Microsoft-365 & Datenschutz
Im Hinblick auf die Integration von Microsoft-365-Cloud-Anwendungen ergeben sich besondere Anforderungen aus dem Datenschutz- und dem Berufsrecht.
Die nachfolgenden Ausführungen von SPECTRUM stellen dabei keine Rechtsberatung dar!
Der Einsatz von Microsoft-365 ist in vielen Kanzleien und Unternehmen heute weit verbreitet.
Microsoft-365 ist eine Produktivitätssuite von Microsoft, die cloud-basierte Dienste und lokale Programm-Anwendungen bietet. Microsoft-365 ist eine Weiterentwicklung von Microsoft-Office (MS-Word, MS-Excel, MS-PowerPoint, MS-Outlook) und bietet eine Vielzahl von zusätzlichen Tools und Diensten, die es Benutzern ermöglichen, effizient zu arbeiten, Informationen zu teilen, zusammenzuarbeiten und auf verschiedene Dateien und Anwendungen von praktisch jedem Gerät mit Internetzugang zuzugreifen. Durch die zusätzlichen Produkte MS-OneDrive und MS-SharePoint sowie MS-Exchange-Online ist auch die Speicherung von Informationen und Dateien innerhalb der Microsoft-365-Umgebung in der Microsoft-Cloud in Microsoft-Rechenzentren möglich.
Das Offenbarungsverbot für Berufsgeheimnisträger
Sogenannte Berufsgeheimnisträger – Steuerberater, Wirtschaftsprüfer, Rechtsanwälte aber auch Notare, Ärzte, Apotheker, Angehörige eines anderen Heilberufs, Psychologen usw. – dürfen gem. § 203 Strafgesetzbuch (StGB) fremde zum persönlichen Lebensbereich gehörende Geheimnisse oder Betriebs- oder Geschäftsgeheimnisse nicht unbefugt “offenbaren”. Offenbaren im Sinne der Vorschrift bedeutet jede Hinausgabe von Tatsachen aus dem Kreis der sogenannten “Wissenden” (Offenbarungsverbot).
Die berufsrechtlichen Verschwiegenheitsverpflichtungen dieser Berufsgeheimnisträger sind also wesentlich umfangreicher als z.B. die Verschwiegenheitsverpflichtung gemäß des Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG) oder nach der EU-DSGVO. Auch alleine z.B. schon die Tatsache, dass ein Mandat bei einem Steuerberater besteht, ist bereits durch das § 203 StGB geschützt und darf nicht offenbart werden. Manche erklären diese Art der berufsrechtlichen Verschwiegenheitsverpflichtungen mit einer Art “beruflichem Beichtgeheimnis”. Ferner handelt es sich um eine Norm aus dem Kernstrafrecht.
- Bis zum Jahre 2017 war die Einbeziehung von IT-Dienstleistern in die Verschwiegenheitsvorgaben von Berufsgeheimnisträgern sehr schwierig.
- Erst durch die Novellierung des § 203 StGB im Jahr 2017 ist nun auch z.B. der Einsatz von IT-Dienstleistern gesetzlich geregelt (Neu: Absatz 4 Nr. 1 des § 203 StGB).
- Nach § 62a Abs. 1 StBerG dürfen Steuerberater ohne Einwilligung des Mandanten Dienstleistern wie SPECTRUM Zugang zu der Verschwiegenheitspflicht unterliegenden Tatsachen eröffnen, soweit dies für die Inanspruchnahme der Dienstleistung erforderlich ist und mit dem Dienstleister eine Verschwiegenheitsvereinbarung abgeschlossen wurde.
- SPECTRUM fällt bei seinen Dienstleistungen also voll unter diese Kriterien "sonstige mitwirkende Personen, die an der beruflichen oder dienstlichen Tätigkeit mitwirken" (§ 203 Abs. 3 S. 2 StGB).
- Auch Microsoft mit seinen Cloud-Diensten Microsoft-365 fällt hier unter den Gehilfenstatus gem. dem neuen § 203 StGB.
- Das Bereitstellen von Daten nach § 203 StGB an “berufsmäßig tätige Gehilfen” oder “sonstige Personen die an der beruflichen oder dienstlichen Tätigkeit mitwirken” oder die “Inanspruchnahme der Tätigkeit von sonstigen mitwirkenden Personen”, sofern diese erforderlich ist, stellt dabei keine Offenbarung dar.
Ist der Auftraggeber Berufsgeheimnisträger i.S.d. § 203 StGB, wirken SPECTRUM bzw. eSPECTRUM als Auftragnehmer in der Eigenschaft als IT-Dienstleister zum Teil an der beruflichen Tätigkeit des Auftraggebers i.S.d. § 203 Abs. 3 Satz 2 StGB mit. SPECTRUM bzw. eSPECTRUM verpflichten sich als Auftragnehmer, sich nur insoweit Kenntnis von fremden Geheimnissen im Sinne der vorstehenden gesetzlichen Vorgaben zu verschaffen, als dies zur Erfüllung der IT-Dienstleistungen erforderlich ist.
Microsoft-365-Einsatz bei Steuerberatern
Der Einsatz von Microsoft 365 ist für Angehörige der steuerberatenden Berufe und die damit einhergehende Auftragsverarbeitung von personenbezogenen und dem Berufsgeheimnis unterliegenden Daten unter bestimmten Voraussetzungen grundsätzlich möglich.
Microsoft-365 ist heute ein de facto Marktstandard, zu dem es fast keine Alternativen gibt - so wie z.B. auch die Cloud-Telefonie - auch wenn einige Datenschützer weiterhin noch ernst zu nehmende Bedenken äußern.
Die Datenschutz-Aufsichtsbehörden mahnten in der Vergangenheit immer wieder mit Schärfe gegen den Einsatz von Microsoft-365. Dabei entwickelte sich in der Vergangenheit ein regelrechtes Hin & Her von Forderungen der Datenschutz-Behörden auf der einen Seite und Nachbesserungen von Microsoft auf der anderen Seite.
1. Die Vertragsgestaltung der zugrundeliegenden Microsoft-Geschäftsbedingungen waren dabei ein wesentliches Thema. Als Folge hat Microsoft die “Online Service Terms (OST)” und das “Data Processing Addendum (DPA)” mehrfach in den letzten Monaten angepasst und derzeit gibt es keine Beanstandungen der Datenschützer, die deswegen die Nutzung von Microsoft-365 generell ausschließen.
2. Die Übermittlung von personenbezogenen Daten in Drittstaaten sowie die “etwaigen extraterritorial wirkende Rechtsvorschriften der USA” (z.B. US-Cloud-Act) ist hierbei eines der weiteren Hauptargumente der Datenschutz-Behörden. Microsoft hat zugesichert, dass die Daten von deutschen Microsoft-365-Kunden ausschließlich auf Microsoft-Rechenzentren in Deutschland gespeichert werden und damit diese Gegenargumente entkräftigt. Microsoft setzt für den Transfer personenbezogener Daten die aktuell in der EU geltenden Standardvertragsklauseln als ein zulässiges Transfervehikel ein.
3. Außerdem hat Microsoft für Berufsgeheimnisträger unter Microsoft-Online im Internet Zusatz-Informationen bereitgestellt, die für Berufsgeheimnisträger notwendig sind, um den Anforderungen des § 203 StGB gerecht zu werden.
Hinweis:
- Steuerberater müssen der Rechenschaftspflicht aus Art. 5 Abs. 2 der EU-DSGVO nachkommen und die Nutzung von Microsoft-365 inklusive der technischen, organisatorischen sowie vertraglichen Maßnahmen zur Risikoreduzierung sorgfältig dokumentieren. Sprechen Sie Ihren Datenschutzbeauftragten an.
- Außerdem ist die Einhaltung der Anforderungen aus der berufsrechtlichen Verschwiegenheitspflicht unerlässlich. Hierzu gehört vor allem der Abschluss einer Verschwiegenheitsvereinbarung mit Microsoft, die eine solche Vereinbarung bereitstellen.
Bisher hat die Bundessteuerberaterkammer BStBK (im Gegensatz z.B. zur Bundesrechtsanwaltskammer BRAK - siehe weiter unten) keine berufsspezifische Richtlinie oder Empfehlung zum Einsatz von Microsoft-365 in Steuerberaterkanzleien herausgegeben.
Uns ist jedoch bekannt, dass "aus Sicht der Bundessteuerberaterkammer (BStBK) der Einsatz von Microsoft-365 für Angehörige steuerberatender Berufe (Berufsträger) und die damit einhergehende Auftragsverarbeitung von personenbezogenen und dem Berufsgeheimnis unterliegenden Daten mit Restrisiken grundsätzlich denkbar ist. Über den Einsatz muss der Berufsträger aufgrund einer jeweils individuell vorzunehmenden Abwägung entscheiden. Die BStBK empfiehlt für den Fall des Einsatzes die Vornahme von zusätzlichen Maßnahmen".
- Die BStBK empfiehlt u.a. eine grundsätzliche Unterrichtung der Mandanten über den Einsatz von Microsoft-365, per Rundschreiben, in den AGBs oder auf der Homepage (nicht aber die Einholung der Zustimmung von Mandanten).
- Außerdem empfiehlt die BStBK die Deaktivierung nicht benötigter zusätzlicher Features (Beispiel Diktierfunktion), soweit diese nicht benötigt werden (siehe hierzu "SPECTRUM-Hinweise zu den technischen Sicherheitseinstellungen bei der Installation vonMicrosoft-365-Business-Premium").
Die DATEV e.G. stellt allerdings eine Stellungnahme zur Nutzung von Microsoft-365-Cloud-Services zur Verfügung (Wichtig: Die DATEV weist explizit darauf hin, dass es sich nicht um keine Rechtsberatung handelt):
Stellungnahme der DATEV zur Nutzung von Microsoft-365
Darüberhinaus bietet die DATEV den Anwendern weitergehende Unterstützungen und Hilfen zur Nutzung von Microsoft-365 an:
Microsoft-365-Einsatz bei Rechtsanwälten
Die Bundesrechtsanwaltskammer BRAK informiert auf Ihrer Internetseite, dass die Datenschutzkonferenz im November 2022 auf der Grundlage der damals geltenden Microsoft-Datenschutzbedingungen eine datenschutzkonforme Nutzung von Microsoft-365 für unmöglich erklärt hatte. Dann ist Microsoft dem mit einer Stellungnahme entgegengetreten und hat eine überarbeitete Datenschutzbedingungen vorgelegt.
Gemäß Aussage der BRAK sind derzeit danach keine konkreten aufsichtsbehördlichen Beanstandungen für den Einsatzes von Microsoft-365 in Rechtsanwaltskanzleien bekannt:
Die BRAK weist jedoch darauf hin, dass sich dies nach Prüfung der neuen Microsoft-Bedingungen durch die Datenschutzaufsichtsbehörden durchaus jedoch wieder ändern kann; dann könnten öffentlich-rechtliche Stellen, potenziell aber auch Rechtsanwaltskanzleien von Aufsichtsmaßnahmen betroffen sein.
BRAK-Hinweise zur Microsoft-365-Nutzung in Anwaltskanzleien
BRAK-Hinweise zum Umgang mit Microsoft-365-Cloud
Hinweis: Die berufsrechtlichen Datenschutz- und Offenbarungsverbotsrichtlinien gelten für Berufsgeheimnisträger (Rechtsanwälte, Steuerberater, Wirtschaftsprüfer, Notare, Ärzte usw.) gleichermaßen.
Datenschutz-Aufsichtsbehörden
Die deutsche Datenschutzkonferenz DSK - dies ist der Zusammschluss der Datenschutzaufsichtsbehörden der 16 Bundesländer zusammen mit dem Bundesdatenschutzbeauftragten - hat diverse Bewertungen zum Einsatz der Microsoft-365 Cloud Dienste durchgeführt und die zu Grunde liegenden “Online Service Terms (OST)” sowie die Datenschutzbestimmungen für Microsoft-Onlinedienste, das “Data Processing Addendum / DPA” hinsichtlich der Erfüllung der Anforderungen der EU-DSGVO überprüft und Stellungsnahmen abgegeben.
Die “Online Service Terms (OST)” und das “Data Processing Addendum (DPA)” von Microsoft wurden mehrfach in den letzten Monaten angepasst, um die Anforderungen der DSK zu erfüllen. Derzeit steht noch ein abschließender Bericht der DSK hierzu aus.
Für die Übermittlung von personenbezogenen Daten in Drittländer sind außerdem neue Garantien in Form des “EU-U.S. Data Privacy Framework (EU-US DPF)” implementiert und für die extraterritorial wirkenden Rechtsvorschriften der USA hat der US-Präsident die Executive Order “Enhancing Safeguards for United States Signals Intelligence Activities” unterzeichnet, die diese erheblich einschränken.
Statements der deutschen Datenschutzkonferenz DSK zur Nutzung von Microsoft-365:
Festlegung der DSK vom 24.11.2022
DSK-Zusammenfassung Microsoft-Onlinedienste vom 24.11.2022
Pressemitteilung vom 2.10.2020 seitens der Datenschutzaufsichtsbehörden Baden-Württembergs,
Bayerns, Hessens und des Saarlandes mit Kritikpunkten am DSK-Papier:
Bewertung der Datenschutz-konferenz zu undifferenziert
Entscheidung des Europäischen Datenschutzbeauftragten (EDSB) über die
Nutzung von Microsoft-365 vom 11.3.2024:
European Commission’s use of Microsoft-365
Da das gesamte Thema sehr komplex und undurchsichtig ist, hat Microsoft Deutschland eine Stellungnahme zur datenschutzrechtlichen Bewertung von Microsoft-365 durch die DSK erstellt.
Stellungnahme von Microsoft zu den diversen Ausführungen der DSK:
Microsoft-Stellungnahme zur DSK
Es wird allen Anwendern von Microsoft-365 empfohlen, die laufenden Gespräche der DSK Arbeitsgruppe mit Microsoft zu verfolgen. Soweit sich neue Erkenntnisse hieraus in Bezug auf rechtliche Risiken ergeben, sollte dann darauf reagiert werden.
Datenschutz-Unterlagen von Microsoft:
Zusatzvereinbarung für Berufsgeheimnisträger:
Microsoft Customer Agreement Berufsgeheimnisträger
Zusatzinformation von Microsoft “Berufsgeheimnisse in der Cloud”:
MS-Info: Berufsgeheimnisse in der Cloud
Im “Cloud Compendium” stellt Microsoft klar, dass Microsoft-Cloud-Services
auch von Berufsgeheimnisträgern eingesetzt werden können:
Der Microsoft-Kundenvertrag MCA legt die Nutzungsbedingungen für Microsofts Cloud-Dienste fest
und beinhaltet unter anderem Haftungs- und Vertraulichkeitsklauseln:
Microsoft Customer Agreement (MCA)
Geography: “Germany”, Language: “German”, Purchase Channel: "CSP", Audience: "Audience" = "Microsoft-Kundenvertrag"
Eine Ergänzung zum Microsoft-Kundenvertrag MCA enthält spezielle Datenschutzklauseln und definiert Microsofts Rolle
als Auftragsverarbeiter, die technischen und organisatorischen Maßnahmen, die von Microsoft
zugelassenen Subunternehmer und die Rechte und Pflichten der Parteien:
Das Data Protection Addendum (DPA)
Microsoft-Zusage:
Microsoft wird Daten von Unternehmenskunden aus der EU nur innerhalb der EU verarbeiten und speichern.
In anderen Worten: Microsoft wird keine Daten dieser Kunden aus der EU heraus transferieren.
Diese Zusage gilt für alle zentralen Cloud-Dienste von Microsoft – Azure, Microsoft-365 und Dynamics-365.
Microsoft speichert Daten ausschließlich in der EU
Stellungnahme von Microsoft Deutschland zur Datenschutzkonformität von Microsoft-365 und MS-Teams:
Datenschutzkonformität von Microsoft-365
Mit der "Defending your data"-Zusicherung hat Microsoft weitere Maßnahmen zur Verhinderung von
Behördenzugriffen zugesichert, jede Anfrage einer staatlichen Stelle nach persönlichen Daten eines
EU-Kunden aus der freien Wirtschaft anzufechten:
“Defending your data”-Zusicherung
Am 4. Juni 2021 hat die EU-Kommission im Hinblick auf das EuGH-Urteil Schrems II die sog.
“Standardvertragsklauseln” zur Übermittlung von personenbezogenen Daten in ein Drittland
geändert. Microsoft hat noch am Tag der Veröffentlichung der Standardvertragsklauseln 2021
durch die EU-Kommission bekannt gegeben, dass sie die Standardvertragsklauseln
2021 übernehmen werden.