Produkte

Diskussionen zum Microsoft-Datenschutz

Diskussionen zum Microsoft-Datenschutz

Es gibt am Markt viele Diskussionen, Stellungnahmen und Kommentare, ob z.B. Microsoft-365 von deutschen Unternehmen nach der EU-DSGVO oder ob es z.B. bei Steuerberatern nach den Offenbarungsverbotsklauseln im § 203 StGB überhaupt eingesetzt und genutzt werden darf.

Nachfolgend hat SPECTRUM einmal versucht die wichtigsten Fakten und derzeitigen Diskussionen zusammenzufassen, damit sich jeder Anwender selbst einen eigenen Überblick verschaffen kann – natürlich ist dies keine Rechtsberatung.

 

Microsoft 365 ist ein Cloud-Dienst von Microsoft der weltweit über das globale Internet von überall erreichbar ist und somit weltweit unterschiedliche Datenschutzstandards und Datenschutzgesetze - zum Teil sogar noch mit branchen- oder berufsbezogener Auslegungen - berücksichtigen muss. Hier finden Sie Auszüge aus diversen Microsoft-Veröffentlichungen, damit Sie sich hier informieren können, um sich eine eigene Meinung zu bilden:

Microsoft Veröffentlichungen zum Datenschutz

 

Was ist Microsoft 365 ?

Grundsätzliches:
Microsoft 365 ist eine Kombination aus

  1. den bekannten Office-Software-Produkten wie man sie von PC- oder Netzwerk-Installationen kennt (auch aus WTS- und ASP-Lösungen) wie Outlook, Word, Excel, PowerPoint, Publisher und Access
  2. WEB-Versionen von Outlook, Word und Excel für iOS- bzw. Android-Tablets oder Smartphones
  3. und von Online-Diensten wie Hosted-Exchange mit Mail-Provider-Funktion, wie den Besprechungs- und Notizverwaltungs-, Chat- und Videokonferenz-Dienst Teams, wie den File-Hosting-Dienst OneDrive, die Kollaborations- und Webportal-Software Hosted-SharePoint zur Realisierung von Intranet-, Extranet- oder Internet-Webportalen und Cloud-Verwaltung-  und  Speicherung von Office-Dokumenten, PDFs, Bildern, Videos, E-Mails, Kalendereinträgen, Aufgaben, Verträgen oder Projektinformationen
  4. aus besonderen Diensten wie Azure Information Protection (AIP) - eine cloudbasierte Lösung, die Organisationen das Klassifizieren und Schützen von Dokumenten und E-Mails durch Anwendung von Bezeichnungen ermöglicht, wie Intune - zur Verwaltung von Windows- oder Apple-PCs und mobilen iOS- oder Android-Endgeräten (MDM - Mobile Device Management) oder von mobilen Anwendungen (MAM, Mobile Application Management) über das Internet

Die diversen Programme, Anwendungen, Funktionen und Dienste in Microsoft 365 unterscheiden sich zum Teil erheblich voneinander und müssen datenschutzrechtlich trotz des gemeinsamen Paket-Namens daher natürlich unterschiedlich betrachtet werden:

Nutzung von Outlook, Word, Excel, PowerPoint: Für die Installation und Nutzung der Anwendungen Outlook, Word, Excel, PowerPoint auf dem kundeneigenen System (das kann ein lokaler PC oder ein lokales Netzwerk/WTS-System sein - aber auch ggfs. die Nutzung eines Kunden-individuellen Application Service Providing / ASP-Systems z.B. im SPECTRUM-RZ mit diesen Anwendungen) gilt grundsätzlich der gleiche datenschutzrechtliche Rahmen wie bisher. Wenn man hier seine Daten wie gewohnt auf dem kundeneigenen System (bzw. in seinem DMS-System) ablegt und verwaltet, gibt es keine Unterschiede. Man kann in diesen Anwendungen auch grundsätzliche Sicherheitseinstellungen treffen, so dass selbst Fehlermeldungen und sonstige Einstellungen nicht an Microsoft gemeldet werden.

 

 

Nutzung von Microsoft-365-Hosted-Exchange: Hier ist Microsoft auch der E-Mail-Provider. E-Mails werden dann z.B. nicht über das abgesicherte Internet-Zugangssystem SPECTRUM-NET zugestellt und versendet sondern über das Microsoft-Mail-Provider-System, welches sehr gut ist und einen hervorragenden Ruf bei der Viren- und Spam-Abwehr hat. Da der unverschlüsselte E-Mail-Verkehr ja sicherheitstechnisch ein generelles Problem darstellt, sehen wir hier datenschutztechnisch keinen Unterschied zu anderen bekannten E-Mail-Providern wie WEB.DE, GMX, T-Online, AOL, Freenet, Telekom, 1&1, Strato, Vodafone, Unitymedia, Google-Mail, Yahoo-Mail usw.. Positiv muss hier noch berücksichtigt werden, dass die Microsoft-Rechenzentren für das E-Mail-Providing in Deutschland stehen und man bei Microsoft-365-Hosted-Exchange eine generelle TLS-Verschlüsselung einrichten kann, um z.B. die Anforderungen an eine Minimal-Mail-Verschlüsselung nach den Vorgaben z.B. der Bundessteuerberaterkammer, der Bundesrechtsanwaltskammer usw. einhalten zu können.

Nutzung von Teams, OneDrive, SharePoint: Hier werden die Daten immer in der Microsoft-Cloud gespeichert und verwaltet. Die nachfolgenden datenschutzrechtlichen Betrachtungen beziehen sich daher primär auf die Nutzung dieser Dienste. Positiv hervorzuheben ist hier, dass laut Zusage von Microsoft diese Daten ausschließlich auf deutschen Servern bzw. auf Servern in der EU verwaltet werden und dass Microsoft trotz aller internationalen Ausrichtungen redlich bemüht ist, alle datenschutzrechtlichen Anforderungen nach der europäischen DSGVO und dem deutschen BDSG einzuhalten.

Nutzung von  Azure Information Protection (AIP) und Intune: Die datenschutzrechtliche Betrachtung wird hier in diesem Artikel nicht weiter behandelt, da derzeit der Einsatz und die Nutzung dieser Dienste von unseren Kunden zu gering ist und immer eine datenschutzrechtliche Folgenabschätzung als Einzelbetrachtung verlangt.

 

Übersicht Microsoft 365

 

 

Kritiken zur Datenschutz-Konformität

Das Thema der datenschutzrechtlichen Zulässigkeit des Einsatzes von Microsoft 365 ist nach Ansicht von Datenschützern außerordentlich komplex und noch lange nicht abschließend behandelt. Jetzt neigen leider Datenschützer oft dazu, alles nur aus ihrer subjektiven Brille zu betrachten, so dass der Anwender sich an diesen oft plakativen Veröffentlichungen nur zum Teil anlehnen kann.

 

 

1. Niederländisches Ministeriums für Justiz und Sicherheit:

Losgeschlagen wurde die Kritik an Microsoft 365 am 5. Nov. 2018 durch eine Privacy Company, die im Auftrag des niederländischen Ministeriums für Justiz und Sicherheit (Ministry of Justice and Security of the Netherlands - SLM Rijk) eine Datenschutzstudie zu den Datenschutzrisiken von Windows 10 Enterprise, Office 365 ProPlus und Office Online erstellte (Data Protection Impact Assessment - DPIA).

SLM Rijk - Studie 1

Diese Studie kam damals bei ihrer Datenschutzfolgenabschätzung zu dem Ergebnis, dass Office365-Anwendungen (heute Microsoft 365) die gesetzlichen Forderungen der damals neuen europäischen Datenschutzgrundverordnung (EU-DSGVO) nicht erfüllen würde.

Microsoft hat dann schnell nachgebessert:

  • Ende April 2019 hat Microsoft die Datenschutzeinstellungen in Office 365 so geändert, dass diese nun der Datenschutz-Grundverordnung (DSGVO) entsprechen. Die Nutzer haben seitdem die Möglichkeit, die Telemetrie- und Diagnosedaten sowohl einzusehen als auch die Datenübermittlung generell zu deaktivieren und somit blockieren zu können.
  • Microsoft hat außerdem DSGVO-konforme Anpassungen bezüglich der Zweckgebundenheit, des Rechts auf Korrektur und Löschen sowie der expliziten Einverständniserklärung der betreffenden Personen für die Verarbeitung ihrer Daten vorgenommen.
  • Zum Jahreswechsel 2019/2020 hat Microsoft zudem auch seine Online Service Terms (OST) für Firmenkunden geändert. Diese „Cloud-Verträge“ enthalten nun die Änderungen, die mit der niederländischen Regierung ausgehandelt wurden und gelten weltweit für alle öffentlichen Organisationen und Firmenkunden. Dabei hat sich Microsoft auch explizit dazu bekannt, die Rolle des Datenverantwortlichen zu übernehmen.

Die niederländischen Aufsichtsbehörden kamen dann am 22.7.2020 zu dem Ergebnis, dass die aktualisierte Office 365 ProPlus Version 1905 (Microsoft 365 Business) nun EU-DSGVO konform genutzt werden kann.

SLM Rijk - Studie 2

Nach Aussage niederländischer Juristen, die die Nutzung von Microsoft 365 (Office 365) analysiert hatten, kann man folgendes nun sagen:

Bei der Nutzung von Microsoft 365 verarbeitet Microsoft eine Vielzahl von Daten und dabei auch personenbezogene Daten.

  • Ein Teil der Datenverarbeitungen betreffen die Funktionsdaten. Dabei handelt es sich um Datenverarbeitungen, die notwendig für die Bereitstellung des Microsoft 365 Services sind. Microsoft wird hierbei gemäß den Online Service Terms (OST) als Auftragsverarbeiter gem. Art. 28 DSGVO tätig. Ein entsprechender Auftragsverarbeitungsvertrag ist in den OST enthalten. Die Verarbeitungen von Funktionsdaten resultieren aus der Weisung des Auftraggebers an Microsoft. Die Weisung entspricht dabei der Nutzung des Dienstes durch den Auftraggeber. Funktionsdaten werden unverzüglich nach der Bereitstellung des Service gelöscht.
  • Außer den Funktionsdaten zur Bereitstellung des Service verarbeitet Microsoft zwangsläufig als Auftragsverarbeiter auch Inhaltsdaten. Damit sind die tatsächlichen Dokumente, Präsentationen, E-Mails etc. gemeint, die Nutzer Microsoft im Rahmen ihrer Tätigkeit mit Microsoft 365 erstellen und in der Microsoft-Cloud speichern (d.h. hier sind nicht die im kundeneigenen System gespeicherten Outlook-, Word-, Excel-Daten gemeint) . Diese in der Microsoft-Cloud gespeicherten Daten verarbeitet Microsoft nur für die Bereitstellung des Dienstes Microsoft 365. Eine Verwendung zu anderen Zwecken ist in den OST unter „Verarbeitung von Kundendaten“ definitiv ausgeschlossen.

 

  • Neben den Funktions- und Inhaltsdaten verarbeitet Microsoft bei der Bereitstellung von Microsoft 365 auch noch Diagnosedaten. Diese enthalten eine von Microsoft 365 eindeutig generierte ID mit der sie einem Benutzer eindeutig zugeordnet werden können. Eine genaue Auflistung der Kategorien von Daten und Kategorien von Betroffenen Personen ist in Appendix 2 der Datenschutz-Folgenabschätzung der Juristen der Niederlande zu finden. Dabei werden unter anderem folgende Datenarten übermittelt: Client-ID, User-ID, Dauer der Nutzung eines Office-Dienstes, Größe der bearbeiteten Datei, Event-ID (ID der getätigten Aktion – bspw. Speicherung eines Dokuments), Programmsprache usw.. Diese Informationen werden an die Server von Microsoft gesendet. Dabei ist eine Übermittlung der Daten in die USA grundsätzlich zwar nicht auszuschließen, aber Microsoft hat schriftlich zugesichert, dass die Daten NICHT für Profiling, Datenanalyse, Marktforschung oder Werbung genutzt werden.
  • Außerdem sind nun nach der von Microsoft eingeführten breitflächigen Verfügbarkeit der „Service-Verschlüsselung“ mittels „Customer Key“ alle Sicherheitsanforderungen erfüllt. Die Dienste-Verschlüsselung per Customer Key kann Kunden beim Einhalten ihrer Compliance-Vorgaben helfen, da sie hierdurch die Schlüssel zur Chiffrierung ihrer Microsoft-365-Daten selbst managen können.

 

Anfang Mai 2019 hat dann das niederländische Ministerium für Justiz und Sicherheit (SLM Rijk) mit Microsoft neue Datenschutzbestimmungen für über 300.000 Desktops in den niederländischen Ministerien, bei der Steuer- und Zollverwaltung, bei der Polizei, in der Justiz und für unabhängige Verwaltungsbehörden für die Nutzung von Microsoft 365 abgeschlossen: „there are no more known high data protection risks for data subjects related to the collection of data about the use of Microsoft 365.“.

Auch die Privacy Company kommentiert seither, dass Microsoft die acht zuvor identifizierten Datenschutzrisiken für Microsoft 365 durch eine Kombination aus technischen, organisatorischen und vertraglichen Maßnahmen gelöst hat.

Für Office Online und die Mobile Office Apps hingegen kommt eine separate Untersuchung im Auftrag des Niederländischen Ministeriums für Justiz und Sicherheit vom 23. Juli 2019 zu dem Ergebnis, dass wegen der noch immer gegebenen Risiken ein datenschutzrechtskonformer Einsatz nicht möglich sei.

SLM Rijk - Studie 3

Für Office Online und die Mobile Office Apps gibt es aber noch Einschränkungen, so dass SLM Rijk am 23. Juli 2019 daher staatlichen Institutionen rät, Office Online und die mobilen Office-Apps vorerst nicht zu nutzen.


Weitere Informationen: "Strategic Vendor Management Microsoft for the Dutch government"

SLM Rijk - generelle Informationen


Wichtig zu wissen ist noch, dass die Regelungen, die die Niederländische Regierung mit Microsoft erreicht hat, für alle Institutionen, Unternehmen und Anwender in der EU Gültigkeit hat.

 

 

2. Hessischer Datenschutzbeauftragter zum Einsatz von Microsoft 365 an hessischen Schulen:

Im Juli 2019 heizt der Hessische Beauftragte für Datenschutz und Informationsfreiheit mit einer neuen Stellungnahme die Diskussion erneut an und untersagte sogar zunächst die Nutzung von Microsoft 365 in hessischen Schulen. Der Einsatz von Microsoft 365 an Schulen sei danach datenschutzrechtlich unzulässig, soweit Schulen personenbezogene Daten in der europäischen Cloud speichern. Der hessische Datenschützer legt allerdings klar, was für Microsoft gilt, ist auch für die Cloud-Lösungen von Google und Apple zutreffend.

Stellungnahme des Hessischen Beauftragten für Datenschutz und Informationsfreiheit zum Einsatz von Microsoft Office 365 in hessischen Schulen vom 9.7.2019:

Hessischer DSB zu O365

Hessischer DSB 2.Stellungnahme

 

Allerdings ruderte dann der hessische Datenschutzbeauftragte schon im August 2019 zurück und bekundete nun:

„Der Hessische Beauftragte für Datenschutz und Informationsfreiheit hat sich nach den Gesprächen mit Microsoft, die zu datenschutzrechtlich veränderten Einschätzung führten und die einen erheblichen Anteil der Bedenken entkräfteten, dazu entschlossen, den Einsatz von Microsoft 365 in hessischen Schulen nun unter bestimmten Voraussetzungen und dem Vorbehalt weiterern Prüfungen vorläufig zu dulden“.

Na die Einschränkung mit dem „Vorbehalt weiterer Prüfungen“ kennen Steuerzahler ja auch von den Finanzbehörden und es ist dahingehend verständlich, dass solche Behörden wie ein  Landesdatenschutzbeauftragter generell keinen Persil-Schein ausstellt und sich immer ein Hintertürchen offen hält, eine Genehmigung wieder zurückzuziehen.

 

 

3. Einschätzung der Bundesrechtsanwaltskammer BRAK zu Microsoft 365:

Im November 2019 hat die Bundesrechtsanwaltskamm BRAK ein Papier „Hinweise zum Umgang mit Microsoft 365 aus datenschutzrechtlicher Sicht“ veröffentlicht.

BRAK & O365

Dieses Papier basiert primär noch auf der ersten Einschätzung des Einsatzes von Microsoft 365 an hessischen Schulen und müsste nun eigentlich nach der Neubewertung durch den hessischen Datenschutzbeauftragten mit der Genehmigung des Einsatzes von Microsoft 365 an hessischen Schulen eingestampft bzw. durch ein neues Papier ersetzt werden - denn im BRAK-Papier steht explizit, dass die Bewertung des hessischen Datenschutzbeauftragten für Schulen auch auf Kanzleien zu übertragen ist - dann aber doch auch bitteschön die Erlaubnis nachdem der hessische Datenschutzbeauftragte nach  der zweiten Bewertung den Einsatz an Schulen erlaubt hat.

Dieses BRAK-Papier kann auch als Rechtsanwalt-typisch bezeichnet werden: Die BRAK argumentiert, sie hätte nur vom „Hörensagen“ von datenschutzrechtlichen Bedenken „gehört“, schreibt aber dann: „Bislang sind keine konkreten Beanstandungen der Nutzung von Microsoft 365 durch Datenschutzbehörden gegenüber einzelnen Kammern oder Kanzleien bekannt geworden“.

Interessant auch, dass die BRAK im November 2019 noch die datenschutzrechtlichen Bedenken des niederländischen Ministeriums für Justiz und Sicherheit aus Nov. 2018 zitiert und nicht die Aussage von Anfang Mai 2019, nachdem das niederländische Ministerium für Justiz und Sicherheit (SLM Rijk) mit Microsoft neue Datenschutzbestimmungen ausgehandelt hatte und nun den Einsatz von Microsoft 365 für statthaft hält. Man muss der BRAK hier wohl etwas wenig Sorgfältigkeit vorwerfen.

Dann verweist man in dem BRAK-Papier auf den Bundesdatenschutzbeauftragten BfDI. Der wiederum verweist auf die ursprüngliche Datenschutz-Folgenabschätzung der niederländischen Regierung aus Nov. 2018 und verkündet dann, „dass aus Sicht des BfDI derzeit Microsoft 365 nicht datenschutzkonform eingesetzt werden könne“. Dabei verschweigt das Zitat des BfDI aber die Nachbesserungen (die oben aufgeführt sind) die Microsoft zwischenzeitlich vorgenommen hat und wonach nach heutiger Sichtweise des niederländischen Ministeriums für Justiz und Sicherheit eine Nutzung von Microsoft 365 sehr wohl zulässig ist, sofern man die entspr. Sicherheitseinstellungen vorgenommen hat.

Eine Einschätzung zur Datensicherheit beim Einsatz von Microsoft 365 z.B. von Ärztekammern oder von der Bundessteuerberaterkammer sind derzeit nicht bekannt.

Hinweis: Bei Microsoft gibt es für sog. Berufsgeheimnisträger (entspr. § 203 StGB - Offenbarungsverbot) in Deutschland extra eine Vertrags-Zusatzvereinbarung:

Microsoft-Zusatzvereinbarung für Berufsgeheimnisträger

Microsoft bestätigt hier: "Microsoft ist bewusst, dass der Kunde rechtlichen Verpflichtungen hinsichtlich der Gestaltung des Zugriffs auf Informationen von Mandanten des Kunden unterliegt und die Verletzung solcher Verpflichtungen strafrechtliche Folgen (Freiheits- oder Geldstrafe) haben kann. Microsoft bestätigt, dass alle Kundendaten streng vertraulich behandelt werden müssen. Microsoft stellt sicher, dass die von Microsoft eingesetzten Personen auf Geheimhaltung verpflichtet sind, soweit sie im Zusammenhang mit ihrer Tätigkeit Kenntnis von Kundendaten erlangen könnten".

 

 

4. Hinweise des Berliner Datenschutzbeauftragten zur Nutzung von Microsoft-Teams:

Im Juli 2020 – mitten in der Corona-Hochzeit, als alle Unternehmen Videokonferenz-Systeme einsetzen wollten/mussten – begann der Berliner Beauftragte für Datenschutz und Informationsfreiheit als Datenschutz-Aufsichtsbehörde mit Hinweisen zu Videokonferenz-Diensten erneut den Clinch mit Microsoft. Hier wurden neben Microsoft Teams auch 16 weitere Anbieter wie Zoom, Skype, GoToMeeting, Google-Meet, Cisco-WebEx, Jitsi usw. analysiert.

Berliner DSB zu Teams

Obwohl Microsoft ja die Nutzungsbedingungen erst kürzlich überarbeitet hatte, enthalte nach Ansicht des Berliner Datenschutzbeauftragten der Auftragsverarbeitungsvertrag noch immer unklare und widersprüchliche Regelungen und weiche damit von den gesetzlichen Mindestanforderungen ab.  

Umgehende Stellungnahme von Microsoft

In der umgehend erfolgten Stellungnahme von Microsoft zu der Einschätzung der Berliner Datenschützer widerspricht der Konzern aber der Behörde deutlich. Microsoft sei überzeugt - so antwortet Microsoft - dass die Produkte Microsoft 365 im Allgemeinen und auch Microsoft Teams im Speziellen datenschutzkonform eingesetzt werden könnten. Dabei geht Microsoft im Detail auf die einzelnen Kritikpunkte der Berliner Datenschützer ein. Insbesondere die Mängel im Auftragsverarbeitungsvertrag seien laut Microsoft hauptsächlich auf Grund von Übersetzungsfehlern der Datenschützer zurückzuführen. Dabei kritisiert Microsoft auch, dass sich die Behörde nicht mit den von Microsoft zur Verfügung gestellten Informationen beschäftigt hätte und daher zu einem falschen Ergebnis gekommen sei.

Interessant ist hier in der Stellungnahme des „Berliner Datenschutzbeauftragte zur Durchführung von Videokonferenzen während der Kontaktbeschränkungen“ vom 6.5.2020 der Vermerk in Absatz 2.f::
"Auch sogenannte Berufsgeheimnisträger können Microsoft Teams und Skype for Business Online einsetzen. Sie können Microsoft Teams und Skype for Business auch als Berufsgeheimnisträger einsetzen. Microsoft stellt hierfür auf Anfrage eine Zusatzvereinbarung für Berufsgeheimnisträger bereit".


SPECTRUM-Statement: Wir wissen nicht mehr, was wir einem normalen Anwender bei seiner Datenschutzfolgenabschätzung nach EU-DSGVO bei dieser unterschiedlichen Interpretation und bei diesem facettenreichen und komplexen Thema raten sollen, um die IT-technischen und juristischen Begebenheiten so einschätzen, dass er zu einer risikolosen und handhabbaren Einschätzung gelangen kann.

Vielleicht stellt sich der Anwender einfach auf den Standpunkt der niederländischen  Steuer- und Zollverwaltung, der niederländischen Polizei oder der niederländischen Justiz, die seit 2019 mit staatlicher Genehmigung erfolgreich und EU-DSGVO-konform Microsoft 365 einsetzen dürfen.

 

 

5. EU-Datenschutzbeauftragter kritisiert Microsoft:

Der europäische Datenschutzbeauftragte hat erst im Juli 2020 die Microsoft-Produkte und -Dienste überprüft, die von EU-Institutionen genutzt werden. Das Ergebnis dieser Untersuchung veröffentlichte er in seinem 30 Seiten langen Bericht (European Data Protection Supervisor – EDPS: Outcome of own initiativeinvestigation into EU-Institutions’ use of Microsoft products and services).

EDPS & Microsoft

Für die in diesem Bericht genannten in Teilbereichen noch offenen Punkte – die sich übrigens primär auf das Betriebssystem Windows 10 und nicht auf Microsoft 365 bezieht - gab der EU-Datenschutzbeauftragte den europäischen Institutionen sofort Handlungs- und Lösungsempfehlungen an die Hand, um die Bedenken durch technisch-organisatorische Massnahmen zu beseitigen. Nach diesem EDPS-Papier könnten bestimmte Mängel durch entsprechende Konfiguration der Produkte behoben werden, andere wiederum sollten mit Microsoft ausgehandelt werden. Danach ergibt sich unter Beachtung dieser Konfigurations-Empfehlung keine Einschränkungen mehr.

 

 

6. Statements sonstiger Datenschutzaufsichtsbehörden

Gemäß einer Anfrage beim Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) war zu erfahren, dass ein neues bundesländerübergreifendes Verfahren zur datenschutzrechtlichen Beurteilung von Microsoft 365 gerade stattfindet, das jedoch noch nicht abgeschlossen ist.

Interessant: Es gibt zwar noch keine Datenschutzfolgenabschätzung der Bundesbehörden für den Einsatz von Microsoft 365, die gesetzmäßig der Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) durchführen müsste. Der hat aber zunächst das Bundesamt für Sicherheit in der Informationstechnik BSI um eine Stellungnahme gebeten  -  aber viele deutsche Bundesbehörden haben trotzdem schon Beschaffungsprozesse für Microsoft 365 initiiert ....  

 

 

7. Es verbleibt datenschutzrechtlich noch das Problem mit dem US-Cloud-Act:

Nach den Terroranschlägen vom 11.9.2001 hatten die USA zunächst den US-PATRIOT-ACT verabschiedet. Das Gesetz bringt eine Einschränkung der amerikanischen Bürgerrechte in größerem Maße mit sich, aber auch Auswirkungen für USA-Reisende, da die Anforderungen an Pässe erhöht wurden. Ser USA PATRIOT Act steht als "Akronym für Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001", zu Deutsch heißt das in etwa: „Gesetz zur Einigung und Stärkung Amerikas durch Bereitstellung geeigneter Instrumente, um Terrorismus aufzuhalten und zu verhindern“. Gemäß dem PATRIOT ACT von 2001 müssen US-Unternehmen personenbezogene Daten auf Verlangen von US-Behörden (NSA, FBI, CIA usw.) herausgeben – allerdings nur, wenn die Daten in den USA liegen.

Hintergrund zum Cloud-ACT

Dann hatten US-Strafverfolgungsbehörden von Microsoft verlangt, dass Microsoft auch Daten, die auf Servern im Ausland gespeichert sind, herauszugeben. Hiergegen hatte Microsoft alle rechtlichen Schritte eingelegt und sich geweigert, diese Daten herauszugeben.

Daraufhin hatte die Trump-Administration am 23.3.2018 den US-Cloud-Act (Clarifying Lawful Overseas Use of Data Act) erlassen, übrigens einstimmig im amerikanischen Parlament mit den Stimmen der Demokraten und Republikaner..

Cloud Act

Der CLOUD ACT ist heute das eigentliche datenschutzrechtliche Rest-Problem bei der Nutzung von Microsoft 365.

Nach dem CLOUD ACT dürfen US-Strafverfolgungsbehörden wie FBI, CSI, NSA, DEA, US-Customs, US-Treasury-Department usw. bei US-Firmen auch auf Daten im Ausland zugreifen.

Der US-CLOUD ACT verstößt nach Auffassung von Datenschützern gegen Artikel 48 der EU-DSGVO, der das Herausgeben von Daten an Behörden eines Landes außerhalb der EU regelt.

Dem von der Herausgabeverpflichtung betroffenen US-Unternehmen steht jedoch nach dem CLOUD ACT Gesetz ein gerichtliches Widerspruchsrecht gegen die Anordnung zur Herausgabe von Daten zu, wenn der Eigentümer der Daten kein US-Bürger ist, nicht in den USA lebt und das Unternehmen durch die Herausgabe der Daten gegen Rechte in anderen Ländern verstoßen würde.

Zu beachten: Der US-Cloud-Act bezieht sich nicht nur auf US-Unternehmen die ihren Hauptsitz in den USA haben, der US-Cloud-Act bezieht sich auf alle Unternehmen weltweit, die z.B. eine Niederlassung in den USA unterhalten und/oder dort einer Geschäftstätigkeit nachgehen. D.h. der Cloud-Act betrifft nicht nur Microsoft, Google, Apple, Facebook & Co sondern auch SAP, Sage, Telekom, Vodafone, Mobilcom, O2, Versatel & Co. Noch schlimmer: fast alle RZ-Betreiber in Deutschland gehören US-Konzernen wie Ionos, Interxion, Itenos, euNetworks, Interroute, Level3, Colt, HostEurope, QSC, GlobalCrossing, Tiscali, IronMoutain, Cogent, eShelter, Telehouse, GlobalSwitch, Telecity-Group, UnitedInternet usw..

Positiv: Microsoft hat sich hierzu schriftlich gegenüber seinen europäischen Kunden verpflichtet, bevor man Daten von Ausländern herausgibt, immer Einspruch vor Gericht einzulegen und mehr kann Microsoft eigentlich auch nicht machen, denn alles andere ist „höhere transatlantische Politik“.

Nach Artikel 83 Absatz 5 der EU-DSGVO drohen bei einem Verstoß gegen die Pflichten aus Artikel 48 EU-DSGVO besonders hohe Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des rechtswidrig handelnden Unternehmens – je nachdem, welcher Betrag höher ist. Also hat Microsoft auch allen Grund, sich hier auf die Hinterbeine zu stellen und die Daten der Europäer vor dem Zugriff der US-Administration zu schützen ….

Die USA hatten angekündigt, dass sie ein Widerspruchsrecht für alle Länder akzeptieren würden, die mit den USA ein Abkommen unter dem CLOUD ACT abschließen würden. Die Verhandlungen liegen aber seit Präsident Trumps Amtsübernahme auf Eis. Letztlich zwingt dieser Mechanismus Staaten dazu, mit den USA entsprechende Vereinbarungen zu schließen, die das Persönlichkeitsrecht und damit das Recht an personenbezogenen Daten ihrer Bürger oder von in ihrem Staatsgebiet gespeicherten Daten gegenüber US-Behörden wirksam schützen bzw. offenlegen.

Wie solche Fälle also in Zukunft zwischen etwa den USA und der EU beziehungsweise deren Mitgliedsstaaten so gelöst werden können, dass Unternehmen die Rechtsvorschriften der jeweils beiden betroffenen Länder einhalten können, hängt davon ab, ob es gelingt, mit den USA entsprechende Übereinkommen abzuschließen.

Erst kürzlich hat nun aber auch die EU eine ähnliche Gesetzesinitiative zur Erlangung von sog. "Waffenfreiheit" unter der Bezeichnung „e-Evidence-Verordnung“ (Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel) auf den Weg gebracht und sich zu Verhandlungen mit der US-Regierung bereit erklärt.

Wie solche Fälle also in Zukunft zwischen etwa den USA und der EU beziehungsweise deren Mitgliedsstaaten so gelöst werden können, dass Unternehmen die Rechtsvorschriften der jeweils beiden betroffenen Länder einhalten können, hängt davon ab, ob es gelingt, mit den USA entsprechende Übereinkommen abzuschließen.

Erst kürzlich hat nun aber auch die EU eine ähnliche Gesetzesinitiative zur Erlangung der sog. "Waffengleichheit" unter der Bezeichnung „e-Evidence-Verordnung“ (Europäische Herausgabeanordnungen und Sicherungsanordnungen für elektronische Beweismittel) auf den Weg gebracht und sich dann zu Verhandlungen mit der US-Regierung bereit erklärt.

EU-Initiative: e-Evidence

Allerdings sieht der US-CLOUD ACT nur Verhandlungen mit „ausländischen Regierungen“ vor und nicht mit „internationalen Organisationen“, wie etwa der EU. Die US-Administration hat sich bisher geweigert mit der EU-Kommission für ganz Europa zu verhandeln und Deutschland und andere EU-Staaten haben ihrerseits mitgeteilt, dass sie nicht an direkten bilateralen Abkommen mit den USA interessiert sind und auf eine Lösung auf EU-Ebene setzen

Sollen nun europäische Unternehmen und Kanzleien unter diesem transatlanisches PowerPlay leiden?

SPECTRUM Statement: Einmal realistisch betrachtet stellt sich die Frage: braucht die NSA, die CIA, das FBI überhaupt so ein Gesetz um Daten auszuschnüffeln? Haben die nicht längst schon überall die Datenleitungen angezapft?

Braucht der Bundesfinanzminister z.B. eigentlich ein neues e-Evidence-Gesetz um Daten von Steuerbetrügern auszuspähen – hat er dafür nicht schon längst den Bundestrojaner?

Müssen deutsche Unternehmen und Kanzleien bei der Nutzung von Microsoft 365 wirklich den CLOUD-ACT berücksichtigen?

Hier ein interessanter Artikel des HEISE-IT-Magazins zum US-Cloud-Act:

Heise - Cloud-Act

Ändert der US-Cloud-Act die bisherigen Mechanismen für Anfragen nach Kundeninformationen durch die US-Strafverfolgung?

Hintergrund-Info

 

 

8. Checkliste für notwendige Einstellungen für den datenschutzkonformen Einsatz von Microsoft 365:

Spezialisten haben nachfolgende Checkliste erstellt, um Microsoft 365 datenschutzkonform einsetzen zu können:

1. Die Nutzung von Connected Experiences/Services in Microsoft 365 muss deaktiviert werden. Diese Services übermitteln Daten in großem Umfang an Microsoft und dürfen daher nicht genutzt werden. Damit fallen Funktionen wie z.B. der Übersetzer oder die Raumsuche weg.

2. In den Einstellungen muss beim Senden der Diagnosedaten die Option „weder noch“ ausgewählt werden. Ein direkter Nachteil für den Nutzer entsteht hierdurch nicht.

3. Die Funktion zur Datenübermittlung an das Microsoft-Programm zur Verbesserung der Benutzerfreundlichkeit von Anwendungen muss deaktiviert werden.

4. Das Telemetrie-Niveau von Microsoft 365 ist auf „weder noch“ zu stellen. Dies kann per Gruppenrichtlinie oder als Registry-Eintrag vorgegeben werden. Ebenso sollte bei dieser Gelegenheit das Telemetrie-Niveau in Windows 10 Enterprise auf „Security“ gesetzt werden.

5. Der Versand von Daten im Rahmen des Customer Experience Improvement Programms (CEIP) sollte unterbunden werden. Auch dies kann in der Gruppenrichtlinie oder per Registry-Eintrag geregelt werden und hat keine Folgen für den Nutzer.

6. Die LinkedIn-Integration von Mitarbeiterkonten ist zu deaktivieren. Dies kann in der Administratoroberfläche eingestellt werden. Derzeit ist die Funktion in Deutschland per Default deaktiviert. Allerdings sollte dies nach Updates überprüft werden. Es ist nicht ungewöhnlich, dass Microsoft bei Updates Änderungen an den Einstellungen vornimmt.

7. Folgende Connected Experiences sind ebenfalls zu deaktivieren:

  • 3D Maps
  • Insert Online 3D Models
  • Map Chart
  • Office Store
  • Insert Online Video
  • Researcher
  • Smart Lookup
  • Insert Online Pictures
  • LinkedIn Resume Assistant
  • Weather Bar in Outlook
  • PowerPoint QuickStarter
  • Giving Feedback to Microsoft
  • Suggest a Feature

 

8. Nutzer sind nach Möglichkeit technisch und durch interne Richtlinien davon abzuhalten, Office-Online-Anwendungen oder mobile Office-Applikationen zu verwenden. In einer Datenschutzfolgenabschätzung im Auftrag der niederländischen Aufsichtsbehörde wurde die Zulässigkeit der Online-Anwendungen und mobilen Applikationen von Office 365 bewertet. Diese kommt zu dem Schluss, dass deren Einsatz an fünf Punkten ein hohes datenschutzrechtliches Risiko für den Betroffenen birgt und daher unterlassen werden sollte. Das schränkt jedoch die Nutzung von Microsoft 365 in vielen Bereichen ein, da die Programme nur vorinstalliert auf einem PC oder Mac genutzt werden können, nicht hingegen auf Smartphones. Die Verwendung der Microsoft-365-Webanwendung und der Office-Apps muss bis auf weiteres als datenschutzrechtlich sehr kritisch angesehen werden, bis Microsoft weitere Schritte zur Verbesserung des Datenschutzniveaus innerhalb dieser Software unternimmt.

9. Abschluss eines Auftragsverarbeitungs-Vertrages (VAV) mit Microsoft: Der entsprechende Vertrag ist in den Microsoft-OST (Online Service Terms) enthalten und wird mit diesen zusammen abgeschlossen und muss somit nicht separat abgeschlossen werden.

10. Je nach Art und Umfang der Daten die mittels Microsoft 365 verarbeitet werden sollen, ist ggf. die Anfertigung einer eigenständigen Datenschutz-Folgenabschätzung notwendig.

11. Abschließend kann gesagt werden, dass Microsoft 365 aus datenschutzrechtlicher Sicht noch nicht mit der letzten Rechtssicherheit überall benutzt werden kann und eine Entwicklung und die ausstehende Rechtsprechung des EuGH abgewartet werden muss.


Sofern diese Anforderungen beachtet werden, lässt sich Microsoft 365 für den Moment eigentlich datenschutzkonform einsetzen. Es bleibt jedoch zu beobachten, ob Microsoft die nun gelebte Datensparsamkeit auch beibehält oder ob die Aufsichtsbehörden weitere Erkenntnisse hinsichtlich der Datenübermittlung erlangen und weitere Forderungen gegenüber Microsoft stellen.

 

 

 

9. Muss ein individueller Auftragsdatenvertrag mit Microsoft geschlossen werden ?

Kunden fragen oft, wie man denn mit Microsoft einen Vertrag zur Auftragsverarbeitung nach Art. 28 der EU-DSGVO abschließen kann?

Der Art. 28 Abs. 9 der EU-DSGVO führt hierzu aus:

  • „Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem EU-Recht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor …“

Schaut man sich diesen Absatz genauer an, sieht man, dass die rechtliche Grundlage für die Verarbeitung von personenbezogenen Daten des Auftraggebers durch den Auftragnehmer nicht zwingend ein Vertrag sein muss, wie man ihn beispielsweise mit seinem IT-Dienstleister abschließt. Das Wort ODER lässt auch andere Optionen als gleichwertig zu einem Vertrag zu.

  • „Die Auftragserteilung kann gemäß Art. 28 Abs. 9 DS-GVO in Zukunft auch in einem elektronischen Format erfolgen. Das strenge Schriftformerfordernis (handschriftliche Unterschrift) gilt damit nicht mehr. Ausreichend für das elektronische Format ist jedes elektronische Dokument, das dauerhaft wiedergegeben werden kann (vergleichbar mit der Textform in [§ 126b BGB])

Microsoft bietet anstelle eines Vertrages, wie er im deutschen Rechtsraum üblich ist, die sogenannten OST oder Online Service Terms, zu Deutsch: "Online Service-Nutzungsbedingungen". Alle Lizenzverträge von Microsoft umfassen diese Online Services-Nutzungsbedingungen. Die Lizenzverträge und damit eine OST werden abgeschlossen, wenn ein Kunde sich für ein Microsoft 365 Paket anmeldet.
Eine Unterschrift ist nach der EU-DSGVO nicht erforderlich, um einen rechtswirksamen Vertrag abzuschließen, es reicht die sog. Textform.

Der Vorteil für den Kunden in diesem Verfahren besteht auch darin, dass Microsoft so diese OST immer nach den Erfordernissen der diversen Eingaben der europäischen Institutionen anpasst und diese somit direkt für alle Nutzer in den EU-Mitgliedsstaaten gelten (Beispiel: Nach Intervention des niederländisches Ministeriums für Justiz und Sicherheit im Jahre 2018 wurden die in den Niederlanden ausgehandelten vertraglichen Verbesserungen direkt in der OST für alle EU-Kunden integriert).

Muss man mit Microsoft eine TOM schriftlich vereinbaren - sog. techn. organisatorische Massnahmen?

Nach den EU Standardvertragsklauseln mit dem Zusatz zur DSGVO können diese auch durch eine Erklärung oder durch den Nachweis eines entsprechenden Zertifikats nachgewiesen werden. Hier werden Sicherheitsstandards wie DIN ISO 27001 / ISO 27002 und ISO 27018 benannt, die einen ausreichenden Schutz garantieren.

Microsoft hält u.a. folgende internationalen Standards ein: ISO20000, ISO22301, ISO27001, ISO27017, ISO27701, ISO9001

Microsoft-Compliances

Der § 203 StGB und die Microsoft Cloud

Hierzu stellt Microsoft einen entsprechenden Zusatz zu den OST Dokumenten für deutsche Berufsgeheimnisträger zur Verfügung.

Microsoft & Offenlegung von Kundendaten

In den Microsoft Bestimmungen für Onlinedienste OST geht Microsoft folgende Verpflichtung ein:

  • "Microsoft wird Kundendaten nicht gegenüber Strafverfolgungsbehörden offenlegen, sofern nicht gesetzlich vorgeschrieben. Sollte sich eine Vollstreckungsbehörde mit Microsoft in Verbindung setzen und Kundendaten anfordern, versucht Microsoft, die Vollstreckungsbehörde an den Kunden zu verweisen, damit sie diese Daten direkt beim Kunden anfordert. Wenn Microsoft verpflichtet ist, Kundendaten gegenüber einer Vollstreckungsbehörde offenzulegen, wird Microsoft den Kunden unverzüglich darüber informieren und ihm eine Kopie der Aufforderung zukommen lassen, sofern dies nicht gesetzlich verboten ist."

 

 

10. Die Datenschutzkonferenz sagt aktuell am 22.10.2020, dass Microsoft angeblich die DSGVO-Ansprüche an Auftragsverarbeiter nicht erfüllt und dass vieles zu vage sei und ein US-Zugriff nicht ausgeschlossen ist

Datenschützer sehen Microsoft 365 in Behörden daher als nicht rechtskonform an

Am 10. 5. Okt. 2020 berichtet der HEISE-IT-Newsticker über die Ergebnisse der deutschen Datenschutzkonferenz.

Die Datenschutzkonferenz des Bundes und der Länder (DSK) hat im September mit knapper Mehrheit beschlossen, dass derzeit "kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich ist". Sie folgte damit einer Bewertung ihres Arbeitskreises Verwaltung vom 15. Juli. Dieser hatte über ein halbes Jahr lang geprüft, ob die Datenschutzbestimmungen und Online-Geschäftsbedingungen für das "Cloud-basierte" Softwarepaket mit Artikel 28 der Datenschutz-Grundverordnung (DSGVO) zur Auftragsdatenverarbeitung vereinbar sind.

Dies ist nach Ansicht der Aufsichtsbehörden nicht der Fall. Wer die danach die "Cloud-Variante" von Word, Excel oder Powerpoint handelt danach ggfs. nicht rechtskonform.

Statement von SPECRUM hierzu: Eine solche "Cloud-Nutzung" von Word, Excel und Powerpoint empfiehlt SPECTRUM auch nicht. Word, Excel und Poerpoint sollten SPECTRUM-Kunden auch immer auf den ASP-Servern im SPECTRUM-Hochsicherheits-RZ in Düsseldorf nutzen und dort die Daten verwalten - eine Speicherung in der Microsoft-Cloud hält SPECTRUM auch für z.Tl. höchst brisant. Hier liegt ja gerade der Vorteil der hybriden Cloud-Nutzung: Word, Excel, Powerpoint & Daten auf den eigenen Private-Cloud-Servern im SPECTRUM-Rechenzentrum und ggfs. Teams- und OneNote-Nutzung über Microsoft 365.

 

Interessant war das Abstimmungsergebnis der 17 Datenschützer aus Bund und Länder: Insgesamt waren acht Datenschutzbehörden gegen und neun für dieses harte Statement. Die Datenschutzbeauftragten von Bayern, Baden-Württemberg, Hessen, Rheinland-Pfalz, Sachsen und dem Saarland sowie das Bayerische Landesamt für Datenschutzaufsicht hatten erklärt, die Gesamtbewertung nicht zu teilen, "weil sie zu undifferenziert ausfällt" und legt wert darauf, dass dies kenntlich gemacht wird.

Die Datenschutzaufsichtsbehörden der Minderheit, die also gegen eine pauschale Negierung von Microsoft 365 waren, stellten klar, dass auch sie bei Microsoft 365 noch erhebliche datenschutzrechtliche Verbesserungspotenziale sehen, gerade auch mit Blick auf die jüngste Entscheidung des Europäischen Gerichtshofs zu internationalen Datentransfers vom 16. Juli 2020 (C-311/18 – Schrems II). Sie lehnten diese ablehnung der Ablehnung u.a. auch damit ab, dass der Arbeitskreis Verwaltung, der ja zu diesen Microsoft 365 Bedenken gekommen war, seine Bewertung auf der Grundlage von Vertragsbestimmungen getroffen, die Microsoft zwischenzeitlich bereits zweimal überarbeitet hat. Man hat auf dieser Datenschutzkonferenz also "schnee von gestern" beratschlagt.

Die Auffassung der Minderheitsmeinung kann sich SPECTRUM nur anschließen, denn plakative Äußerung wie "Microsoft 365 ist nicht datenschutzkonform" sind hier der falsche Weg, eine differenzierte Betrachtung muss hier durchgeführt werden und eine SPECTRUM-Installation in einer Hybrid-Lösung zusammen mit SPECTRUM-ASP ist hiervon überhaupt nicht tangiert. SPECTRUM begrüßten aber, dass die Datenschutzkonferenz eine neue Arbeitsgruppe eingesetzt hat, um im Dialog mit Microsoft nachhaltige datenschutzgerechte Korrekturen zu erreichen und die letzten Unstimmigkeiten auszuräumen.

 

 

Fazit bzw. Zusammenfassung:

Was können Microsoft-Anwender also tun? Es wäre möglich darauf zu verzichten, Microsoft-Produkte einzusetzen und Software von anderen Herstellern einsetzen, nur es gibt kaum noch Alternativen .....

Ja – man könnte auch überlegen, das Internet wieder abzuschalten .....

Bei diesen Betrachtungen handelt es sich wohl sicherlich nur um eine theoretische Lösung, denn die Produkte von Microsoft sind in vielen Fällen heutiger Marktstandard und in anderen Software-Anwendungen integriert.

Microsoft hat angekündigt, dass es ab Ende 2024 die klassischen MS-Office-Produkte (zumindest für gehostete Serverlösungen) nicht mehr geben wird - also steht ein Umstieg an.

Alternativ könnten Microsoft-Kunden noch versuchen, Anpassungen an den Vertragsbedingungen von Microsoft zu erreichen. Den meisten Kunden fehlt hier aber der Verhandlungsspielraum hinsichtlich der Ausgestaltung der vertraglichen Grundlagen. Diese Option besteht wohl nur, wenn die europäischen Wettbewerbsbehörden und Datenschutzorganisationen mit Microsoft verhandeln. Festzustellen ist aber, dass bisher Microsoft dazu immer bereit war und laufend nachgebessert hat.

Die Einschätzung der Berliner, hessischen Datenschutzbehörden usw. mag sachlich vielleicht richtig sein. Tatsächlich hilft diese Erkenntnis dem einzelnen Unternehmen jedoch nicht. Wie Betriebe sich verhalten können, um die Anforderungen der EU-DSGVO umzusetzen, bleibt leider bei diesen pressetechnisch hochgeputschten Verlautbarungen oft völlig offen.

Die derzeitige verbliebene Rechtsunsicherheit im Hinblick auf eine Datenschutzkonforme Nutzung von Microsoft 365 ist absolut unbefriedigend. Das Produkt Microsoft 365 wird sicherlich nicht mehr vom Markt genommen. Viele Unternehmen wollen auch die Produkte aus Effizienzgründen einsetzt. Die deutsche Regierung und die EU sollten sich schnellstens mit Microsoft an einen Tisch setzen, um die letzten datenschutzrechtlichen Bedenken auszuräumen und ggfs. entsprechende technische, organisatorische oder vertragliche Änderungen herbeizuführen. Ein Profilierungskampf hilft hier nicht weiter. Microsoft hat in der letzten Zeit mehrfach die Bereitschaft signalisiert, notwendige Änderungen auch durchzuführen, um die volle Produkt-Akzeptanz zu erreichen.    

Um weitestgehend datenschutzkonform zu handeln, sollten Unternehmen und Kanzleien bis dahin beim Einsatz von Microsoft 365 jedenfalls die oben beschriebene Checkliste mit notwendigen Einstellungen für den datenschutzkonformen Einsatz von Microsoft 365 beachten (die SPECTRUM automatisch schon bei SPECTRUM-Installationen umsetzt und berücksichtigt).