Datenschutzaufsichtsbehörde: FAQs zu Microsoft Office 365

Datenschützer bundesweit werden hellhörig, wenn Aufsichtsbehörden sich mal wieder zu Microsoft 365 äußern. So wie im Falle des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, der aktuelle „FAQs zu Microsoft Office 365“ auf seine Internetpräsenz gestellt hat. Wir bewerten diese FAQs und schauen nach, welche neuen Erkenntnisse sie bereithalten.

Ende der Duldung von Microsoft Teams an Schulen

Veranlassung zu diesen FAQs dürfte vor allem das „Aus“ für die Videokonferenzsoftware MS Teams an Schulen in Rheinland-Pfalz gegeben haben. Dieses war zuletzt in den Medien verkündet worden. Bildungsministerium und Datenschutzaufsichtsbehörde des Landes hatten die Nutzung von MS Teams aufgrund der Corona-Pandemie und der erst 2021 erfolgten Einführung des „Schulcampus Rheinland-Pfalz“ vorübergehend geduldet. Mit Anfang des nächsten Schuljahres (Herbst 2022) dürfen Schulen die Microsoft-Software-Teams aber nicht mehr für Videokonferenzen nutzen.

Der Landesdatenschutzbeauftragte Dr. Kugelmann verweist darauf, dass die Mehrheit der Schulen den Umstieg auf andere Systeme bereits vollzogen hätten. So wie etwa auf die Open-Source-Anwendung Big Blue Button, die auch von Schulen in zahlreichen anderen Bundesländern genutzt wird. Lediglich 228 von 1600 Schulen in Rheinland-Pfalz würden noch MS Teams verwenden.

FAQs mit Schwerpunkt Drittlandstransfer

„Was ist problematisch beim Einsatz von MS 365?“ So lautet die erste von sieben Fragen des Fragenkatalogs aus Rheinland-Pfalz. Und die Antwort stellt vor allem auf den Transfer von personenbezogenen Daten in die USA ab und die damit einhergehende Problematik, dass diese Daten dort „unter rechtlichen Bedingungen verarbeitet werden, die nicht dem europäischen Datenschutzniveau entsprechen“.

Auch die beiden folgenden Fragen („Warum reicht die von Microsoft angebotene Option, Daten auf europäischen Servern zu verarbeiten, für einen datenschutzkonformen Betrieb nicht aus?“ und „Warum stellt der US-amerikanische CLOUD-Act ein Datenschutzproblem dar?“) adressieren die typischen Probleme des Drittlandstransfers in die USA.

Dies tun sie allerdings in einer kurzen und für den interessierten (aber nicht hoch spezialisierten) Leser durchaus verständlichen Form. Zum Verständnis der Problematik können wir die Lektüre der FAQs daher nur empfehlen. Oder Sie werfen einen Blick unseren Beitrag zu Drittlandstransfers.

„Datenschutzkonformer Einsatz von Microsoft Office 365 denkbar“

Die Frage, ob ein datenschutzkonformer Einsatz von Office 365 möglich ist, beschäftigt die Datenschutzwelt (uns eingeschlossen) schon lange. Aus aktueller Sicht des Landesdatenschutzbeauftragten Rheinland-Pfalz scheint ein datenschutzkonformer Betrieb von MS 365 theoretisch möglich. Hierfür spricht jedenfalls die Formulierung der vierten Frage, die da lautet: „Unter welchen Voraussetzungen ist ein datenschutzkonformer Einsatz von Microsoft Office 365 denkbar“.

Die Antwort bleibt dann – obwohl ausführlich – leider etwas vage. Einerseits und das ist die erste große Einschränkung, sind die dort beschriebenen Voraussetzungen „exemplarisch für den Schulbereich“ (wir erinnern uns an den Kontext der Veröffentlichung). Was das für privatwirtschaftliche Unternehmen an Abweichungen bedeuten kann, bleibt offen.

Zum anderen listet diese Frage ganze zehn Voraussetzungen auf, „unter denen ein Einsatz von Microsoft Office 365 datenschutzrechtlich zulässig sein kann“. Es ist allerdings nicht klar, ob die Aufzählung dergestalt verstanden werden soll, dass alle zehn Voraussetzungen zugleich erfüllt sein müssen, um Datenschutzkonformität zu erreichen oder in welchem Verhältnis sie sonst zueinanderstehen.

Technische Lösungsansätze – und ihre Schwierigkeiten

Bei diesen Voraussetzungen handelt es sich jedenfalls fast ausschließlich um technische Ansätze, die zu verfolgen sind, etwa um eine Speicherung auf Infrastrukturen außerhalb der EU zu verhindern. Andere „Voraussetzungen“ zielen darauf ab, den Telemetriedatenverkehr zu reduzieren oder Daten über vorgeschaltete Schutzmaßnahmen zu anonymisieren, bevor sie an Microsoft gehen. Von der Zielrichtung her ist dies überaus sinnvoll.

Allerdings wird (u.a.) gefordert, eine Übermittlung personenbezogener Telemetriedaten durch eine Filterung der Internetzugriffe über eine entsprechende eigene Infrastruktur des Verantwortlichen zu verhindern. Über Einstellungen der eigenen Firewall derartige Zugriffe auszuschließen, dürfte aber tatsächlich nicht ganz so einfach sein.

Wesentlich simpler erscheint da der Rückgriff auf eine entsprechende MS 365-Lizenz, die derartige Einstellungsmöglichkeiten zur Deaktivierung des Telemetriedatenverkehrs beinhaltet. Auch dies sieht der Fragenkatalog im Übrigen vor.

Insgesamt lässt sich jedoch bei einigen der genannten Voraussetzungen fragen, ob sie praktisch überhaupt sinnvoll umsetzbar sind.

Hilfestellung hinsichtlich Telemetriedaten

In seiner sechsten Frage gibt der LfDI Rheinland-Pfalz noch ein paar praktische Hinweise dazu, wie der Telemetriedatenverkehr technisch-administrativ eingeschränkt werden kann. Und er stellt einige Links zur Microsoft-Dokumentation zur Verfügung. Das kann man durchaus als „Datenschutz-as-a-service“ loben. Auch wenn die konkrete Umsetzung dem ein oder anderen möglicherweise nur mit fachkundiger Unterstützung möglich sein wird.

Datenschutzthemen bei MS 365: Mehr als nur Drittlandstransfer

Zusammenfassend lässt sich sagen: Die FAQs des LfDI Rheinland-Pfalz sind hilfreich und bieten eine gute Basis, um sich als Verantwortlicher dem Thema MS 365 anzunähern. Das gilt insbesondere auch für die praktischen Hinweise hinsichtlich technischer Umsetzungen zum Schutz personenbezogener Daten.

Allerdings fokussieren sie sich stark auf die mit dem Drittlandstransfer verbundenen Probleme. Die Nutzung von MS 365 stellt Unternehmen aber auch anderweitig vor datenschutzrechtliche Herausforderungen. So gibt es auch organisatorisch einiges zu beachten, etwa die erforderliche Einbeziehung eines Betriebsrates (Stichworte: Erforderliche Rechtsgrundlage und Transparenz der Datenverarbeitung), die Etablierung eines hinreichenden Berechtigungskonzepts oder die Sicherstellung der Löschung von Daten im Rahmen der Nutzung von MS 365.

Viel Arbeit kommt in der Umsetzung auch auf die Systemadministratoren zu: Sie haben anhand gewisser Einstellungen bzw. der Implementierung entsprechender Gruppenrichtlinien Datenschutz und IT-Sicherheit unter einen Hut zu bringen.

Exkurs: Alles neu durch das EU Data Boundary Program?

Aber abschließend noch einmal zurück zur allseits geliebten Drittlandsthematik:

Microsoft hatte Mitte 2021 eine neue Strategie hinsichtlich einer quasi ausschließlichen Datenspeicherung in der EU, verkündet, das EU Boundary Program. Hiernach soll – zu Ende 2022 – die Speicherung fast aller Daten, die Microsoft bei Nutzung (u.a.) von Microsoft 365 verarbeitet, ausschließlich auf Servern in der EU erfolgen. Dies umfasst auch die bisher noch in die USA transferierten Telemetriedaten. Zudem soll die Gewährung von Support aus dem europäischen Raum heraus verstärkt werden. Auch bei Support-Zugriffen aus dem außereuropäischen Ausland soll durch Verwendung sog. Virtual Machines gewährleistet werden, dass die Daten immer in der EU verbleiben.

So gut das auf den ersten Blick aussehen mag, bleibt der auch vom LfDI thematisierte Umstand eines potenziellen Zugriffs von US-Behörden damit weiterhin bestehen. Trotzdem ist es sicher ein wichtiger Schritt, dass die Datenströme in die USA weiter reduziert werden können.

Webinar zum Thema

Wie die Datenströme bei der Nutzung von MS 365 im Einzelnen aussehen und wo weitere datenschutzrechtliche und IT-sicherheitsrechtliche Hürden bestehen und wie Sie diese meistern können, berichten wir Ihnen gerne auch persönlich.

Wenn Sie Ihr Fachwissen in diesem speziellen Rechtsgebiet für den Unternehmensalltag weiter vertiefen möchten, dann besuchen Sie doch unser Webinar zu „Microsoft 365 sicher gestalten“.

Das Kleingruppenformat ist sehr praxisbezogen gestaltet und bietet viele Best-Practice-Beispiele für die Umsetzung in Ihrem Unternehmen.