Im März 2024 hat der Europäische Datenschutzbeauftragte seine Entscheidung über die Untersuchung der Nutzung von Microsoft 365 durch die Europäische Kommission erlassen. Neben einer Bewertung der Datenschutzkonformität des Einsatzes von Microsoft 365 durch die Kommission enthält die Entscheidung mehrere Abhilfemaßnahmen. In diesem Beitrag wollen wir einen Blick in die relevantesten Aspekte dieser Entscheidung werfen.
Der Inhalt im Überblick
- Was ist Microsoft 365?
- Der EDSB prüft Einsatz von MS 365 durch die EU-Kommission
- Die DSK hatte die mangelnde Transparenz bereits kritisiert
- Verstoß gegen den Zweckbindungsgrundsatz
- Mindestinhalt von Auftragsverarbeitungsvertrag
- Unzureichende Garantien für die Übermittlung in Drittländer
- Die vom EDSB verhängten Abhilfemaßnahmen
- Webinar zum Thema
Was ist Microsoft 365?
Der Software-Riese hat durch das Fenster geschaut und schnell viele neue Geschäftsmöglichkeiten erkannt. Neben dem Windows-System bietet das Unternehmen seit jeher zahlreiche Software-Anwendungen zu unterschiedlichen Zwecken an, die von der Arbeitswelt nicht mehr wegzudenken sind. Viele dieser Anwendungen werden mittlerweile cloudbasiert auf der Grundlage eines SaaS-Lizenzmodells angeboten und sind mit riesigen Mengen an Datenschutzverarbeitungen verbunden. Dabei befinden sich die zugrunde liegende Infrastruktur, Software und die personenbezogenen Daten im Rechenzentrum vom Microsoft. Aus großer Kraft folgt allerdings große Verantwortung bzw. zahlreiche datenschutzrechtliche Pflichten. Insofern müssen die Verantwortlichen den Datenschutz immer im Blick haben, wenn sie bei der Nutzung von Microsoft 365 keine Datenschutzverstöße begehen wollen.
Der EDSB prüft Einsatz von MS 365 durch die EU-Kommission
Auch die Organe und Einrichtungen der Europäischen Union müssen den Datenschutz einhalten. Für die Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Europäischen Union gilt die Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018. Gemäß Artikel 52 Abs. 3 der Verordnung 2018/1725 ist der Europäische Datenschutzbeauftragte zuständig für die Überwachung und Durchsetzung der Anwendung der Bestimmungen der Verordnung bei der Verarbeitung personenbezogener Daten durch ein Organ oder eine Einrichtung der Union. Zu diesem Zweck verfügt er über zahlreiche Untersuchungs- und Abhilfebefugnisse, die in Art. 58 der Verordnung 2018/1725 aufgelistet sind.
Im Mai 2021 leitete der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski, der durch einen Beschluss des Europäischen Parlaments und des Rates vom 6. Dezember 2019 für eine Amtszeit von fünf Jahren ernannt wurde, eine Untersuchung über die Nutzung von Microsoft 365 durch die Europäische Kommission ein. Der Europäische Datenschutzbeauftragte überprüfte im Rahmen dieser Untersuchung, ob die Europäische Kommission die vom EDSB im Juli 2020 veröffentlichten Empfehlungen zur Nutzung von Microsoft-Produkten und -Diensten einhält. Nun liegt die Entscheidung des EDSB vor: laut dem EDSB hat die Europäische Kommission bei der Nutzung von Microsoft 365 gegen mehrere Datenschutzvorschriften der Datenschutz-Grundverordnung für EU-Institution verstoßen.
Die DSK hatte die mangelnde Transparenz bereits kritisiert
Ausgehend vom „Datenschutznachtrag zu den Produkten und Services von Microsoft“ hatte die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) am 24.11.2022 die Datenschutzbestimmungen für Microsoft-Onlinedienste (Data Processing Addendum; im Folgenden „DPA“) bereits bewertet. Sie wies darauf hin, dass beim Einsatz von Microsoft 365 sich aus den Datenschutzbestimmungen von Microsoft Schwierigkeiten ergeben, da Microsoft nicht konkretisiert, welche Datenverarbeitungen zu welchen Zwecken erfolgen. Insofern wird von Microsoft nicht dargelegt, welche Verarbeitungen im Auftrag vom Kunden und welche zu eigenen Zwecken stattfinden. Insofern stellte die DSK fest, dass der Datenschutznachtrag vom 5. September 2022 nicht als Grundlage für den Nachweis der Datenschutzkonformität der damit zusammenhängenden Datenverarbeitungen genügt. Ausführlichere Informationen finden Sie in unserem Beitrag „Datenschutz & Microsoft 365: DSGVO-konformer Einsatz möglich?“.
Verstoß gegen den Zweckbindungsgrundsatz
Nach dem Grundsatz der Zweckbindung in Art. 4 Abs. 1 lit. b der Verordnung 2018/1725 (Art. 5 Abs. 1 lit. b DSGVO) müssen personenbezogene Daten für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Demnach müssen die für die Verarbeitung Verantwortlichen genau definieren, welche Arten personenbezogener Daten zu welchen Zwecken erhoben werden sollen. Der Europäische Datenschutzbeauftragte hat in seiner Entscheidung festgestellt, dass die Kommission in ihrem Lizenzvertrag mit Microsoft und dem dazugehörigen Auftragsverarbeitungsvertrag nicht hinreichend festgelegt hat, welche Arten personenbezogener Daten zu welchen spezifizierten Zwecken bei der Nutzung von Microsoft 365 erhoben werden sollen.
Der zwischen den Parteien geschlossene Datenverarbeitungsvertrag enthält eine Definition der verschiedenen Datenarten, die im Zusammenhang mit Microsoft 365 verarbeitet werden:
- „Customer Data“,
- „Diagnostic Data“,
- „Service Generated Data“,
- „Professional Services Data“,
- „Support Data“ und
- „Functional Data“.
Nach Angaben der Kommission und von Microsoft enthalten alle diese Datenarten personenbezogene Daten. Der EDSB weist jedoch in seiner Entscheidung darauf hin, dass nur ein kleiner Teil der Arten von personenbezogenen Daten, die in den Anwendungsbereich der „Service Generated Data“ fallen, der Kommission oder dem EDSB gegenüber offengelegt wurden. In diesem Zusammenhang bemängelt der EDSB, dass die meisten personenbezogenen Datenarten in den zwischen den Parteien geschlossenen Verträgen nicht spezifiziert sind. Aus diesem Grund stellt der EDSB fest, dass die Kommission dadurch gegen Art. 4 Abs. 1 lit. b der Verordnung 2018/1725 verstoßen hat.
Mindestinhalt von Auftragsverarbeitungsvertrag
Wenn eine Datenverarbeitung im Auftrag eines Verantwortlichen im Sinne von Art. 3 Nr. 8 der Verordnung 2018/1725 (Art. 4 Nr. 8 DSGVO) erfolgt, dann müssen der Verantwortliche und der Auftragsverarbeiter einen Auftragsverarbeitungsvertrag mit dem in Art. 29 der Verordnung 2018/1725 (Art. 28 DSGVO) vorgeschriebenen Inhalt abschließen. In diesem Zusammenhang weist der EDSB jedoch darauf hin, dass die Zwecke der Datenverarbeitung, die im Zusammenhang mit der Nutzung der Online- und Professional-Dienstleistungen verfolgt werden, nicht ausreichend spezifiziert wurden, so dass Microsoft hier solche Zwecke der Verarbeitung weitgehend selbst bestimmt hat. Daraus folgt, dass Microsoft personenbezogene Daten vorliegend verarbeitet hat, ohne ausreichend detaillierte Weisungen der Kommission erhalten zu haben. Dies stellt einen Verstoß gegen Art. 29 Abs. 3 der Verordnung 2018/1725 (Art. 28 Abs. 3 DSGVO) dar.
Unzureichende Garantien für die Übermittlung in Drittländer
Darüber hinaus stellt der EDSB fest, dass die Kommission es versäumt hat, angemessene Garantien zu bieten, um sicherzustellen, dass personenbezogene Daten, die außerhalb der EU/des EWR übermittelt werden, ein im Wesentlichen gleichwertiges Schutzniveau wie in der EU/dem EWR genießen.
Die vom EDSB verhängten Abhilfemaßnahmen
Infolge der festgestellten Verstöße gegen das Datenschutzrecht hat der EDSB der Europäischen Kommission mehrere Abhilfemaßnahmen auferlegt:
- Mit Wirkung vom 9. Dezember hat der EDSB die Kommission angewiesen, alle aus der Nutzung von Microsoft 365 resultierenden Datenströme an Microsoft und seine verbundenen Unternehmen und Unterauftragsverarbeiter in Ländern außerhalb der EU/des EWR, die nicht durch einen Angemessenheitsbeschluss abgedeckt sind, auszusetzen, und die wirksame Aussetzung nachzuweisen.
- Darüber hinaus hat der EDSB entschieden, die Kommission anzuweisen, die Verarbeitungen, die aus der Verwendung von Microsoft 365 resultierenden Datenverarbeitungen bis zum 9. Dezember 2024 in Einklang zu bringen und dies nachzuweisen. Hierzu soll die Kommission eine Bestandaufnahme der Übermittlungen vornehmen und sicherstellen, dass sämtliche Übermittlungen in Drittländer dazu dienen, die Ausführung von Aufgaben zu ermöglichen, die in die Zuständigkeit des für die Verarbeitung Verantwortlichen fallen. Zudem soll ein Auftragsverarbeitungsvertrag mit dem vorgeschriebenen Mindestinhalt abgeschlossen werden und angemessene technische und organisatorische Maßnahmen sollen ergriffen werden.
Webinar zum Thema
Wenn Sie Ihr Fachwissen für den Unternehmensalltag weiter vertiefen möchten, besuchen Sie doch unser Webinar „Microsoft 365 sicher gestalten“. Dort wird Ihnen gezeigt, welche wesentlichen Punkte beachtet werden müssen. Wir freuen uns, Sie begrüßen zu dürfen!
Mittwoch, den 10.07.2024
von 09:30 bis 12:00 Uhr
Donnerstag, den 05.09.2024
von 09:30 bis 12:00 Uhr
Dienstag, den 10.12.2024
von 09:30 bis 12:00 Uhr
Das Kleingruppenformat ist sehr praxisbezogen gestaltet und bietet anhand eines fiktiven Szenarios viele Best-Practice-Beispiele für die Umsetzung in Ihrem Unternehmen.
Ich, in meiner Rolle als IT Entscheider, finde die Richtung gut, das Ergebnis aber nicht konkret genug. Wenn es eine kleine Anwendung wäre, die wir einkaufen, würden wir unter Umständen von dem zuständigen LfDI abgemahnt werden. 365 ist aber so groß und wichtig das sich niemand traut es klar auszusprechen und so Firmen Rechtssicherheit zu geben. Das ganze hin und her zum Thema DSGVO konform finde ich nervig. Viele setzen es ein, auch wenn 9er Daten verarbeitet werden. Nicht weil die Rechtssicherheit vorhanden ist, sondern weil klar ist das die Kritik nicht umgesetzt wird und es in einem Verbot enden wird. unabhängig vom DS sehe ich aber auch die Abhängigkeit, in der wir stecken. Was muß MS machen das es hier zu einem klaren Verbot kommt? Reichen regelmäßige Screenshots mit Texterkennung aus oder braucht es mehr?
Update:
Wie der Golem heute schreibt:
„Die EU-Kommission will unbedingt bei Microsoft-Produkten bleiben. Deswegen will sie den Europäischen Datenschutzbeauftragten (EDSB) mit einer bereits am 17. Mai 2024 eingereichten Klage dazu zwingen, seinen Beschluss vom Frühjahr dieses Jahres „für nichtig zu erklären“. .(..) Patrick Breyer, der ehemalige Spitzenkandidat der Piratenpartei im Europawahlkampf 2019, machte auf die Klage in einem Beitrag auf X aufmerksam. Von der Leyens EU-Kommission habe den EU-Datenschutzbeauftragten verklagt, „weil sie die datenschutzwidrigen Microsoft-Produkte Office und Cloud Suite weiter nutzen will“.“