolge - wenn Sie direkt nach unten auf dieser Seite gehen, finden Sie die aktuell letzten Veröffentlichungen zu diesem Thema.

 

 

1. Niederländisches Ministeriums für Justiz und Sicherheit:

Losgeschlagen wurde die Kritik an Microsoft 365 am 5. Nov. 2018 durch eine Privacy Company, die im Auftrag des niederländischen Ministeriums für Justiz und Sicherheit (Ministry of Justice and Security of the Netherlands - SLM Rijk) eine Datenschutzstudie zu den Datenschutzrisiken von Windows 10 Enterprise, Office 365 ProPlus und Office Online erstellte (Data Protection Impact Assessment - DPIA).

SLM Rijk - Studie 1

Diese Studie kam damals bei ihrer Datenschutzfolgenabschätzung zu dem Ergebnis, dass Office365-Anwendungen (heute Microsoft 365) die gesetzlichen Forderungen der damals neuen europäischen Datenschutzgrundverordnung (EU-DSGVO) nicht erfüllen würde.

Microsoft hat dann schnell nachgebessert:

  • Ende April 2019 hat Microsoft die Datenschutzeinstellungen in Office 365 so geändert, dass diese nun der Datenschutz-Grundverordnung (DSGVO) entsprechen. Die Nutzer haben seitdem die Möglichkeit, die Telemetrie- und Diagnosedaten sowohl einzusehen als auch die Datenübermittlung generell zu deaktivieren und somit blockieren zu können.
  • Microsoft hat außerdem DSGVO-konforme Anpassungen bezüglich der Zweckgebundenheit, des Rechts auf Korrektur und Löschen sowie der expliziten Einverständniserklärung der betreffenden Personen für die Verarbeitung ihrer Daten vorgenommen.
  • Zum Jahreswechsel 2019/2020 hat Microsoft zudem auch seine Online Service Terms (OST) für Firmenkunden geändert. Diese „Cloud-Verträge“ enthalten nun die Änderungen, die mit der niederländischen Regierung ausgehandelt wurden und gelten weltweit für alle öffentlichen Organisationen und Firmenkunden. Dabei hat sich Microsoft auch explizit dazu bekannt, die Rolle des Datenverantwortlichen zu übernehmen.

Die niederländischen Aufsichtsbehörden kamen dann am 22.7.2020 zu dem Ergebnis, dass die aktualisierte Office 365 ProPlus Version 1905 (Microsoft 365 Business) nun EU-DSGVO konform genutzt werden kann.

SLM Rijk - Studie 2

Nach Aussage niederländischer Juristen, die die Nutzung von Microsoft 365 (Office 365) analysiert hatten, kann man folgendes nun sagen:

Bei der Nutzung von Microsoft 365 verarbeitet Microsoft eine Vielzahl von Daten und dabei auch personenbezogene Daten.

  • Ein Teil der Datenverarbeitungen betreffen die Funktionsdaten. Dabei handelt es sich um Datenverarbeitungen, die notwendig für die Bereitstellung des Microsoft 365 Services sind. Microsoft wird hierbei gemäß den Online Service Terms (OST) als Auftragsverarbeiter gem. Art. 28 DSGVO tätig. Ein entsprechender Auftragsverarbeitungsvertrag ist in den OST enthalten. Die Verarbeitungen von Funktionsdaten resultieren aus der Weisung des Auftraggebers an Microsoft. Die Weisung entspricht dabei der Nutzung des Dienstes durch den Auftraggeber. Funktionsdaten werden unverzüglich nach der Bereitstellung des Service gelöscht.
  • Außer den Funktionsdaten zur Bereitstellung des Service verarbeitet Microsoft zwangsläufig als Auftragsverarbeiter auch Inhaltsdaten. Damit sind die tatsächlichen Dokumente, Präsentationen, E-Mails etc. gemeint, die Nutzer Microsoft im Rahmen ihrer Tätigkeit mit Microsoft 365 erstellen und in der Microsoft-Cloud speichern (d.h. hier sind nicht die im kundeneigenen System gespeicherten Outlook-, Word-, Excel-Daten gemeint) . Diese in der Microsoft-Cloud gespeicherten Daten verarbeitet Microsoft nur für die Bereitstellung des Dienstes Microsoft 365. Eine Verwendung zu anderen Zwecken ist in den OST unter „Verarbeitung von Kundendaten“ definitiv ausgeschlossen.

 

  • Neben den Funktions- und Inhaltsdaten verarbeitet Microsoft bei der Bereitstellung von Microsoft 365 auch noch Diagnosedaten. Diese enthalten eine von Microsoft 365 eindeutig generierte ID mit der sie einem Benutzer eindeutig zugeordnet werden können. Eine genaue Auflistung der Kategorien von Daten und Kategorien von Betroffenen Personen ist in Appendix 2 der Datenschutz-Folgenabschätzung der Juristen der Niederlande zu finden. Dabei werden unter anderem folgende Datenarten übermittelt: Client-ID, User-ID, Dauer der Nutzung eines Office-Dienstes, Größe der bearbeiteten Datei, Event-ID (ID der getätigten Aktion – bspw. Speicherung eines Dokuments), Programmsprache usw.. Diese Informationen werden an die Server von Microsoft gesendet. Dabei ist eine Übermittlung der Daten in die USA grundsätzlich zwar nicht auszuschließen, aber Microsoft hat schriftlich zugesichert, dass die Daten NICHT für Profiling, Datenanalyse, Marktforschung oder Werbung genutzt werden.
  • Außerdem sind nun nach der von Microsoft eingeführten breitflächigen Verfügbarkeit der „Service-Verschlüsselung“ mittels „Customer Key“ alle Sicherheitsanforderungen erfüllt. Die Dienste-Verschlüsselung per Customer Key kann Kunden beim Einhalten ihrer Compliance-Vorgaben helfen, da sie hierdurch die Schlüssel zur Chiffrierung ihrer Microsoft-365-Daten selbst managen können.

 

Anfang Mai 2019 hat dann das niederländische Ministerium für Justiz und Sicherheit (SLM Rijk) mit Microsoft neue Datenschutzbestimmungen für über 300.000 Desktops in den niederländischen Ministerien, bei der Steuer- und Zollverwaltung, bei der Polizei, in der Justiz und für unabhängige Verwaltungsbehörden für die Nutzung von Microsoft 365 abgeschlossen: „there are no more known high data protection risks for data subjects related to the collection of data about the use of Microsoft 365.“.

Auch die Privacy Company kommentiert seither, dass Microsoft die acht zuvor identifizierten Datenschutzrisiken für Microsoft 365 durch eine Kombination aus technischen, organisatorischen und vertraglichen Maßnahmen gelöst hat.

Für Office Online und die Mobile Office Apps hingegen kommt eine separate Untersuchung im Auftrag des Niederländischen Ministeriums für Justiz und Sicherheit vom 23. Juli 2019 zu dem Ergebnis, dass wegen der noch immer gegebenen Risiken ein datenschutzrechtskonformer Einsatz nicht möglich sei.

SLM Rijk - Studie 3

Für Office Online und die Mobile Office Apps gibt es aber noch Einschränkungen, so dass SLM Rijk am 23. Juli 2019 daher staatlichen Institutionen rät, Office Online und die mobilen Office-Apps vorerst nicht zu nutzen.


Weitere Informationen: "Strategic Vendor Management Microsoft for the Dutch government"

SLM Rijk - generelle Informationen


Wichtig zu wissen ist noch, dass die Regelungen, die die Niederländische Regierung mit Microsoft erreicht hat, für alle Institutionen, Unternehmen und Anwender in der EU Gültigkeit hat.

 

 

2. Hessischer Datenschutzbeauftragter zum Einsatz von Microsoft 365 an hessischen Schulen:

Im Juli 2019 heizt der Hessische Beauftragte für Datenschutz und Informationsfreiheit mit einer neuen Stellungnahme die Diskussion erneut an und untersagte sogar zunächst die Nutzung von Microsoft 365 in hessischen Schulen. Der Einsatz von Microsoft 365 an Schulen sei danach datenschutzrechtlich unzulässig, soweit Schulen personenbezogene Daten in der europäischen Cloud speichern. Der hessische Datenschützer legt allerdings klar, was für Microsoft gilt, ist auch für die Cloud-Lösungen von Google und Apple zutreffend.

Stellungnahme des Hessischen Beauftragten für Datenschutz und Informationsfreiheit zum Einsatz von Microsoft Office 365 in hessischen Schulen vom 9.7.2019:

Hessischer DSB zu O365

Hessischer DSB 2.Stellungnahme

 

Allerdings ruderte dann der hessische Datenschutzbeauftragte schon im August 2019 zurück und bekundete nun:

„Der Hessische Beauftragte für Datenschutz und Informationsfreiheit hat sich nach den Gesprächen mit Microsoft, die zu datenschutzrechtlich veränderten Einschätzung führten und die einen erheblichen Anteil der Bedenken entkräfteten, dazu entschlossen, den Einsatz von Microsoft 365 in hessischen Schulen nun unter bestimmten Voraussetzungen und dem Vorbehalt weiterern Prüfungen vorläufig zu dulden“.

Na die Einschränkung mit dem „Vorbehalt weiterer Prüfungen“ kennen Steuerzahler ja auch von den Finanzbehörden und es ist dahingehend verständlich, dass solche Behörden wie ein  Landesdatenschutzbeauftragter generell keinen Persil-Schein ausstellt und sich immer ein Hintertürchen offen hält, eine Genehmigung wieder zurückzuziehen.

 

 

3. Einschätzung der Bundesrechtsanwaltskammer BRAK zu Microsoft 365:

Im November 2019 hat die Bundesrechtsanwaltskamm BRAK ein Papier „Hinweise zum Umgang mit Microsoft 365 aus datenschutzrechtlicher Sicht“ veröffentlicht.

BRAK & O365

Dieses Papier basiert primär noch auf der ersten Einschätzung des Einsatzes von Microsoft 365 an hessischen Schulen und müsste nun eigentlich nach der Neubewertung durch den hessischen Datenschutzbeauftragten mit der Genehmigung des Einsatzes von Microsoft 365 an hessischen Schulen eingestampft bzw. durch ein neues Papier ersetzt werden - denn im BRAK-Papier steht explizit, dass die Bewertung des hessischen Datenschutzbeauftragten für Schulen auch auf Kanzleien zu übertragen ist - dann aber doch auch bitteschön die Erlaubnis nachdem der hessische Datenschutzbeauftragte nach  der zweiten Bewertung den Einsatz an Schulen erlaubt hat.

Dieses BRAK-Papier kann auch als Rechtsanwalt-typisch bezeichnet werden: Die BRAK argumentiert, sie hätte nur vom „Hörensagen“ von datenschutzrechtlichen Bedenken „gehört“, schreibt aber dann: „Bislang sind keine konkreten Beanstandungen der Nutzung von Microsoft 365 durch Datenschutzbehörden gegenüber einzelnen Kammern oder Kanzleien bekannt geworden“.

Interessant auch, dass die BRAK im November 2019 noch die datenschutzrechtlichen Bedenken des niederländischen Ministeriums für Justiz und Sicherheit aus Nov. 2018 zitiert und nicht die Aussage von Anfang Mai 2019, nachdem das niederländische Ministerium für Justiz und Sicherheit (SLM Rijk) mit Microsoft neue Datenschutzbestimmungen ausgehandelt hatte und nun den Einsatz von Microsoft 365 für statthaft hält. Man muss der BRAK hier wohl etwas wenig Sorgfältigkeit vorwerfen.

Dann verweist man in dem BRAK-Papier auf den Bundesdatenschutzbeauftragten BfDI. Der wiederum verweist auf die ursprüngliche Datenschutz-Folgenabschätzung der niederländischen Regierung aus Nov. 2018 und verkündet dann, „dass aus Sicht des BfDI derzeit Microsoft 365 nicht datenschutzkonform eingesetzt werden könne“. Dabei verschweigt das Zitat des BfDI aber die Nachbesserungen (die oben aufgeführt sind) die Microsoft zwischenzeitlich vorgenommen hat und wonach nach heutiger Sichtweise des niederländischen Ministeriums für Justiz und Sicherheit eine Nutzung von Microsoft 365 sehr wohl zulässig ist, sofern man die entspr. Sicherheitseinstellungen vorgenommen hat.

Eine Einschätzung zur Datensicherheit beim Einsatz von Microsoft 365 z.B. von Ärztekammern oder von der Bundessteuerberaterkammer sind derzeit nicht bekannt.

Hinweis: Bei Microsoft gibt es für sog. Berufsgeheimnisträger (entspr. § 203 StGB - Offenbarungsverbot) in Deutschland extra eine Vertrags-Zusatzvereinbarung:

Microsoft-Zusatzvereinbarung für Berufsgeheimnisträger

Microsoft bestätigt hier: "Microsoft ist bewusst, dass der Kunde rechtlichen Verpflichtungen hinsichtlich der Gestaltung des Zugriffs auf Informationen von Mandanten des Kunden unterliegt und die Verletzung solcher Verpflichtungen strafrechtliche Folgen (Freiheits- oder Geldstrafe) haben kann. Microsoft bestätigt, dass alle Kundendaten streng vertraulich behandelt werden müssen. Microsoft stellt sicher, dass die von Microsoft eingesetzten Personen auf Geheimhaltung verpflichtet sind, soweit sie im Zusammenhang mit ihrer Tätigkeit Kenntnis von Kundendaten erlangen könnten".

 

 

4. Hinweise des Berliner Datenschutzbeauftragten zur Nutzung von Microsoft-Teams:

Im Juli 2020 – mitten in der Corona-Hochzeit, als alle Unternehmen Videokonferenz-Systeme einsetzen wollten/mussten – begann der Berliner Beauftragte für Datenschutz und Informationsfreiheit als Datenschutz-Aufsichtsbehörde mit Hinweisen zu Videokonferenz-Diensten erneut den Clinch mit Microsoft. Hier wurden neben Microsoft Teams auch 16 weitere Anbieter wie Zoom, Skype, GoToMeeting, Google-Meet, Cisco-WebEx, Jitsi usw. analysiert.

Berliner DSB zu Teams

Obwohl Microsoft ja die Nutzungsbedingungen erst kürzlich überarbeitet hatte, enthalte nach Ansicht des Berliner Datenschutzbeauftragten der Auftragsverarbeitungsvertrag noch immer unklare und widersprüchliche Regelungen und weiche damit von den gesetzlichen Mindestanforderungen ab.  

Umgehende Stellungnahme von Microsoft

In der umgehend erfolgten Stellungnahme von Microsoft zu der Einschätzung der Berliner Datenschützer widerspricht der Konzern aber der Behörde deutlich. Microsoft sei überzeugt - so antwortet Microsoft - dass die Produkte Microsoft 365 im Allgemeinen und auch Microsoft Teams im Speziellen datenschutzkonform eingesetzt werden könnten. Dabei geht Microsoft im Detail auf die einzelnen Kritikpunkte der Berliner Datenschützer ein. Insbesondere die Mängel im Auftragsverarbeitungsvertrag seien laut Microsoft hauptsächlich auf Grund von Übersetzungsfehlern der Datenschützer zurückzuführen. Dabei kritisiert Microsoft auch, dass sich die Behörde nicht mit den von Microsoft zur Verfügung gestellten Informationen beschäftigt hätte und daher zu einem falschen Ergebnis gekommen sei.

Interessant ist hier in der Stellungnahme des „Berliner Datenschutzbeauftragte zur Durchführung von Videokonferenzen während der Kontaktbeschränkungen“ vom 6.5.2020 der Vermerk in Absatz 2.f::
"Auch sogenannte Berufsgeheimnisträger können Microsoft Teams und Skype for Business Online einsetzen. Sie können Microsoft Teams und Skype for Business auch als Berufsgeheimnisträger einsetzen. Microsoft stellt hierfür auf Anfrage eine Zusatzvereinbarung für Berufsgeheimnisträger bereit".


SPECTRUM-Statement: Wir wissen nicht mehr, was wir einem normalen Anwender bei seiner Datenschutzfolgenabschätzung nach EU-DSGVO bei dieser unterschiedlichen Interpretation und bei diesem facettenreichen und komplexen Thema raten sollen, um die IT-technischen und juristischen Begebenheiten so einschätzen, dass er zu einer risikolosen und handhabbaren Einschätzung gelangen kann.

Vielleicht stellt sich der Anwender einfach auf den Standpunkt der niederländischen  Steuer- und Zollverwaltung, der niederländischen Polizei oder der niederländischen Justiz, die seit 2019 mit staatlicher Genehmigung erfolgreich und EU-DSGVO-konform Microsoft 365 einsetzen dürfen.

 

 

5. EU-Datenschutzbeauftragter kritisiert Microsoft:

Der europäische Datenschutzbeauftragte hat erst im Juli 2020 die Microsoft-Produkte und -Dienste überprüft, die von EU-Institutionen genutzt werden. Das Ergebnis dieser Untersuchung veröffentlichte er in seinem 30 Seiten langen Bericht (European Data Protection Supervisor – EDPS: Outcome of own initiativeinvestigation into EU-Institutions’ use of Microsoft products and services).

EDPS & Microsoft

Für die in diesem Bericht genannten in Teilbereichen noch offenen Punkte – die sich übrigens primär auf das Betriebssystem Windows 10 und nicht auf Microsoft 365 bezieht - gab der EU-Datenschutzbeauftragte den europäischen Institutionen sofort Handlungs- und Lösungsempfehlungen an die Hand, um die Bedenken durch technisch-organisatorische Massnahmen zu beseitigen. Nach diesem EDPS-Papier könnten bestimmte Mängel durch entsprechende Konfiguration der Produkte behoben werden, andere wiederum sollten mit Microsoft ausgehandelt werden. Danach ergibt sich unter Beachtung dieser Konfigurations-Empfehlung keine Einschränkungen mehr.

 

 

6. Statements sonstiger Datenschutzaufsichtsbehörden

Gemäß einer Anfrage beim Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) war zu erfahren, dass ein neues bundesländerübergreifendes Verfahren zur datenschutzrechtlichen Beurteilung von Microsoft 365 gerade stattfindet, das jedoch noch nicht abgeschlossen ist.

Interessant: Es gibt zwar noch keine Datenschutzfolgenabschätzung der Bundesbehörden für den Einsatz von Microsoft 365, die gesetzmäßig der Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) durchführen müsste. Der hat aber zunächst das Bundesamt für Sicherheit in der Informationstechnik BSI um eine Stellungnahme gebeten  -  aber viele deutsche Bundesbehörden haben trotzdem schon Beschaffungsprozesse für Microsoft 365 initiiert ....  

 

 

7. Es verbleibt datenschutzrechtlich nur noch das Problem mit dem US-Cloud-Act:

Nach den Terroranschlägen vom 11.9.2001 hatten die USA zunächst den US-PATRIOT-ACT verabschiedet. Das Gesetz bringt eine Einschränkung der amerikanischen Bürgerrechte in größerem Maße mit sich, aber auch Auswirkungen für USA-Reisende, da die Anforderungen an Pässe erhöht wurden. Ser USA PATRIOT Act steht als "Akronym für Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001", zu Deutsch heißt das in etwa: „Gesetz zur Einigung und Stärkung Amerikas durch Bereitstellung geeigneter Instrumente, um Terrorismus aufzuhalten und zu verhindern“. Gemäß dem PATRIOT ACT von 2001 müssen US-Unternehmen personenbezogene Daten auf Verlangen von US-Behörden (NSA, FBI, CIA usw.) herausgeben – allerdings nur, wenn die Daten in den USA liegen.

Hintergrund zum Cloud-ACT

Dann hatten US-Strafverfolgungsbehörden von Microsoft verlangt, dass Microsoft auch Daten, die auf Servern im Ausland gespeichert sind, herauszugeben. Hiergegen hatte Microsoft alle rechtlichen Schritte eingelegt und sich geweigert, diese Daten herauszugeben.

Daraufhin hatte die Trump-Administration am 23.3.2018 den US-Cloud-Act (Clarifying Lawful Overseas Use of Data Act) erlassen, übrigens einstimmig im amerikanischen Parlament mit den Stimmen der Demokraten und Republikaner..

Cloud Act

Der CLOUD ACT ist heute das eigentliche datenschutzrechtliche Rest-Problem bei der Nutzung von Microsoft 365.

Nach dem CLOUD ACT dürfen US-Strafverfolgungsbehörden wie FBI, CSI, NSA, DEA, US-Customs, US-Treasury-Department usw. bei US-Firmen auch auf Daten im Ausland zugreifen.

Der US-CLOUD ACT verstößt nach Auffassung von Datenschützern gegen Artikel 48 der EU-DSGVO, der das Herausgeben von Daten an Behörden eines Landes außerhalb der EU regelt.

Dem von der Herausgabeverpflichtung betroffenen US-Unternehmen steht jedoch nach dem CLOUD ACT Gesetz ein gerichtliches Widerspruchsrecht gegen die Anordnung zur Herausgabe von Daten zu, wenn der Eigentümer der Daten kein US-Bürger ist, nicht in den USA lebt und das Unternehmen durch die Herausgabe der Daten gegen Rechte in anderen Ländern verstoßen würde.

Zu beachten: Der US-Cloud-Act bezieht sich nicht nur auf US-Unternehmen die ihren Hauptsitz in den USA haben, der US-Cloud-Act bezieht sich auf alle Unternehmen weltweit, die z.B. eine Niederlassung in den USA unterhalten und/oder dort einer Geschäftstätigkeit nachgehen. D.h. der Cloud-Act betrifft nicht nur Microsoft, Google, Apple, Facebook & Co sondern auch SAP, Sage, Telekom, Vodafone, Mobilcom, O2, Versatel & Co. Noch schlimmer: fast alle RZ-Betreiber in Deutschland gehören US-Konzernen wie Ionos, Interxion, Itenos, euNetworks, Interroute, Level3, Colt, HostEurope, QSC, GlobalCrossing, Tiscali, IronMoutain, Cogent, eShelter, Telehouse, GlobalSwitch, Telecity-Group, UnitedInternet usw..

Positiv: Microsoft hat sich hierzu schriftlich gegenüber seinen europäischen Kunden verpflichtet, bevor man Daten von Ausländern herausgibt, immer Einspruch vor Gericht einzulegen und mehr kann Microsoft eigentlich auch nicht machen, denn alles andere ist „höhere transatlantische Politik“.

Nach Artikel 83 Absatz 5 der EU-DSGVO drohen bei einem Verstoß gegen die Pflichten aus Artikel 48 EU-DSGVO besonders hohe Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des rechtswidrig handelnden Unternehmens – je nachdem, welcher Betrag höher ist. Also hat Microsoft auch allen Grund, sich hier auf die Hinterbeine zu stellen und die Daten der Europäer vor dem Zugriff der US-Administration zu schützen ….

Die USA hatten angekündigt, dass sie ein Widerspruchsrecht für alle Länder akzeptieren würden, die mit den USA ein Abkommen unter dem CLOUD ACT abschließen würden. Die Verhandlungen liegen aber seit Präsident Trumps Amtsübernahme auf Eis. Letztlich zwingt dieser Mechanismus Staaten dazu, mit den USA entsprechende Vereinbarungen zu schließen, die das Persönlichkeitsrecht und damit das Recht an personenbezogenen Daten ihrer Bürger oder von in ihrem Staatsgebiet gespeicherten Daten gegenüber US-Behörden wirksam schützen bzw. offenlegen.

Wie solche Fälle also in Zukunft zwischen etwa den USA und der EU beziehungsweise deren Mitgliedsstaaten so gelöst werden können, dass Unternehmen die Rechtsvorschriften der jeweils beiden betroffenen Länder einhalten können, hängt davon ab, ob es gelingt, mit den USA entsprechende Übereinkommen abzuschließen.

Erst kürzlich hat nun aber auch die EU eine ähnliche Gesetzesinitiative zur Erlangung von sog. "Waffenfreiheit" unter der Bezeichnung „e-Evidence-Verordnung“ (Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel) auf den Weg gebracht und sich zu Verhandlungen mit der US-Regierung bereit erklärt.

Wie solche Fälle also in Zukunft zwischen etwa den USA und der EU beziehungsweise deren Mitgliedsstaaten so gelöst werden können, dass Unternehmen die Rechtsvorschriften der jeweils beiden betroffenen Länder einhalten können, hängt davon ab, ob es gelingt, mit den USA entsprechende Übereinkommen abzuschließen.

Erst kürzlich hat nun aber auch die EU eine ähnliche Gesetzesinitiative zur Erlangung der sog. "Waffengleichheit" unter der Bezeichnung „e-Evidence-Verordnung“ (Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel) auf den Weg gebracht und sich dann zu Verhandlungen mit der US-Regierung bereit erklärt.

EU-Initiative: e-Evidence

Allerdings sieht der US-CLOUD ACT nur Verhandlungen mit „ausländischen Regierungen“ vor und nicht mit „internationalen Organisationen“, wie etwa der EU. Die US-Administration hat sich bisher geweigert mit der EU-Kommission für ganz Europa zu verhandeln und Deutschland und andere EU-Staaten haben ihrerseits mitgeteilt, dass sie nicht an direkten bilateralen Abkommen mit den USA interessiert sind und auf eine Lösung auf EU-Ebene setzen

Sollen nun europäische Unternehmen und Kanzleien unter diesem transatlanisches PowerPlay leiden?

SPECTRUM Statement: Einmal realistisch betrachtet stellt sich die Frage: braucht die NSA, die CIA, das FBI überhaupt so ein Gesetz um Daten auszuschnüffeln? Haben die nicht längst schon überall die Datenleitungen angezapft?

Braucht der Bundesfinanzminister z.B. eigentlich ein neues e-Evidence-Gesetz um Daten von Steuerbetrügern auszuspähen – hat er dafür nicht schon längst den Bundestrojaner?

Müssen deutsche Unternehmen und Kanzleien bei der Nutzung von Microsoft 365 wirklich den CLOUD-ACT berücksichtigen?

Hier ein interessanter Artikel des HEISE-IT-Magazins zum US-Cloud-Act:

Heise - Cloud-Act

Ändert der US-Cloud-Act die bisherigen Mechanismen für Anfragen nach Kundeninformationen durch die US-Strafverfolgung?

Hintergrund-Info

 

 

8. Checkliste für notwendige Einstellungen für den datenschutzkonformen Einsatz von Microsoft 365:

Spezialisten haben nachfolgende Checkliste erstellt, um Microsoft 365 datenschutzkonform einsetzen zu können:

1. Die Nutzung von Connected Experiences/Services in Microsoft 365 muss deaktiviert werden. Diese Services übermitteln Daten in großem Umfang an Microsoft und dürfen daher nicht genutzt werden. Damit fallen Funktionen wie z.B. der Übersetzer oder die Raumsuche weg.

2. In den Einstellungen muss beim Senden der Diagnosedaten die Option „weder noch“ ausgewählt werden. Ein direkter Nachteil für den Nutzer entsteht hierdurch nicht.

3. Die Funktion zur Datenübermittlung an das Microsoft-Programm zur Verbesserung der Benutzerfreundlichkeit von Anwendungen muss deaktiviert werden.

4. Das Telemetrie-Niveau von Microsoft 365 ist auf „weder noch“ zu stellen. Dies kann per Gruppenrichtlinie oder als Registry-Eintrag vorgegeben werden. Ebenso sollte bei dieser Gelegenheit das Telemetrie-Niveau in Windows 10 Enterprise auf „Security“ gesetzt werden.

5. Der Versand von Daten im Rahmen des Customer Experience Improvement Programms (CEIP) sollte unterbunden werden. Auch dies kann in der Gruppenrichtlinie oder per Registry-Eintrag geregelt werden und hat keine Folgen für den Nutzer.

6. Die LinkedIn-Integration von Mitarbeiterkonten ist zu deaktivieren. Dies kann in der Administratoroberfläche eingestellt werden. Derzeit ist die Funktion in Deutschland per Default deaktiviert. Allerdings sollte dies nach Updates überprüft werden. Es ist nicht ungewöhnlich, dass Microsoft bei Updates Änderungen an den Einstellungen vornimmt.

7. Folgende Connected Experiences sind ebenfalls zu deaktivieren:

  • 3D Maps
  • Insert Online 3D Models
  • Map Chart
  • Office Store
  • Insert Online Video
  • Researcher
  • Smart Lookup
  • Insert Online Pictures
  • LinkedIn Resume Assistant
  • Weather Bar in Outlook
  • PowerPoint QuickStarter
  • Giving Feedback to Microsoft
  • Suggest a Feature

 

8. Nutzer sind nach Möglichkeit technisch und durch interne Richtlinien davon abzuhalten, Office-Online-Anwendungen oder mobile Office-Applikationen zu verwenden. In einer Datenschutzfolgenabschätzung im Auftrag der niederländischen Aufsichtsbehörde wurde die Zulässigkeit der Online-Anwendungen und mobilen Applikationen von Office 365 bewertet. Diese kommt zu dem Schluss, dass deren Einsatz an fünf Punkten ein hohes datenschutzrechtliches Risiko für den Betroffenen birgt und daher unterlassen werden sollte. Das schränkt jedoch die Nutzung von Microsoft 365 in vielen Bereichen ein, da die Programme nur vorinstalliert auf einem PC oder Mac genutzt werden können, nicht hingegen auf Smartphones. Die Verwendung der Microsoft-365-Webanwendung und der Office-Apps muss bis auf weiteres als datenschutzrechtlich sehr kritisch angesehen werden, bis Microsoft weitere Schritte zur Verbesserung des Datenschutzniveaus innerhalb dieser Software unternimmt.

9. Abschluss eines Auftragsverarbeitungs-Vertrages (VAV) mit Microsoft: Der entsprechende Vertrag ist in den Microsoft-OST (Online Service Terms) enthalten und wird mit diesen zusammen abgeschlossen und muss somit nicht separat abgeschlossen werden.

10. Je nach Art und Umfang der Daten die mittels Microsoft 365 verarbeitet werden sollen, ist ggf. die Anfertigung einer eigenständigen Datenschutz-Folgenabschätzung notwendig.

11. Abschließend kann gesagt werden, dass Microsoft 365 aus datenschutzrechtlicher Sicht noch nicht mit der letzten Rechtssicherheit überall benutzt werden kann und eine Entwicklung und die ausstehende Rechtsprechung des EuGH abgewartet werden muss.


Sofern diese Anforderungen beachtet werden, lässt sich Microsoft 365 für den Moment eigentlich datenschutzkonform einsetzen. Es bleibt jedoch zu beobachten, ob Microsoft die nun gelebte Datensparsamkeit auch beibehält oder ob die Aufsichtsbehörden weitere Erkenntnisse hinsichtlich der Datenübermittlung erlangen und weitere Forderungen gegenüber Microsoft stellen.

 

 

 

9. Muss ein individueller Auftragsdatenvertrag mit Microsoft geschlossen werden ?

Kunden fragen oft, wie man denn mit Microsoft einen Vertrag zur Auftragsverarbeitung nach Art. 28 der EU-DSGVO abschließen kann?

Der Art. 28 Abs. 9 der EU-DSGVO führt hierzu aus:

  • „Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem EU-Recht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor …“

Schaut man sich diesen Absatz genauer an, sieht man, dass die rechtliche Grundlage für die Verarbeitung von personenbezogenen Daten des Auftraggebers durch den Auftragnehmer nicht zwingend ein Vertrag sein muss, wie man ihn beispielsweise mit seinem IT-Dienstleister abschließt. Das Wort ODER lässt auch andere Optionen als gleichwertig zu einem Vertrag zu.

  • „Die Auftragserteilung kann gemäß Art. 28 Abs. 9 DS-GVO in Zukunft auch in einem elektronischen Format erfolgen. Das strenge Schriftformerfordernis (handschriftliche Unterschrift) gilt damit nicht mehr. Ausreichend für das elektronische Format ist jedes elektronische Dokument, das dauerhaft wiedergegeben werden kann (vergleichbar mit der Textform in [§ 126b BGB])

Microsoft OST - Online-Service-Terms

Microsoft bietet anstelle eines Vertrages, wie er im deutschen Rechtsraum üblich ist, die sogenannten OST oder Online Service Terms, zu Deutsch: "Online Service-Nutzungsbedingungen". Alle Lizenzverträge von Microsoft umfassen diese Online Services-Nutzungsbedingungen. Die Lizenzverträge und damit eine OST werden abgeschlossen, wenn ein Kunde sich für ein Microsoft 365 Paket anmeldet.
Eine Unterschrift ist nach der EU-DSGVO nicht erforderlich, um einen rechtswirksamen Vertrag abzuschließen, es reicht die sog. Textform.

Der Vorteil für den Kunden in diesem Verfahren besteht auch darin, dass Microsoft so diese OST immer nach den Erfordernissen der diversen Eingaben der europäischen Institutionen anpasst und diese somit direkt für alle Nutzer in den EU-Mitgliedsstaaten gelten (Beispiel: Nach Intervention des niederländisches Ministeriums für Justiz und Sicherheit im Jahre 2018 wurden die in den Niederlanden ausgehandelten vertraglichen Verbesserungen direkt in der OST für alle EU-Kunden integriert).

Muss man mit Microsoft eine TOM schriftlich vereinbaren - sog. techn. organisatorische Massnahmen?

Nach den EU Standardvertragsklauseln mit dem Zusatz zur DSGVO können diese auch durch eine Erklärung oder durch den Nachweis eines entsprechenden Zertifikats nachgewiesen werden. Hier werden Sicherheitsstandards wie DIN ISO 27001 / ISO 27002 und ISO 27018 benannt, die einen ausreichenden Schutz garantieren.

Microsoft hält u.a. folgende internationalen Standards ein: ISO20000, ISO22301, ISO27001, ISO27017, ISO27701, ISO9001

Microsoft-Compliances

 

Der § 203 StGB und die Microsoft Cloud

Hierzu stellt Microsoft einen entsprechenden Zusatz zu den OST Dokumenten für deutsche Berufsgeheimnisträger zur Verfügung.

Microsoft & Berufsgeheimnisträger

 

Microsoft & Offenlegung von Kundendaten

In den Microsoft Bestimmungen für Onlinedienste OST geht Microsoft folgende Verpflichtung ein:

  • "Microsoft wird Kundendaten nicht gegenüber Strafverfolgungsbehörden offenlegen, sofern nicht gesetzlich vorgeschrieben. Sollte sich eine Vollstreckungsbehörde mit Microsoft in Verbindung setzen und Kundendaten anfordern, versucht Microsoft, die Vollstreckungsbehörde an den Kunden zu verweisen, damit sie diese Daten direkt beim Kunden anfordert. Wenn Microsoft verpflichtet ist, Kundendaten gegenüber einer Vollstreckungsbehörde offenzulegen, wird Microsoft den Kunden unverzüglich darüber informieren und ihm eine Kopie der Aufforderung zukommen lassen, sofern dies nicht gesetzlich verboten ist."

 

 

10. Die Datenschutzkonferenz sagt aktuell am 22.10.2020, dass Microsoft angeblich die DSGVO-Ansprüche an Auftragsverarbeiter nicht erfüllt und dass vieles zu vage sei und ein US-Zugriff nicht ausgeschlossen ist

Datenschützer sehen Microsoft 365 in Behörden daher als nicht rechtskonform an

Am 10. 5. Okt. 2020 berichtet der HEISE-IT-Newsticker über die Ergebnisse der deutschen Datenschutzkonferenz.

Die Datenschutzkonferenz des Bundes und der Länder (DSK) hat im September mit knapper Mehrheit beschlossen, dass derzeit "kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich ist". Sie folgte damit einer Bewertung ihres Arbeitskreises Verwaltung vom 15. Juli. Dieser hatte über ein halbes Jahr lang geprüft, ob die Datenschutzbestimmungen und Online-Geschäftsbedingungen für das "Cloud-basierte" Softwarepaket mit Artikel 28 der Datenschutz-Grundverordnung (DSGVO) zur Auftragsdatenverarbeitung vereinbar sind.

Dies ist nach Ansicht der Aufsichtsbehörden nicht der Fall. Wer die danach die "Cloud-Variante" von Word, Excel oder Powerpoint handelt danach ggfs. nicht rechtskonform.

Statement von SPECRUM hierzu: Eine solche "Cloud-Nutzung" von Word, Excel und Powerpoint empfiehlt SPECTRUM auch nicht. Word, Excel und Poerpoint sollten SPECTRUM-Kunden auch immer auf den ASP-Servern im SPECTRUM-Hochsicherheits-RZ in Düsseldorf nutzen und dort die Daten verwalten - eine Speicherung in der Microsoft-Cloud hält SPECTRUM auch für z.Tl. höchst brisant. Hier liegt ja gerade der Vorteil der hybriden Cloud-Nutzung: Word, Excel, Powerpoint & Daten auf den eigenen Private-Cloud-Servern im SPECTRUM-Rechenzentrum und ggfs. Teams- und OneNote-Nutzung über Microsoft 365.

 

Interessant war das Abstimmungsergebnis der 17 Datenschützer aus Bund und Länder: Insgesamt waren acht Datenschutzbehörden gegen und neun für dieses harte Statement. Die Datenschutzbeauftragten von Bayern, Baden-Württemberg, Hessen, Rheinland-Pfalz, Sachsen und dem Saarland sowie das Bayerische Landesamt für Datenschutzaufsicht hatten erklärt, die Gesamtbewertung nicht zu teilen, "weil sie zu undifferenziert ausfällt" und legt wert darauf, dass dies kenntlich gemacht wird.

Die Datenschutzaufsichtsbehörden der Minderheit, die also gegen eine pauschale Negierung von Microsoft 365 waren, stellten klar, dass auch sie bei Microsoft 365 noch erhebliche datenschutzrechtliche Verbesserungspotenziale sehen, gerade auch mit Blick auf die jüngste Entscheidung des Europäischen Gerichtshofs zu internationalen Datentransfers vom 16. Juli 2020 (C-311/18 – Schrems II). Sie lehnten diese ablehnung der Ablehnung u.a. auch damit ab, dass der Arbeitskreis Verwaltung, der ja zu diesen Microsoft 365 Bedenken gekommen war, seine Bewertung auf der Grundlage von Vertragsbestimmungen getroffen, die Microsoft zwischenzeitlich bereits zweimal überarbeitet hat. Man hat auf dieser Datenschutzkonferenz also "schnee von gestern" beratschlagt.

Die Auffassung der Minderheitsmeinung kann sich SPECTRUM nur anschließen, denn plakative Äußerung wie "Microsoft 365 ist nicht datenschutzkonform" sind hier der falsche Weg, eine differenzierte Betrachtung muss hier durchgeführt werden und eine SPECTRUM-Installation in einer Hybrid-Lösung zusammen mit SPECTRUM-ASP ist hiervon überhaupt nicht tangiert. SPECTRUM begrüßten aber, dass die Datenschutzkonferenz eine neue Arbeitsgruppe eingesetzt hat, um im Dialog mit Microsoft nachhaltige datenschutzgerechte Korrekturen zu erreichen und die letzten Unstimmigkeiten auszuräumen.

 

 

11. Microsoft passt sich europäischem Datenschutz an

20.11.2020: So eine neue aktuelle Bewertung der Datenschutzbeauftragten der Länder Baden-Württemberg, Bayern und Hessen. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit von Baden-Württemberg Stefan Brink führt dazu aus: „Wenn ein datenverarbeitendes Unternehmen künftig auf dem europäischen Markt agieren will, muss es europäische Rechtsstandards erfüllen, insbesondere die DSGVO einhalten. Dazu gehört, dass die Unternehmen Betroffene informieren, wenn Sicherheitsbehörden Zugriff auf ihre Daten erlangen. Wir haben im September verschiedenen Unternehmen Empfehlungen zum internationalen Datentransfer gegeben, auch an Microsoft. Es ist gut und notwendig, dass das Unternehmen sich nach dem europäischen Datenschutz richtet und seine Vertragsklauseln jetzt entsprechend ändert. Der Europäischen Gerichtshof hat eindeutig entschieden, dass Datenflüsse aus Europa in die USA ohne solche zusätzliche Maßnahmen nicht mehr zulässig sind.“

Die neuen Vertragsklauseln von Microsoft enthalten Regelungen über

  • den Anspruch auf Schadensersatz für die betroffene Person, deren Daten unrechtmäßig verarbeitet wurden und die dadurch einen materiellen oder immateriellen Schaden erlitten hat;
  • die Information der betroffenen Person, wenn Microsoft durch eine staatliche Anordnung rechtlich bindend dazu verpflichtet wurde, Daten an US-Sicherheitsbehörden herauszugeben;
  • die Verpflichtung von Microsoft, den Rechtsweg zu beschreiten und die US-Gerichte anzurufen, um die behördliche Anordnung zur Herausgabe der Daten anzufechten.

Microsoft hat jetzt als einer der zentralen Anbieter global vernetzter IT-Produkte mit Cloud-Diensten für Unternehmen einige Garantien abgegeben, die unmittelbar die Nutzerrechte stärken. Eine Bewertung dieser Garantievorschläge wurde nun von den Datenschützer aus Baden-Württemberg, Bayern und Hessen vorgenommen.

Damit sei, so die gemeinsame Bewertung der beteiligten Datenschutzaufsichtsbehörden, zwar die Transferproblematik in die USA (aufgrund des US Cloud Acts) nicht generell gelöst – denn eine Ergänzung der Standardvertragsklauseln könne eben nicht dazu führen, dass der vom Europäischen Gerichtshof als unverhältnismäßig beanstandete Zugriff der US-amerikanischen Geheimdienste auf die Daten unterbunden werde.

Aber dass sich Microsoft als einer der größten, international agierenden Konzerne weltweit, mit einer erheblichen Marktmacht in Europa, nun in die richtige Richtung bewege und wesentliche Verbesserungen für die Rechte der Europäischen Bürgerinnen und Bürger in seine Vertragsklauseln aufnehme, sei ein wichtiger Schritt und ein deutliches Signal an andere Anbieter, diesem Beispiel zu folgen.

Hintergrund: Der internationale Datentransfer aus Europa in die USA ist nach dem Urteil des Europäischen Gerichtshofs zu Schrems II vom Juli 2020 nur noch sehr eingeschränkt möglich, obwohl hauptsächlich US-Anbieter zentrale Akteure der weltweiten Datenverarbeitung sind. Aus Sicht des EuGHs ist die völlig überzogene Massenüberwachung durch US-amerikanische Sicherheitsbehörden der Grund, weswegen Daten von Europäern nur noch unter ergänzenden Schutzmaßnahmen in die USA übermittelt werden dürfen. Die Trump-Administration hatte Verhandlungen mit der EU abgelehnt, da man die EU als nicht adäquate Staatenvertretung ansieht und nur mit jedem einzelnen Staat in Europa Einzelverträge abschließen will. Vielleicht ist die neue US-Administration hier verhandlungsbereiter. Die Datenschützer aus Baden-Württemberg, Bayern und Hessen haben nun ein Zeichen gesetzt, denn es muss ja irgendwie weitergehen und Europa bzw. europäische Unternehmen können sich ja nicht selbst vom Trend des Cloud-Computings ausschließen.

 

 

12. Gelten die datenschutzrechtlichen Bedenken für Behörden, Kommunen und große Unternehmen nicht?

Es ist schon lustig: kleine und mittelständische Unternehmen sind verunsichert beim Einsatz von Microsoft 365 oder anderen Cloud-Dienstleistungen durch die pauschale, negative Berichterstattungen in der Presse. Die großen, weltweiten Wirtschaftsprüfungs-Gesellschaften (wie Deloitte, EY - Ernst & Young, KPMG und PwC - PricewaterhouseCoopers, BDO, Rödl, Ebner Stolz, Baker Tilly Roelfs, Nexia, Crowe-Global, Moore-Stephens, Grant-Thornton, RSM, PKF, HLB, AGN, Kreston, DFK, Moores-Rowland, Ecovis usw.) mit ihrer höchst sensiblen Datenverarbeitung von geheimen Unternehmensdaten von tausenden von Großkonzernen nutzen aber alle schon lange diese Cloud-Services. Bestehen da keine Datenschutzprobleme?

Interessant: Zum Jahresende 2020 wurde bekannt, dass der Staatskonzern DEUTSCHE BAHN komplett alle über 8.000 bisher betriebenen Server abschaltet, verschrottet und komplett in die Cloud umgezogen ist, hälftig in die Microsoft-Cloud und außerdem in die Amazon-Cloud (AWS). Auch wenn die Bahn nur Rechenzentren von Microsoft und Amazon in Deutschland nutzt - müssten hier doch eigentlich die gleichen Bedenken der Datenschützer gelten - oder?

In Bayern, Baden-Württemberg, Hessen usw. nutzen die Schulen schon lange Microsoft 365. Es gibt auch fast keine Kommunen oder Stadtverwaltungen mehr in Deutschland, die nicht Cloud-Services nutzen.

Die Deutsche Telekom z.B. vermarktet selbst ganz aktiv Microsoft 365 und Azure Services ....

Führen die Datenschützer hier einen vergeblichen Kampf?

Müssen die Datenschützer auch hier im Endeffekt klein beigeben - so wie sie es schon bei der VoIP- oder Cloud-Telefonie gemacht haben, hier sind die Rufe nach verschlüsselten Übertragungen und sonstigen datenschutzrechtlichen Bedenken schon lange verstummt ....

Grüßt hier Don Quijote ?

Nach Recherchen in diversen Anwenderberichten in Computer-Magazinen setzen u.a. folgende Großunternehmen in Deutschland Microsoft 365 bzw. andere Cloud-Dienstleistungen ein: ABB, Addidas, Adecco, Aldi-Gruppe, Allianz, Airbnb, Asklepios-Kliniken, AXA, BASF, Bayer, Bayrische Landesbank, Bayrische Vereinsbank, Beiersdorf, Bertelsmann, BMW, Boehringer Ingelheim, Bosch, Ceconomy, Commerzbank, Continental, Covesto, Daimler, Debeka, Deutsche Bank, Deutsche Börse, Deutsche Post, Deutsche Telekom, Deutsche Wohnen, DM-Drogeriemarkt, DZ-Bank, EDEKA-Gruppe, EnBW, Ergo, Evonik Degussa, Expedia, Exxon, EWE, E.ON, Feldmühle, Fraport, Fresenius, GE, Goldman Sachs, Hella, Heidelberg Zement, Henkel, Hilton-Gruppe, Hoechst, Hoffmann-La Roche, HUK-Coburg, Infinion, Landesbanck-Baden-Württemberg, Landesbank-Hessen-Thüringen, Lanxess, LG, Liebherr, Linde, Lufthansa, Kellogs, KfW-Bankengruppe, K+S AG, MAN, MC Donald, Merck, Monsanto, MTU, Münchner Rück, Netflix, Norddeutsche Landesbank, Novatis, Osram, Otto-Gruppe, Procter & Gamble, REWE-Gruppe, Rheinmetall, RWE, Rynair, Sanofi, Sana-Kliniken, Schwarz-Gruppe (Lidl, Kaufland usw.), Salzgitter AG, SAP, Siemens, Shell, Sparkassen, Axel Springer, Saint-Gobain, Strabag, ThyssenKrupp, Uber, United Internet, Volkswagen, Volksbanken, Vonovia, Vattenfall, Wacker-Chemie, Wissag AG, Würth-Gruppe, Carl Zeiss, ZF Friedichshafen, 3M  u.v.a.m.

Selbst die DATEV e.G. - die Genossenschaft der deutschen Steuerberater - ist seit Neuestem CSP-Tier1-Partner von Microsoft mit QMTH-Autorisierung und bietet Microsoft 365 für ihre RZ-Dienstleistungen an.

 

 

 

13. Rebellion - Datenschützer untereinander uneinig über Microsoft Office 365

Ist es noch föderale Vielfalt oder Chaos: Fünf Landes-Datenschützer distanzieren sich von dem Beschluss der Datenschutzkonferenz DSK (der 16 Länder- plus 1 x Bundesdatenschutzbeauftragten), dass das Microsoft-Paket nicht datenschutzgerecht einsetzbar sei. Der Internet-News-Ticker HEISE meldet: Die von Anfang an umstrittene Entscheidung der Datenschutzkonferenz von Bund und Ländern (DSK), das Microsoft Office 365 derzeit nicht rechtskonform verwendet werden könne, sorgt weiter für Wirbel:

Die Landesdatenschutzbeauftragten von Bayern, Baden-Württemberg, Hessen und dem Saarland sowie das Bayerische Landesamt für Datenschutzaufsicht, das für Microsoft Deutschland zuständig ist, lassen kaum ein gutes Haar an dem von ihnen nicht mitgetragenem Beschluss.

Zum HEISE-Artikel

 

 

14. Am 18.2.2021 schlägt die Berliner Datenschutzbeauftragte erneut zu und rät von der Nutzung aller marktführenden Videokonferenzsysteme wie Microsoft Teams, Skype, Zoom, Google Meet, GoToMeeting, Teamviewer und Cisco WebEx ab.

Am 18.2.2021 gab es nun wieder einen herben Rückschlag für die Nutzer und Interessenten von Microsoft 365, MS Teams & Co: Das Thema Datenschutz zeigt ja einen wellenförmigen Auf- & Ab-Verlauf, mal gibt es härtere Auslegungen - mal wird alles wieder verharmlost. Diesmal hat die Berliner Datenschutzbeauftragte Maja Smoltczyk für erneuten Wirbel gesorgt: Das Handelsblatt berichtete als erster unter der Headline "Microsoft Teams, Zoom, WebEx: Berliner Behörde warnt vor gängigen Videosystemen" über die neueste Veröffentlichung der Berliner Behördenleiterin. Die Berliner Behörde hatte weniger die eigentliche Technik als die reinen vertraglichen Grundlagen für die Nutzung beurteilt, d.h. die jeweiligen Verträge zur Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 der europäischen Datenschutzgrundverordnung (EU-DSGVO).

Interessant ist, dass alle kleinen RZ-Anbieter, die auf dem Open-Source-Produkt "Jitsi" basierte eigene Videokonferenzlösungen am Markt anbieten, von der Berliner Behörde eine grüne Ampel bekamen (übrigens: auch das SPECTRUM-Videokonferenzsystem basiert auch auf Jitsi).

Etwas befremdlich ist jedoch die Qualität des Papiers der Berliner Behörde: Es gab in den letzten Jahren immer wieder Beanstandungen von deutschen und europäischen Datenschutzbehörden an dem Inhalt dieser Microsoft-OSTs, dieser Microsoftbedingungen für die Verarbeitung von personenbezogenen Daten nach Art. 28 DSGVO. Diese sind aber von Microsoft jeweils kurzfristig nachgebessert worden (letztmalig am 20.11.2020). Die Datenschutzbeauftragten der Länder Baden-Württemberg, Bayern und Hessen halten diese Änderungen für ausreichend und haben keine Beanstandungen mehr. Nach uns aktuell vorliegenden Informationen gibt es derzeit auch keine Nachbesserungsforderungen mehr von deutschen oder europäischen Datenschutzaufsichtsbehörden an Microsoft. Was soll also jetzt am 18.2.2021 eine Veröffentlichung der Berliner Datenschutzbeauftragten, die sich auf den Stand vom 3.7.2020 bezieht?

Es ist nahezu eine Zumutung für den normalen Anwender die Ausführungen in dem Papier "Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenzdiensten" der Berliner Aufsichtsbehörde zu lesen und zu verstehen. Manche Ausführungen erinnern an "beleidigte Leberwurst-Statemens" wenn man über Korrekturen bei der deutschen Überetzung sich ausläßt oder das Nichtvorliegen einer deutschen Übersetzung von Orginalverträgen in englischer Sprache sich auslässt. Nirgendwo in der DSGVO steht, dass alle Vertragsunterlagen bei weltweit operierenden Anbietern in Deutsch vorliegen müssen. Wir haben Ihnen dieses Papier angefügt (Klick auf das Button) und einige Passagen einmal rot gekennzeichnet, damit der normale Betrachter versteht, um "welche Haare an Kaisers Bart" hier gestritten wird.

PDF-Download des Papiers
der Berliner Datenschützer

Wir halten es für gelinde gesagt für eine Unverschämtheit, dass sich die Datenschützer sich nicht mit Microsoft an einen runden Tisch setzen und die strittigen, restlichen kleinen Punkte endlich klären. Ständig nur Papiere und Gegenpapiere zu veröffentlichen hilft hier den Anwendern nicht weiter.

Es ist schon erstaunlich, dass Datenschützer das Thema Videokonferenz ständig mit Restriktionen belegen und hingegen das Thema normale Telefonkonferenz und Telefaxübermittlung links liegen lassen.

Beim heutigen Telefonbetrieb gibt es schon lange keine galvanische Ende-zu-Ende Verbindung über Hubdrehwähler-Vermittlungstechnik mehr - wie in den 60 und 70er Jahren des vorigen Jahrhunderts. Auch beim Telefonieren werden heute nur noch IP-Päckchen unverschlüsselt durchs Internet verschickt. Individuelle Auftragsverarbeitungsvereinbarungen mit Vodafone, O2, 1&1 Drillisch, Telekom & Co hat auch fast kein Anwender. Es gibt zwar bei den Datenschutzaufsichtsbehörden Hinweise auf deren Webseiten, dass man Voice-over-IP-Telefongespräche am besten Ende-zu-Ende verschlüsseln sollte, nur die Telefon-Provider bieten hierzu keine technischen Lösungen an und daher ist das Thema heute mehr oder weniger gegessen. Die Datenschützer haben hier bei der Voive-over-IP-Technik anscheinend auf breiter Linie resigniert und man hört aktuell nichts zu Einschränkungen – z.B. das Rechtsanwälte, Steuerberater, Ärzte, Krankenhäuser usw. keine Telefonkonferenzen mehr machen dürfen.

Früher war auch der Faxbetrieb eine galvanisch durchverbundene analoge Verbindung zwischen 2 Faxgeräten. Die Datenschützer haben dann bei der Änderung der Fax-Übertragungsart auf IP-basierte Datenpäckchen zwar schon vor über 10 Jahren den warnenden Finger erhoben und gefordert (nachzulesen bei einigen Datenschutzaufsichtsbehörden in Deutschland) dass Faxe nur noch mit einer Ende-zu-Ende-Verschlüsselung abhörsicher übertragen werden sollten. Jetzt gibt es tatsächlich im militärischen Bereich spezielle Fax-Geräte, die eine solche Verschlüsselungstechnik beherrschen. Nur bei Steuerberatern, Mandanten, Kammern und sonst. Institutionen hat man kaum Nato-oliven Faxgeräte gesehen und trotzdem werden tagtäglich millionenfach vertrauliche Daten gefaxt. Auch hier hört man von Datenschützer selten Statements, die Berufsangehörigen oder Kammern die Fax-Nutzung untersagen.

Dies vorausgeschickt ist eine Videokonferenztechnik heute IP-technisch nichts Anderes als bei einer Telefonkonferenz oder einer Faxübermittlung, es werden Datenpäckchen durchs Internet verschickt, die im Allg. zwischen den Teilnehmern und den Providern auch verschlüsselt sind. Es ist also nicht verständlich, dass sich Datenschützer aktuell nur bei Videokonferenztechniken ereifern .....

So reagierte Microsoft auf die Kritik der Berliner Datenschutzbehörde:

Microsoft kann die Kritik der Berliner Datenschutzbehörde nicht nachvollziehen, wie man offiz. erklärte. Die Berliner Behörde habe die zum Datenschutz bereitgestellten Informationen größtenteils nicht berücksichtigt. Microsoft erläutere in seinem „Data Protection Addendum“, wie man Auftragsdaten zu eigenen Zwecken verarbeitet. Dabei gehe es ausschließlich um mit der Erbringung der Services in Verbindung stehende Tätigkeiten. Das könnten beispielsweise eine nutzungsbasierte Rechnungsstellung, die Bekämpfung von Cyberkriminalität und Kapazitätsplanung sein. Microsoft bestätigte nochmals, dass man keine Userprofile für kommerzielle Zwecke nutze. Microsoft erklärte weiterhin, dass man, um die offenen Datenschutzfragen zu klären, weiter im Dialog mit den deutschen Datenschutzbehörden stehe. Microsoft gestand aber auch Fehler ein und erklärte, dass man z.B. im Vertrag zur Auftragsverarbeitung Einiges unklar formuliert gewesen sei. Das sei auf Übersetzungsfehler zurückzuführen, schließlich sei der Vertrag in 34 Sprachen übersetzt worden. Microsoft habe die Verträge jedoch mittlerweile angepasst. In der deutschen Variante habe es Übersetzungsfehler aus der englischen Version gegeben. Microsoft habe auch diese jetzt beseitigt, inhaltlich jedoch nichts verändert.

 

 

15. 18.3.2021: Der Datenschutzbeauftragte von Mecklenburg-Vorpommern dreht jetzt ganz durch: Er fordert, dass Behörden unverzüglich auf Microsoft-Produkte verzichten sollten

Man muss sich die Frage stellen, ob solche extrem verbissenen behördliche Datenschutzbeauftragte wie Heinz Müller aus Mecklenburg-Vorpommern noch ernst genommen werden sollten. Der Online-IT-Newsticker HEISE meldet am 18.3.2021 dass dieser Herr Müller zusammen mit dem MV-Rechnungshof die Forderung an die dortige Landesregierung stellt, dass ab sofort keine Microsoft-Produkte mehr verwendet werden dürften. Er will bzgl. Produkten von Microsofts und von anderern US-amerikanischen Unternehmen die Verwendung in Behörden nicht länger auf eine Bund-Länder-Lösung warten. Er fordert "unverzügliches Handeln", weil sich die großen US-Anbieter bei dem Problem des Abflusses personenbezogener Daten nicht zu bewegen scheinen. Nach Vorstellung von Müller soll man stattdessen auf Open-Source-Produkte zurückgreifen, "um den Datenschutz und auch die digitale Souveränität zu wahren".

Müller argumentiert, dass nach dem Schrem II Urteil des EUGH zum "Safe Harbor"-Abkommen bzw. zum "Privacy Shield"-Grundsatz eine wesentliche Rechtsgrundlage für die Übermittlung personenbezogener Daten in die USA für unwirksam erklärt wurde und es wegen der vom EuGH aufgestellten Grundsätze es somit nicht möglich sei US.Produkte wie von Microsoft auf Basis von Standarddatenschutzklauseln zu nutzen. D.h. er bezieht sich auf den US-Cloud-Act.

Das mag ja formal-juristisch alles richtig sein, nur liebe Datenschützer, dann macht endlich Dampf bei der deutschen Bundesregierung, dass die auch wie z.B. Großbritannien neue bilaterale Abkommen mit den USA abschließen. Den Anwendern die Nutzung zu untersagen ist doch der falsche Weg.

Man muss sich klar machen, dass dieser Herr Müller mit dieser extremen Auffassung eine volle Stimme in der Datenschutzkonferenz aus dem Bundesdatenschutzbeauftragten und den 16 Landesdatenschutzbeauftragten hat - die derzeit völlig zerstritten sind: 9 wollen die Nutzung von Microsoft Produkten beschneiden und 8 sehen keine Probleme bei der Nutzung.

Wollen da einige Behördenleiter mit ihrer Amtsmacht "Datenschutz" jetzt Industriepolitik in Deutschland betreiben und die Nutzung von US-amerikanischen Software-Produkten untersagen?
Na dann "Nacht Mattes" für die Digitalisierung in Deutschland ....

Link zum HEISE-Artikel

 

 

16. Jetzt "drehen" einige deutsche Datenschutzaufsichtsbehörden ganz durch und wollen länderübergreifende Kontrollen von Unternehmen zur Umsetzung der Schrems II Entscheidung des Europäischen Gerichtshofs durchsetzen

Jetzt ist die EU-Kommission bzw. die Politik dringend gefordert diesen Datenschutz-Wildwuchs zu beenden!

Der erste war der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: Schon im Oktober 2020 verschickte er erste Fragebögen an Unternehmen bzgl. "Drittstaatenübermittlung mittels Microsoft/Office 365" (Fragebogen der Hamburger-Datenschutzaufsichtsbehörden). Die Scheinheiligkeit dieses Schreibens ist jedoch bereits nach dem Durchlesen des ersten Satzes sofort erkennbar: "Wir haben einen Hinweis darauf erhalten, dass in Ihrem Unternehmen Microsoft/Office 365 eingesetzt wird und dass dabei personenbezogene Daten in die USA übermittelt werden. Vor dem Hintergrund der Entscheidung des Europäischen Gerichtshofs vom 16.07.2020, Rs. C-311/18 – Schrems II – bitten wir Ihr Unternehmen um Mitteilung, wie Sie diese Praktik mit den unionsrechtlichen Vorgaben in Einklang bringen". Dann wurde dafür gesorgt, dass Kopien dieses Schreibens an viele beruflichen Datenschutzbeauftragten von Unternehmen, Kanzleien und Institutionen schneeballartig weiterverteilt wurde. Der gewünschte Effekt trat nach wenigen Wochen ein, wenn ein Unternehmen z.B. Microsoft 365 einsetzen wollte und seinen Datenschutzbeauftragten zur datenschutzrechtlichen Folgeabschätzung befragte, gestikulierte dieser sofort abwinkend die Hände und warnte vor den bösen Folgen, sprach von behördlicher Untersagung zur Nutzung von Microsoft 365 und warnte von schlimmen Folgen und Bußgeldern.

In diesem Schreiben des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit wurden die Unternehmen aufgefordert zu folgenden Punkten Antworten zu geben:

  1. Nutzt Ihr Unternehmen Microsoft/Office 365?
  2. Welche personenbezogenen Daten werden dort eingefügt?
  3. Zu welchen Zwecken geschieht die Nutzung von Microsoft/Office 365?
  4. Aufgrund welcher Rechtsgrundlage (erster Stufe) geschieht die Nutzung von Office 365?
  5. Seit wann werden diese Verarbeitungen vorgenommen?
  6. Werden die Daten nach Ziff. 2 in die USA oder andere Staaten außerhalb des Europäischen Wirtschaftsraums übermittelt?
  7. Auf welche rechtlichen Vorkehrungen im Sinne des Kapitel V der DSGVO werden die Drittstaatenübermittlungen nach Ziff. 5 gestützt?
  8. Für den Fall, dass die Standardvertragsklauseln der Europäischen Kommission genutzt werden: Welche zusätzlichen Maßnahmen im Sinne der o. g. Entscheidung des Europäischen Gerichtshofs haben Sie unternommen?
  9. Bitte nennen Sie auch vorbereitende Schritte im Hinblick auf ggfs. noch nicht vollständig umgesetzte Maßnahmen nach Ziff. 7.
  10. Für den Fall, dass die Umstellung auf andere Systeme geplant ist, teilen Sie uns bitte die erwogenen Lösungen und den Stand der Umsetzung mit.
  11. Bitte lassen Sie uns die den Einsatz von Microsoft/Office 365 betreffenden Teile Ihres Verzeichnisses der Verarbeitungstätigkeiten zukommen.

Die Behörde verlangt Antworten in einer Frist von 3 - 4 Wochen. Interessant: Die Fragen 6 bis 10 beziehen sich auf mögliche Datenübermittlungen in die USA oder andere Drittstaaten und hierbei wird deutlich, dass die Behörde von den Unternehmen insbesondere wissen möchte, welche Schritte man zur Umsetzung der „Schrems II“-Entscheidung des EuGH ergriffen hat.

Zuletzt hatte die Datenschutzkonferenz (DSK) aus den Datenschutzbeuauftragten der 16 Bundesländer und des Bundes im September 2020 mit ganz knapper Mehrheit (9 zu 8 Stimmen) entschieden, dass auf Basis der Online Service Terms (OST) sowie den Datenschutzbestimmungen für Microsoft-Onlinedienste (Data Processing Addendum/DPA) jeweils mit Stand Januar 2020 kein datenschutzgerechter Einsatz von Microsoft/Office 365 möglich sei. Die Behördenleiter sind sich untereinder nicht ganz grün und im Kontext möglicher Datenübermittlungen in die USA beim Einsatz von Microsoft/Office 365 hatte die hessische Datenschutzaufsicht Microsoft zuletzt für die Ergänzung der Standardvertragsklauseln in einer Pressemitteilung vom 22.11.2020 ausdrücklich gelobt.Dies konnte der als Hardliner bekannte Hamburger Datenschützer nun nicht auf sich sitzen lassen und nutzten die in der EU-DSGVO bereitgestellten Instrumentarien wie die Datenschutz-Folgeabschätzung (nach Art. 35 DSGVO), die Anwendung von Standardvertragsklauseln (Art. 46 DSGVO) und die benötigten Verzeichnisse der Verarbeitungstätigkeiten (Art. 30 DSGVO) um die Unternehmen zu piesacken. 

Dann im März 2021 beschäftigte sich das Magazin DATENSCHUTZ-BERATER, ein Fachmagazin welches viele betriebliche Datenschutzbeauftragten zur Weiterbildung nutzen, intensiv unter der Rubrik (Aktuelles aus den Aufsichtsbehörden) mit dem Schreiben des Hamburger Behördenleiters. Hier sah man den nun öffentlichen Fragebogen des HmbBfDI nicht als positive Trendwende bei der Bewertung von Microsoft/Office
365 durch die Datenschutzaufsichtsbehörde, sondern eher als knallharte Überprüfungsmaßnahme zur Umsetzung der „Schrems II“-Entscheidung. Der Artikel weist speziell darauf hin, dass der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit als Aufsichtsbehörde über die nicht-öffentlichen Stellen gemäß § 40 des Bundesdatenschutzgesetzes (BDSG) die Ausführung der Vorschriften über den Datenschutz im Bereich der Privatwirtschaft kontrollieren muss. D.h. alle der Kontrolle unterliegenden Stellen haben dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit auf Verlangen die für die Erfüllung seiner Aufgaben erforderlichen Auskünfte unverzüglich zu erteilen und die Behörde kann für die Bearbeitung sogar noch Gebühren verlangen.

Im Mai 2021 werden dann plötzlich alle Datenschutzaufsichtsbehörden aktiv, zumindest die 9 Hardliner unter den 17 deutschen Behördenleitern. Z.B. wurde dann im Rahmen einer Informationsoffensive - "Wer bis jetzt noch nicht auf die neue Rechtslage reagiert hat, sollte umgehend aktiv werden" - des  Landesdatenschutzbeauftragten Rheinland-Pfalz Dutzende von Unternehmen, Verbände und staatliche Stellen in Rheinland-Pfalz angeschrieben, um Verstößen bei der Übermittlung von Daten ins außereuropäische Ausland nach dem Schrems II Urteil vorzubeugen (Informationsoffensive RLP).

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz, Professor Dieter Kugelmann sagte hierzu in einer Presskonferenz: „Das Grundsatzurteil des Europäischen Gerichtshofs, das sogenannte Schrems II-Urteil, betrifft fast jedes Unternehmen, jede Behörde, Kommune, Schule, Organisation oder Arztpraxis. Denn sie verarbeiten automatisiert personenbezogene Daten, übermitteln diese dabei – oft unbewusst – in Länder außerhalb der Europäischen Union beziehungsweise des Europäischen Wirtschaftsraums. Sie bewegen sich damit datenschutzrechtlich auf dünnem Eis. Im Laufe dieses Jahr ist es unsere Aufgabe zu prüfen, ob gegebenenfalls Datenschutzvergehen vorliegen und Sanktionen verhängt werden müssen. Zuvor wollen meine Mitarbeiterinnen und Mitarbeiter nochmals die Unternehmen und Behörden sensibilisieren. Wer bis jetzt noch nicht auf die neue Rechtslage reagiert hat, muss umgehend aktiv werden, sofern dies denn nötig ist.“ Auch diese Informationsoffensive verfehlte zunächst nicht ihre Wirkung: bundesweit schicken die zig tausende von betrieblichen Datenschutzbeauftragten diesen Pressebericht an die Geschäftsleitungen, um diese beim Einsatz z.B. von Microsoft 365 Lösungen zu verunsichern.

Diese Überprüfungsinitiative wurde dann zur bundesweiten Offensive der Datenschützer. Z.B. postet der Hamburger Datenschützer auf seiner Internetseite unter "Koordinierte Prüfung internationaler Datentransfers" (HmbBfDI): Im Rahmen einer länderübergreifenden Kontrolle durch die Datenschutzaufsichtsbehörden werden Datenübermittlungen durch Unternehmen in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums (Drittstaaten) überprüft. Das Ziel ist die breite Durchsetzung der Anforderungen des Europäischen Gerichtshofs in seiner Schrems-II-Entscheidung vom 16. Juli 2020 (Rs. C-311/18).

Auch der brandenburgische Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht kommuniziert, dass seine Behörde an einer länderübergreifenden Kontrolle der Datenschutzaufsichtsbehörden von Unternehmen zur Umsetzung der Schrems II Entscheidung des Europäischen Gerichtshofs teilnimmt (LDA-Brandenburg).

Es wird höchste Zeit, dass der Gesetzgeber, die Exekutive diesem übertriebenen Datenschutz-Wahn einiger beruflicher Datenschützer einen Riegel vorsetzt - ansonsten brauchen wir in Deutschland das Wort Digitalisierung nicht mehr in den Mund zu nehmen. Die Bundesregierung oder besser die EU-Kommision muss endlich für eine einheitliche Regelung in ganz Europa den gesetzlichen Rahmen schaffen, dass die Datenschutzaufsichtsbehörden sich wieder um ihre eigentliche Aufgabe DEN DATENSCHUTZ kümmern und diese formaljuristischen Eskapaden bzgl. Schrems-II beenden. Dies könnte z.B. dadurch geschehen, dass man nach dem gescheiterten "Safe-Harbor"-Abkommen (gekippt durch das Schrems-Urteil des EUGH) und dem gescheiterten "Privacy-Shield"-Abkommen (gekippt durch das Schrems-II-Urteil des EUGH) endlich ein vom EUGH akzeptiertes neues Abkommen mit den USA abschließt - oder ganz einfach Richtlinien für die Handhabung von "Standardvertragsklauseln" (SVK) in Europa erläßt.

 

 

Das Dilemma mit den deutschen Datenschützern:

Die Datenschutzbehörden sind unterfinanziert, unterbesetzt, unterkompetent - so Aussagen dieser Behördenleiter über ihre eigenen Institutionen. Sie nehmen oft politische Rücksichten und verteilen ihren Sanktionsdruck mitunter nur unfair: inländische und kleine Unternehmen werden gebissen - sehr große internationale Anbieter verschont man bzw. da traut man sich nicht ran. Es gibt die Aussage eines Leiters einer Landes-Datenschutzaufsichtsbehörde die da lautet: Gegen Amazon, Facebook, Google, Microsoft, Apple, Telekom, Vodafone & Co haben wir keine Chance, da reicht unser gesamtes öffentliches Behördenbudget noch nicht einmal aus, um die Gerichtsgebühren bei einem Widerspruchsverfahren bezahlen zu können. Die Datenschützer scheuen sich zum Teil vor der konsequenten Anwendung geltenden Rechts bei den internationalen Playern und man piesackt stattdessen die mittelständischen Anwender mit bürokratischen, formalen Forderungen, um so indirekt die Großen zu ärgern.

 

 

17.  Endlich: Die EU-Kommision setzt am 4.6.2021 mit den neuen Bestimmungen zu den "Standardvertragsklauseln" (SVK) den neuen Rahmen für den globalen Datentransfer und beendet damit hoffentlich die übertriebenen Anforderungen der Datenschützer die nach der Schrems-II-Entscheidung des EUGH einen wildem Aktionismus entfacht hatten

Die Weitergabe personenbezogener Informationen aus der EU in Drittstaaten wie die USA soll rechtssicherer werden. Die EU-Kommission hat dazu aktuell am 4.6.2021 die neue Standardvertragsklauseln (SVK) veröffentlicht. Sie reagiert damit vor allem auf das Urteil (Schrems II) des Europäischen Gerichtshofs (EuGH) aus dem vorigen Jahr, mit dem dieser den transatlantischen "Privacy Shield" und damit eine der wichtigsten Grundlagen für den Transfer von Kundendaten in die USA für ungültig erklärte.

Ganz frisch vom 4.6.2021 die neuen EU-Bestimmungen zu Standardvertragsklauseln als Reaktion auf das Schrems II Urteil: SVK

Die Luxemburger Richter stellten mit ihrem Beschluss das als Schrems II bezeichneten Urteil zum wiederholten Mal fest, dass US-Gesetze wie der Foreign Intelligence Surveillance Act (FISA) oder der Cloud Act eine Massenüberwachung durch Sicherheitsbehörden wie die NSA oder das FBI ermöglichen und der Datenschutzstandard in den USA daher nicht dem in der EU entspricht. Die Kommission hielt es daher für angebracht, die SVK als verbliebenes alternatives Instrument für Datenübermittlungen an die EuGH-Rechtsprechung anzupassen. Zudem wollte sie Anforderungen der Datenschutz-Grundverordnung (DSGVO) in den Klauseln berücksichtigen.

Die Änderung zu früher: Ein Datenempfänger, wie z.B. Microsoft bei einigen Microsoft 365 Diensten, soll mit einem Zusatz zu den Standardvertrahsklauseln zusagen, Betroffene unverzüglich zu benachrichtigen, wenn er einen rechtsverbindlichen Antrag z.B. einer US-Behörde auf Herausgabe personenbezogener Informationen erhalten hat. Mitzuteilen an den Betroffenen sind dabei Details zu den angeforderten personenbezogenen Informationen, das anfragende Amt, die Rechtsgrundlage für den Antrag und die erteilte Antwort. Wenn ihm dieser Schritt untersagt wird, muss er sich "nach besten Kräften um eine Aufhebung des Verbots" bemühen. Zudem soll die Daten beziehende Stelle gegebenenfalls "alle verfügbaren Rechtsmittel zur Anfechtung des Antrags" ausschöpfen.

Hiermit bestätigt die EU-Kommision exakt das Verfahren, welches z.B. Microsoft nach dem EUGH-Urteil (Schrems II) beschritten hatte - denn diese Zusicherung gibt Microsoft in seinen Microsoft Online Services Terms (OST).

Anzugeben sind zudem laut den neuen Standardvertragsklausel der EU-Kommision die vom Anwender vorgenommenen Maßnahmen, mit denen die Menge der persönlichen Daten vor einem Transfer möglichst gering gehalten, ggfs. pseudonymisiert und verschlüsselt werden.

Hintergrund: Gemäß der europäischen Datenschutz-Grundverordnung EU-DSGVO können Vertragsklauseln als Grundlage für Datenübertragungen aus der EU in Drittländer verwendet werden, wenn diese angemessene Datenschutzgarantien gewährleisten. Dazu gehören u.a. sog. Standardvertragsklauseln (SVG), die von der Europäischen Kommission vorab genehmigt wurden.

Der EU-Kommissar für Justiz, Didier Reynders, sagte: „In unserer modernen digitalen Welt ist es wichtig, dass Daten mit dem nötigen Schutz weitergegeben werden können – innerhalb und außerhalb der EU. Mit diesen verschärften Klauseln geben wir den Unternehmen mehr Sicherheit und Rechtssicherheit für die Datenübermittlung. Nach dem Schrems-II-Urteil war es unsere Pflicht und Priorität, benutzerfreundliche Instrumente zu entwickeln, auf die sich Unternehmen voll und ganz verlassen können. Diese Aufgabe ist erfüllt. Dieses Paket wird Unternehmen maßgeblich dabei helfen, die Datenschutz-Grundverordnung einzuhalten.“

Gleichzeitig aber räumte Reynders ein, dass die Anpassung der Standardvertragsklauseln „keine perfekte Lösung“ sei. Daher strebe die EU ein neues Datenschutzabkommen mit den USA an. Reynders führt derzeit Gespräche mit der amerikanischen Wirtschaftsministerin Gina Raimondo. Allerdings sei „kurz- und mittelfristig“ nicht damit zu rechnen, dass eine Übereinkunft gefunden werden kann, die den europäischen Anforderungen entspricht. „Wir wollen eine Schrems-3-Entscheidung verhindern“, sagte Reynders. Er spielt damit an die von dem Österreicher Max Schrems angestrebten Klagen gegen frühere Datenabkommen mit den USA an, die Safe-Harbor-Prinzipien und das Privacy Shield. In beiden Fällen folgte der Europäische Gerichtshof (EuGH) der Argumentation des Klägers und kippte die Regelungen. Die Folgen des Urteils sind gravierend: Tausende Unternehmen sind davon betroffen, weil viele US-Cloud-Dienste gegen die europäische Datenschutz-Grundverordnung (DSGVO) verstoßen.

Die neuen Standardvertragsklauseln sollen für die Unternehmen einfacher nutzbar sein, versprach Reynders: „Sie erfüllen die Ansprüche der europäischen Datenschutz-Grundverordnung und die Anforderungen des Schrems-2-Urteils vollständig.“

Die Klauseln sollen daher ein Provisorium sein, weswegen mit den USA über ein umfassendes Abkommen verhandelt wird. Die neue Biden-Regierung in Washington zeige sich in den Gesprächen „offener“ als die Vorgängerregierung unter Trum, lobte Reynders.

Das Hauptproblem aber bleibt: In den USA gibt es auf Bundesebene kein Datenschutzrecht, das mit der europäischen Datenschutz-Grundverordnung vergleichbar wäre. Reynders wies zwar auf Gesetzesinitiativen im Kongress hin, doch ob diese jemals eine Mehrheit finden, ist unklar. Möglich wäre auch, dass die USA EU-Bürgern das Recht geben, sich juristisch gegen den Zugriff der Sicherheitsbehörden auf ihre Daten zu wehren. Dieses gibt es bisher nicht. Ob sich die Biden-Regierung allerdings auf die Forderung nach einem Klagerecht für Europäer einlässt, ist unklar.

Die neuen Instrumente mit den Standardvertragsklauseln sollen aber erst einmal europäischen Unternehmen mehr Rechtssicherheit bieten und insbesondere kleinen und mittleren Unternehmen (KMU) helfen, die Anforderungen an eine sichere Datenübermittlung zu erfüllen. Sie stellen laut Kommission außerdem sicher, dass die Daten der Bürger geschützt werden. Die Klauseln berücksichtigten die gemeinsame Stellungnahme des Europäischen Datenschutzausschusses und des Europäischen Datenschutzbeauftragten, die Rückmeldungen der Interessenträger im Rahmen einer breit angelegten öffentlichen Konsultation sowie die Stellungnahme der Vertreter der Mitgliedstaaten.

Am Rande des EU-/G7- und Nato-Gipfels in Brüssel:

EU und USA so gut wie einig bei neuem Datenschutzabkommen

25. März 2022: Die EU und die USA haben sich im Grundsatz auf einen Nachfolger des vom Europäischen Gerichtshof gekippten "Privacy Shield" für den Transfer personenbezogener Daten geeinigt. Das gaben EU-Kommissionschefin Ursula von der Leyen und US-Präsident Joe Biden in Brüssel bekannt.

"Dies wird einen vorhersehbaren und vertrauenswürdigen Datenverkehr zwischen der EU und den USA ermöglichen und den Schutz der Privatsphäre und der bürgerlichen Freiheiten gewährleisten", sagte von der Leyen. Details zu dem neuen Abkommen nannten weder die EU- noch die US-Seite.

Deshalb wurde "Privacy Shield" vom EuGH gekippt:

Der europäische Gerichtshof EuGH hatte den "Privacy Shield" für die Übermittlung von Daten aus Europa über den Atlantik im Juli 2020 mit der Begründung gekippt, dass das Datenschutzniveau in den USA nicht den Standards der EU entspreche. Die Richter bemängelten vor allem die weitreichenden Zugriffsmöglichkeiten von US-Geheimdiensten auf Daten von Europäern.

In einem gemeinsamen Statement teilten beide Seiten mit, dass neue Regeln und Garantien den Zugriff der US-Geheimdienste auf die Daten auf das beschränken werde, was "zur Verfolgung definierter nationaler Sicherheitsziele notwendig und verhältnismäßig" sei. Zudem solle es einen unabhängigen Rechtsschutzmechanismus geben, der Beschwerden von Europäern über den Datenzugriff der US-Geheimdienste untersuche und Abhilfemaßnahmen anordnen könne.

Für Unternehmen entstand dadurch große Rechtsunsicherheit beim Datentransfer zwischen den USA und der EU. So warnte der Facebook-Konzern Meta seit dem Herbst, dass das Online-Netzwerk und auch Instagram in Europa wahrscheinlich eingestellt werden müssten, wenn es keine Nachfolgeregelung gibt. Entsprechend begrüßte der Branchenverband Business Software Alliance die grundsätzliche Einigung, da sie Rechtssicherheit schaffen werde.

 

Auch der "Privacy Shield"-Vorgänger "Safe Harbor" wurde schon vom EuGH gekippt:

Der "Privacy Shield" war 2016 entstanden, nachdem auch die Vorgänger-Regelung "Safe Harbor" vom EuGH gekippt worden war. Geklagt hatte in beiden Fällen der österreichische Jurist Max Schrems.

Dessen Datenschutzorganisation Noyb beklagte am Freitag, dass es sich nun lediglich um eine politische Ankündigung handele und ein konkreter Text nach wie vor ausstehe. Falls das neue Abkommen nicht in Einklang mit EU-Recht sei, werde Noyb oder eine andere Gruppe wohl auch dieses anfechten.

 

Der österreichische Datenschutzaktivist Max Schrems der mit seinen nach von ihm benannten Urteilen
"Schrems I" und "Schrems II" weltweit für Furore sorgte.

 

 

Fazit bzw. Zusammenfassung:

Was können Microsoft-Anwender also tun? Grundsätzlich besteht natürlich die Möglichkeit, auf Microsoft 365 Produkte zu verzichten. Man könnte auch überlegen, Software von anderen Herstellern einsetzen, nur es gibt kaum noch Alternativen .....

Ja – man könnte auch noch überlegen, das Internet wieder komplett abzuschalten .....

Bei diesen Betrachtungen handelt es sich wohl sicherlich nur um eine theoretische Lösung, denn die Produkte von Microsoft sind in vielen Fällen heutiger Marktstandard und in anderen Software-Anwendungen fest integriert.

Microsoft hat angekündigt, dass es ab Ende 2024 die klassischen MS-Office-Produkte (zumindest für gehostete Serverlösungen) nicht mehr geben wird - also steht ein Umstieg grundsätzlich an.

Die bisherige verbliebene Rechtsunsicherheit (speziell nach diesem Schrems II Urteil des EuGH) im Hinblick auf eine Datenschutz-konforme Nutzung von Microsoft 365 ist mit der neuen Veröffentlichung zu den Standardvertragsklauseln (SVG) der EU-Kommission von Juni 2021 wohl erst einmal erledigt. Derzeit sind also keine grundsätzlichen Einschränkungen für den Einsatz von Microsoft 365 mehr zu erkennen.

 

Zusammengefasst:

  • Da bei einer hybriden Installations-Lösung von Microsoft 365 (die von SPECTRUM präferiert wird) die wichtigen Daten (aus Word, Excel, Powerpoint, Outlook, SQL-Datenbanken usw.) auf den kundenzugeordneten Servern im Hochsicherheits-Rechenzentrum von SPECTRUM in Düsseldorf liegen, unterliegen diese Daten überhaupt keiner Restriktion.
  • Der MS-Exchange-Server liegt in der Microsoft-Cloud in deutschen Rechenzentren. Die Mail-Übertragung findet hier TLS-verschlüsselt statt und erfüllt damit die Verschlüsselungsvorgaben der Rechtsanwalts- bzw. Steuerberaterkammern und der aktuellen deutschen Rechtssprechung.
  • Wenn man dann den Chat- und Videokonferenzdienst MS-Teams, den Cloud-Speicher OneDrive und andere Tools und Programme aus dem riesigen Microsoft 365 Angebot einsetzen will, muss man sicherlich die Datenschschutz-bezogenen Aspekte für diese Anwendung prüfen - man dürfte hier aber wohl auch kein Problem haben, denn nach Prüfung der aktuellen Datenschutzbedingungen von Microsoft durch diverse europäische Datenschutzbehörden erfüllen diese nach der vorherrschenden Meinung die Vorgaben der europäischen DSGVO.