Handreichung MS 365 – Nur wenig Hilfe für Verantwortliche

Vor kurzem haben sich 7 Datenschutzbehörden (u.a. BayLfD, HBDI, LfD Niedersachsen und LDI NRW) zusammengesetzt, um die sog. „Handreichung“ für den Einsatz des Cloud-Dienstes Microsoft Office 365 (Handreichung MS 365) zu erarbeiten. Hintergrund ist, dass die Datenschutzkonferenz (DSK) im November 2022 öffentlich gemacht hatte, dass die Vereinbarung zur Auftragsverarbeitung, die Microsoft seinen Kunden zur Verfügung stellt, so gar nicht ihren Vorstellungen von Datenschutz entspricht. Die 10 Monate später veröffentlichte Handreichung verspricht den Verantwortlichen Hilfe. Doch hält sie dieses Versprechen auch?

Handreichung als Ergebnis gescheiterter Gespräche

Die DSK hatte bereits Ende 2020 um Gespräche mit Microsoft gebeten. Ziel waren zeitnahe „datenschutzgerechte Nachbesserungen“ und die Anpassung der Regeln des Drittlandstransfers (Konferenzprotokoll DSK 2020, TOP 9). Daraufhin wurde die Arbeitsgruppe DSK „Microsoft-Onlinedienste“ gegründet (AG DSK). Insgesamt kam es zu umfangreichen Arbeitsgesprächen (14 mehrstündige Videokonferenzen zwischen den deutschen Bundesbehörden sowie der Geschäftsleitung von Microsoft).

Diese Gespräche wird man wohl als gescheitert bewerten müssen, denn letztendlich fiel der abschließende Bericht der AG DSK negativ aus. Im November 2022 kam diese zu dem Ergebnis, dass die Standardvereinbarung nicht den Anforderungen des Art. 28 Abs. 3 DSGVO entsprechen.

Der AG DSK wünschte sich vor allem Nachbesserungen die, „den Gegenstand der Auftragsverarbeitung nicht nur umfassend, sondern auch spezifisch und so detailliert als möglich beschreiben“ (Bewertung AG DSK 2022, S. 4)

Die Verantwortlichen müssen nun Microsofts Fehler ausbaden

Die nun 10 Monate später veröffentlichte Handreichung der 7 Aufsichtsbehörden hat also eine lange Vorgeschichte. Ursprünglich gab es den ernst gemeinten Versuch, gemeinsam mit Microsoft eine Lösung zu finden. Die Formulierung der wesentlichen Ergebnisse der AG DSK lässt Enttäuschung erkennen: „Insgesamt konnte die Arbeitsgruppe in den vom AK Verwaltung benannten Kritikpunkten nur geringfügige Verbesserungen erreichen.“

Nun wird der Appell an die Kunden von Microsoft gerichtet. Schon in der Vorbemerkung der Handreichung wird deutlich, dass den Aufsichtsbehörden zufolge die Problematik um den gescheiterten Einigungsversuch auch die Kunden von Microsoft etwas angehen soll (Handreichung MS 365, S.1). Die Kunden sind aber nicht die richtigen Ansprechpartner für die strukturellen Datenschutzprobleme bei Microsoft.

Rechenschaftspflicht als Ausgangspunkt der Problematik

Juristischer Dreh- und Angelpunkt der Problematik rund um den Einsatz von Microsoft 365 ist dabei die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Der zufolge muss der Verantwortliche muss die Einhaltung der sog. Verarbeitungsgrundsätze aus Art. 5 Abs.1 nachweisen können.

„Verantwortliche müssen jederzeit in der Lage sein, ihrer Rechenschaftspflicht nach Art. 5 Abs.2 DSGVO nachzukommen“ (Bewertung AG DSK 2022, S. 3)

Die AG DSK bemängelte im Oktober 2022 in diesem Zusammenhang vor allem, dass Microsoft nicht vollumfänglich offenlegt, welche Verarbeitungen im Einzelnen stattfinden. Es werde nicht deutlich, welche Verarbeitungen noch im Auftrag des Kunden und welche zu eigenen Zwecken stattfinden. Bei der Erfüllung eben dieser Rechenschaftspflicht soll nun die Handreichung helfen.

Rechtliche Unsicherheit bei der Nutzung des AVV

Die DSK kritisiert (was inzwischen bekannt sein dürfte), dass der Auftragsverarbeitungsvertrag (AVV oder englisch DPA), den Microsoft anbietet, nicht sicherstellt, dass personenbezogene Daten rechtmäßig verarbeitet werden.

Es fällt schon in der Wortwahl der Handreichung auf (die Aufsichtsbehörden nennen diese Vereinbarung „Standard“-AVV, Handreichung MS 365, S.1), dass die Aufsichtsbehörden anscheinend davon ausgehen, es gäbe eine wirkliche Option auf eine individuelle Vereinbarungen mit Microsoft.

Die bisherigen Unsicherheiten sollen nun beseitigt werden. Es wird aber zu viel auf die Verantwortlichen abgeladen.

Kurzüberblick der wichtigsten To-Do’s

Im Anschluss an die Vorbemerkung werden zwei wesentliche To-Do’s blau hervorgehoben. Neben einer Zusatzvereinbarung zum DPA wird von den Aufsichtsbehörden vorgeschlagen, dass die Verantwortlichen, wo möglich, den Datenschutz selbst in die Hand nehmen oder in deren Worten: „sich auch mit allen weiteren Aspekten befassen, die über eine reine Vertragsgestaltung der AV-Vereinbarung hinausgehen“ (Handreichung MS 365, S. 3). So soll z.B. den Rechtsunsicherheiten bei dem Technischen Datenschutz von Microsoft durch eigene Technische und Organisatorische Maßnahmen begegnet werden.

Danach werden 7 wesentliche Handlungshinweise für die Verantwortlichen als Kurzüberblick vorgestellt (S. 3 – 7), welche sich auf den DPA beziehen und auf die jeweilige Randnummer verweisen. Auf S. 8 – 21 werden die Handlungshinweise ausführlicher begründet und erläutert. Es gibt auch hier blau hervorgehobene To-Do-Punkte, die die Umsetzung erleichtern sollen.

Zusatzvereinbarung als Lösung aller Probleme

Der Vorschlag der Aufsichtsbehörden zur Beseitigung der rechtlichen Unsicherheiten ist der Abschluss einer Zusatzvereinbarung zwischen dem Verantwortlichen und Microsoft zum DPA. Diese soll nach Vorstellung der Aufsichtsbehörden Vorrang gegenüber sämtlichen entgegenstehenden Vertragstexten haben. Diese Zusatzvereinbarung enthält viele Zugeständnisse, zu denen Microsoft sich bereit erklären müsste. Bisherige Kritikpunkte der DSK sollen beseitigt werden.

1. Handlungshinweis: Festlegung von Art und Zweck der Verarbeitung, Art der personenbezogenen Daten
   Microsoft soll u.a. verpflichtet werden, die Art und Zwecke der Verarbeitung personenbezogener Daten sowie Art der personenbezogenen Daten zu benennen. Es soll eine konkrete Auflistung aller Kategorien personenbezogener Daten und Betroffenen mit Angaben zur Art und zu den Zwecken der Verarbeitung, und zwar geordnet nach den einzelnen genutzten Funktionen der Anwendung(en), bereitgestellt werden. Kommt Ihnen bekannt vor? Das liegt daran, dass Microsoft dafür von der AG DSK schon in der Bewertung im Oktober letzten Jahres kritisiert wurde. Es wurde bemängelt, dass keine signifikanten Nachbesserungen in der Vertragsgestaltung hinsichtlich der Festlegung von Arten und Zwecken der Verarbeitung erreicht wurden (Abschlussbericht AG DSK, Rn. 168 – 300). Die ursprünglich an Microsoft gerichtete Empfehlung haben jetzt also die Kunden umzusetzen. Daneben werden weitere Zugeständnisse gefordert.
2. Handlungshinweis: Umgang mit der Verarbeitung von Microsoft zu eigenen Geschäftszwecken
   Microsoft soll seine geschäftliche Praxis endlich offenlegen. Verlangt wird eine konkrete(re) Benennung der „eigenen Geschäftszwecke Microsofts“ sowie der für die jeweiligen einzelnen Zwecke verarbeiteten Kategorien personenbezogener Daten. Derartige Präzisierungen müssen die Verantwortlichen von Microsoft erfragen.
3. Handlungshinweis: Weisungsbindung, Offenlegung verarbeiteter Daten, Erfüllung rechtlicher Verpflichtungen
   Es sollen Nachbesserungen bzgl. der Regelungen zu der Weisungsbindung geben. Daneben soll festgelegt werden, dass eine Offenlegung der Nutzerdaten durch Microsoft nur aufgrund gesetzlicher Notwendigkeiten erfolgen darf. Daneben wird den Verantwortlichen empfohlen, ihre Basiskontaktinformationen nach Möglichkeit zu beschränken.

Die anderen Handlungshinweise betreffen eine von Microsoft vorzunehmende Konkretisierung der Datenverarbeitung im Rahmen Umsetzung der Technischen und Organisatorischen Maßnahmen (4. Handlungshinweis). Bisweilen bemängeln die Aufsichtsbehörden, dass nicht deutlich wird, welche Maßnahmen in Verbindung mit welchen Kategorien personenbezogener Daten zur Sicherstellung der Sicherheit genutzt werden. Daneben sollen Anpassungen, Kürzungen und Konkretisierungen der vertraglichen Löschfristen und Löschprozesse vorgenommen werden (5. Handlungshinweis). Microsoft soll mehr Informationen über den Einsatz von Unterauftragsverarbeitern übermitteln (6.Handlungshinweis). Es gibt auch noch weitere Hinweise/Empfehlungen (7. Handlungshinweis) betreffend „One-Premises-Lösung“ (Betrieb von Microsoft auf eigenen IT-Strukturen) und BYOD und den Einsatz in Bildungseinrichtungen.

Appell an Microsoft „verpackt“ als Hilfestellung für die Praxis

Zusammenfasend lässt sich sagen, dass es den einzelnen Vertragspartnern kaum gelingen wird, die gewünschten Zusatzvereinbarungen gegenüber Microsoft durchzusetzen. Es besteht die berechtigte Annahme, dass mit Microsoft schwer zu verhandeln sein wird. Dessen scheinen sich auch die Aufsichtsbehörden bewusst, wenn diese eher zögerlich schreiben, dass es den Verantwortlichen obliege, „alle ihnen zur Verfügung stehenden Möglichkeiten zu nutzen, um auf datenschutzkonforme Vereinbarungen mit Microsoft hinzuwirken und eine datenschutzkonforme Nutzung zu ermöglichen“ (Handreichung MS 365, S. 2).