Die Cloud ist in der heutigen Zeit technisch nichts Neues, trotzdem tun sich rechtlich noch immer viele Fragen auf. Um es vorweg zu nehmen: Microsoft Office 365 kann unter bestimmten Voraussetzungen datenschutzkonform eingesetzt werden.
Der Inhalt im Überblick
Welche Anforderungen sind zu beachten?
In tatsächlicher Hinsicht muss zunächst geklärt werden, welche Daten überhaupt von Microsoft Office 365 verarbeitet werden sollen. Man dürfte sehr schnell zum Ergebnis kommen, dass hier personenbezogene Daten immer eine gewisse Rolle spielen, so dass die Vorschriften zum Datenschutz einzuhalten sind. Aus Unternehmenssicht sind jedoch nicht nur die personenbezogenen Daten zu schützen, sondern auch interne Dokumente, welche z.B. der Geheimhaltung unterliegen.
In einem weiteren Schritt müsste nun eine Risikoanalyse vorgenommen werden. Hierbei muss beurteilt werden, wie schutzwürdig die verarbeiteten Daten sind und welche Konsequenzen ein Verlust dieser Daten auslösen könnte. Im Rahmen dieser Risikoabwägung ist unter anderem zu beachten, über welche Geräte auf die Daten zugegriffen wird. Sollen etwa die Mitarbeiter über ihre privaten mobilen Geräte (Smartphone, Tablet, Notebook) auf die Dienste von Office 365 zugreifen können, stellen sich hier weitergehende Fragen zu dem Thema Bring Your Own Device (BYOD).
Auch Fragen zur Berechtigungsvergabe müssen beantwortet werden und in einem ausführlichen Berechtigungskonzept dokumentiert sein. Hierbei ist stets das „Need-to-know-Prinzip“ zu beachten.
Soweit in dem Unternehmen ein Betriebsrat vorhanden ist, bestehen mit großer Wahrscheinlichkeit auch Mitbestimmungsrechte des Betriebsrates, so dass entsprechende Betriebsvereinbarungen abgeschlossen werden müssen.
Datenschutzrechtliche Herausforderungen
Zunächst ist festzustellen, dass jedes Unternehmen mit Sitz in Deutschland, welches bei der Verarbeitung von personenbezogenen Daten einen Cloud-Dienst nutzt, datenschutzrechtlich die verantwortliche Stelle i.S.d § 3 Abs.7 BDSG bleibt. Dies bedeutet, dass das Unternehmen gegenüber den betroffenen Personen haftet, wenn die in der Cloud verarbeiteten personenbezogenen Daten verloren gehen oder missbraucht werden.
Datenschutzvereinbarung erforderlich
Wenn ein Unternehmen sich für die Cloud-Dienste von Office 365 entscheidet, besteht zwischen dem Unternehmen und Microsoft ein so genanntes Auftragsdatenverarbeitungsverhältnis. Diese sog. Auftragsdatenverarbeitung nach § 11 BDSG wird vom Gesetzgeber bezüglich der Übermittlung personenbezogener Daten an eine andere Stelle (Microsoft) privilegiert. Voraussetzung ist jedoch, dass die besonderen vertraglichen Anforderungen aus § 11 Abs. 2 BDSG eingehalten werden.
Weisungsbefugnis
Als wesentliches Merkmal setzt die Auftragsdatenverarbeitung voraus, dass das Unternehmen als Auftraggeber gegenüber Microsoft als Auftragnehmer weisungsbefugt hinsichtlich der Datenverarbeitung in der Cloud ist. Die Ausübung der Weisungen durch das Unternehmen erfolgt bei Web-Anwendungen in der Regel durch die Nutzung der Anwendung selbst und der entsprechenden Eingaben am Rechner, z.B. Löschen einer Datei, E-Mail, Kontakt usw.
Datenverarbeitung innerhalb der EU
Für den Fall, dass die datenverarbeitenden Rechenzentren eines Cloud-Anbieters innerhalb der EU stehen und die Datenverarbeitung ausschließlich dort stattfindet, genügt der Abschluss eines Vertrages nach § 11 BDSG.
Datenverarbeitung außerhalb der EU
Wenn aber eine Datenverarbeitung auch außerhalb der EU in datenschutzrechtlich „unsicheren Drittstaaten“, wie zum Beispiel den USA stattfindet, ist der Abschluss sog. EU Standardvertragsklauseln erforderlich. Diese dienen dazu, das Datenschutzniveau an das der EU anzupassen. Im April 2014 bestätigte die Artikel 29 Gruppe, dass die von Microsoft verwendeten Vertragsklauseln mit dem Standardvertrag der EU Vorschrift übereinstimmen.
Zwar kann auch eine Safe-Harbor-Zertifizierung zur Herstellung des entsprechenden Datenschutzniveaus vorgenommen werden. Wirklich zu empfehlen ist diese jedoch inzwischen nicht mehr, auch wenn die Gültigkeit des Safe-Harbor-Abkommens noch nicht aufgehoben wurde. Als Hauptkritikpunkt wird hier angeführt, dass es sich lediglich um eine Selbstzertifizierung handelt und damit eine effektive Kontrolle der Einhaltung datenschutzrechtlicher Vorgaben nicht gewährleistet ist.
Update: Datenübertragungen auf Grundlage von Safe Harbor Zertifizierungen sind nicht mehr zulässig, nachdem der Europäische Gerichtshof die Safe Harbor Entscheidung am 06. Oktober 2015 für ungültig erklärt hat.
Kontrollrechte
Für eine rechtmäßige Auftragsdatenverarbeitung in der Cloud ist es unabdingbar, dass dem Auftraggeber konkrete Kontrollrechte beim Auftragnehmer eingeräumt werden. Es liegt auf der Hand, dass Microsoft als Dienstleister wohl nicht durch eine Vor-Ort-Kontrolle durch einen Mitarbeiter des Auftraggebers kontrolliert werden kann. Eine Kontrolle der Einhaltung datenschutzrechtlicher Vorgaben kann aber auch durch die Vorlage von Zertifikaten, Gutachten oder Auditberichten unabhängiger Prüfer erfolgen.
Microsoft hat bei seinen Cloud-Diensten Office 365, Azure und Dynamics CRM Online die ISO/IEC 27018, einen internationalen Standard für Datenschutz in der Cloud umgesetzt. ISO/IEC 27018 ist der erste internationale Standard für Cloud-Dienste und ist erst im Jahr 2014 eingeführt worden. Er soll garantieren, dass personenbezogene Daten beim Einsatz der Cloud geschützt bleiben. Die Vorlage einer Bestätigung der Umsetzung dieses Standards kann durchaus als Umsetzung von Kontrollrechten verstanden werden.
Technische und Organisatorische Maßnahmen
Bei jeder automatisierten Datenverarbeitung sind entsprechende technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu implementieren. Hier sämtliche Zertifizierungen und Maßnahmen aufzuführen, die Microsoft ergriffen hat, würde zu weit führen. Aus diesem Grund sei auf die Ausführungen im TrustCenter von Microsoft verwiesen.
Besonders wichtig für die Datenverarbeitung in der Cloud sind Verschlüsselungsmechanismen und die Regelungen von Zugriffsrechten. Im April diesen Jahres wurde bekannt gegeben, dass Microsoft drei Funktionen plant, die den Administratoren und Nutzern mehr Kontrolle über ihre Informationen innerhalb von Office 365 geben.
- Abruf von Logs zu Aktionen in Exchange Online und Sharepoint Online und Visualisierung der Logs in anderen Anwendungen.
- Einführung von „LockBox“ – Einholung einer Einwilligung von Microsoft für den Zugriff auf die Nutzerdaten
- Verschlüsselung des Inhalts von E-Mails in Office 365.
Diese Funktionen sollen noch dieses Jahr erscheinen. 2016 soll zudem das Erstellen und Verwalten eigener Schlüssel für die Verschlüsselung durch den Nutzer folgen.
Ergebnis
Wenn alle genannten Anforderungen eingehalten werden, kann Microsoft Office 365 datenschutzkonform eingesetzt werden. Es muss jedoch immer darauf geachtet werden, dass der Nutzer die Tools, welche Microsoft zur Kontrolle der Daten bereitstellt, auch verantwortungsbewusst einsetzt.
Die konkreten Anforderungen bei der Umsetzung der diversen Office 365 Dienste müssen zudem immer im Einzelfall betrachtet werden. Ihr Datenschutzbeauftragter ist Ihnen dabei sicher behilflich.
@Dr. Datenschutz:
Der Einsatz von Office 365 in einer Private Cloud (innerhalb des eigenen Unternehmensnetzwerks) dürfte doch unproblematisch sein, oder?
Auf welcher Rechtsgrundlage kann man die Datenverarbeitung außerhalb der EU rechtfertigen? EU-Standardverträge werden ja bereit gestellt. Allerdings nichts gibt es keine Details zur ersten Stufe. Für nähere Ausführungen wäre ich sehr dankbar! Gibt es einen ADV von MS oder einen ergänzten Standardverträge? Können Sie mir vielleicht sagen, wo ich diese ggf finde? Danke!
Unter http://www.microsoftvolumelicensing.com/DocumentSearch.aspx?Mode=3&DocumentTypeId=31 finden Sie einige Vertragsdokumente.
Im Übrigen kann Ihre Frage nicht einfach beantwortet werden. Das hängt davon ab, wo die Systeme sich befinden, welcher Ansicht man folgt und welcher Kontext im konkreten Fall besteht.
Grundsätzlich kann man aber sagen: Sitzt der Auftragnehmer außerhalb der EU/EWR ist dieser nach herrschender Auffassung auf Grund der Rechtsprechung des Europäischen Gerichtshofes ebenfalls als Auftragsdatenverarbeiter i.S.d. § 11 BDSG zu sehen. Eine territoriale Eingrenzung, wie sie § 3 Abs. 8 BDSG vornimmt, erfolgt nicht und ist seitens des europäischen Gesetzgebers nicht vorgesehen. Auf Grund dessen bedarf es keinerlei weiteren Rechtsgrundlage für die Weitergabe der personenbezogenen. Im Gegensatz dazu regelt § 3 Abs. 8 BDSG, dass der Auftragnehmer außerhalb der EU/EWR doch als Dritter anzusehen sei, so dass eine Rechtsgrundlage vorliegen muss. Diese muss dann im Einzelfall begutachtet werden, ob § 32 oder § 28 BDSG oder eine Einwilligung als Rechtsgrundlage zulässig sind.
Also wenn ich diese Kriterien an Office 365 anlege, komme ich zu dem Schluss, dass ich es nicht datenschutzkonform einsetzen kann. Weisungsbefugnis gegenüber MS? Auskunftstrechte und Löschungsprotokolle? Transparente Informationen über den exakten Speicherort der Daten? BDSG konformer ADV? Fehlanzeige. MS betreibt zwar eine massive Marketing Kampagne und versucht Unternehmen davon zu überzeugen, dass sie das erste US Unternehmen seien, das sich europäischem Datenschutzrecht unterwirft, aber leider ist es nicht mehr als das – eine Marketing Kampagne. Für Anwender in Deutschland in jedem Fall mindestens problematisch. Mit einem eigenen Rechenzentrum in bspw. FFM und ohne das globale Data Swapping von heute könnte man anfangen, sich damit auseinander zu setzen.