Office 365 und die DSGVO
Die Microsoft-Pläne für die Deutsche Cloud 2.0
Foto: rafapress - shutterstock.com
Immer mehr Unternehmen nutzen Cloud-Anwendungen wie Office 365Office 365, denn sie gewähren ein hohes Maß an Flexibilität. Mitarbeiter können beispielsweise von überall auf E-Mails, Dokumente und Dateien zugreifen. Gerade die aktuelle "Corona-Krise" zeigt, dass durch solche Infrastrukturen etwa Home Office problemlos möglich ist. Allerdings bieten Cloud-AnwendungenCloud-Anwendungen gleichzeitig einige (datenschutz-) rechtliche Problemstellungen. Alles zu Cloud Computing auf CIO.de Alles zu Office 365 auf CIO.de
Bei Datenschützern stand MicrosoftMicrosoft bereits seit einiger Zeit wegen ihrer Cloud-Anwendungen in der Kritik. Letztes Jahr besserten die Redmonder in technischer Hinsicht nach, nun folgten die aktualisierten Bestimmungen für Onlinedienste (Online Service Terms, OST). Sie stehen seit Anfang 2020 allen kommerziellen Microsoft-Kunden zur Verfügung und versprechen mehr Transparenz über Datenverarbeitungen in der Cloud. Wir zeigen die wichtigsten Änderungen der OST auf. Alles zu Microsoft auf CIO.de
Hintergrund: Datenschutz-Folgenabschätzung aus den Niederlanden
2019 hatte das Niederländische Ministerium für Justiz und Sicherheit eine Datenschutz-Folgenabschätzung für Microsoft Office 365 in Auftrag gegeben. Dabei kam heraus, dass Office 365 nicht im Einklang mit der Datenschutzgrundverordnung (DSGVO) genutzt werden könne.
Kritisiert wurde dabei etwa, dass nicht transparent sei, wie Microsoft Daten verarbeite, und nicht geregelt werden kann, welche Diagnosedaten Office an den Konzern übermittelt. Des Weiteren nutze Microsoft die gesammelten Daten unverhältnismäßig intensiv für eigene Zwecke.
Zusätzlich sei es problematisch, dass Microsoft sich selbst als Auftragsverarbeiter einordnet. Die Datenschutz-Folgenabschätzung ergab, dass der Konzern in einigen Konstellation als gemeinsamer Verantwortlicher mit dem Kunden anzusehen sei. An einer entsprechenden Vereinbarung nach Art. 26 DSGVO fehlte es jedoch.
In den nachfolgenden Verhandlungen hat Microsoft diverse Zugeständnisse an die Behörde etwa durch technische Änderungen gemacht. Daraufhin wurde die Datenschutz-Folgenabschätzung überarbeitet und kam zu dem Ergebnis, dass nun eine datenschutzkonforme Nutzung von Office 365 ProPlus (Version 1905) als Installation möglich sei, sofern Anwender gewisse Konfigurationen vornehmen. Office als mobile Anwendung oder über Web-Zugang sei hingegen weiterhin nicht DSGVO-konform.
Update der OST
Daraufhin kündigte Microsoft im vergangenen November an, ihre OST an die geltenden datenschutzrechtlichen Bestimmungen, insbesondere die DSGVO, anzupassen. Die aktualisierten Bedingungen sollten laut dem Konzern die Vertragsänderungen widerspiegeln, mit dem niederländischen Ministerium für Justiz und Sicherheit, ausgehandelt wurden. Jedoch seien sie für die breite globale Kundenbasis angepasst. Das Update der OST sollte unter anderem dazu dienen, die datenschutzrechtliche Verantwortlichkeit von Microsoft bei gewissen Verarbeitungstätigkeiten klarzustellen.
Diesem Versprechen ist Microsoft Anfang 2020 nachgekommen und veröffentlichte im Januar seine neuen Datenschutzbestimmungen. Sie sind aus den eigentlichen OST herausgelöst und im "Anhang zu den Datenschutzbestimmungen für Microsoft-Onlinedienste" (englisch: "Online Service Data Protection Addendum", kurz "DPA") geregelt.
Neuverteilung der Verantwortlichkeiten?
Microsoft sieht sich selbst - wie bisher auch - grundsätzlich als Auftragsverarbeiter. Sie würden personenbezogene Daten in ihren Diensten für Unternehmen erheben und verwenden, um die von den Kunden angeforderten Online-Dienstleistungen für die von den Kunden vorgegebenen Zwecke zu erbringen. Dabei betont Microsoft, dass allein der Kunde die Daten verwalte und kontrolliere. Microsoft sei bei der Datenverarbeitung gegenüber dem Kunden weisungsgebunden. Die Weisungen ergeben sich abschließend aus dem Volumenlizenzvertrag mit dem Kunden sowie der Art und Weise, wie dieser die Funktionen der Onlinedienste nutzt und konfiguriert. Daher verarbeite Microsoft Daten mit Personenbezug, um ihre Dienste bereitzustellen, zu verbessern und Fehler zu beheben ausschließlich als Auftragsverarbeiter.
In ihrem Statement im November sagte Microsoft jedoch auch, dass sie für die Datenverarbeitung zu bestimmten administrativen und operativen Zwecken im Zusammenhang mit Cloud-Diensten wie Office 365 datenschutzrechtliche Verantwortlichkeit übernehmen. So ordnet sich Microsoft in dem DPA (stand: Januar 2020) als unabhängigen Verantwortlichen ein, sofern Daten für "legitime Geschäftstätigkeiten von Microsoft" verarbeitet werden (DPA Seite 6; für professionelle Dienstleistungen: Seite 15). Zu diesen Tätigkeiten zählen:
Abrechnungs- und Kontoverwaltung;
Vergütung (z. B. Berechnung von Mitarbeiterprovisionen und Partneranreizen);
interne Berichterstattung und Modellierung (beispielsweise Prognose, Umsatz, Kapazitätsplanung, Produktstrategie);
Bekämpfung von Betrug, Cyberkriminalität oder Cyberangriffen, die Microsoft oder Microsoft-Produkte betreffen könnten;
Verbesserung der Kernfunktionalität in Bezug auf Barrierefreiheit, DatenschutzDatenschutz oder Energieeffizienz; Alles zu Datenschutz auf CIO.de
Finanzberichterstattung und Einhaltung gesetzlicher Verpflichtungen (vorbehaltlich der im DPA beschriebenen Offenlegungsbeschränkungen).
Die geänderten Datenschutzbestimmungen sollen nach Angaben von Microsoft in erster Linie den Kunden zugutekommen, da sie Klarheit darüber schaffen, inwieweit Daten verwendet werden und wie Microsoft seiner Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO nachkommt. Dadurch werde sichergestellt, dass die Daten in einer datenschutzkonformen Weise behandelt werden.
Kein Profiling durch Microsoft - oder doch?
Laut Microsoft sollen Kunden- oder personenbezogene Daten grundsätzlich nicht für "Benutzer-Profiling, Werbung oder ähnliche kommerzielle Zwecke oder Marktforschung zur Entwicklung neuer Funktionen, Dienstleistungen oder Produkte oder zu anderen Zwecken" verwendet werden. Nach der DPA findet eine Verarbeitung zu diesen Zwecken dennoch statt, soweit die Anweisungen des Kunden dies gestatten. Daher muss der Kunde stets überprüfen, welche konkreten Konfigurationen er gewählt hat.
Wie bereits dargestellt, ergibt sich die dokumentierte Anweisung des Kunden aus dem Volumenlizenzvertrag sowie der Art und Weise, wie die Funktionen der Onlinedienste durch den Kunden genutzt und konfiguriert werden. Der Kunde sollte hier die Konfigurationen stets so datenschutzfreundlich wie nur möglich halten. Tipps dazu haben wir bereits in einem früheren Beitrag für Sie zusammengefasst.
Globaler Scope und Weiterentwicklung
Die aktualisierten OST sowie das DPA gelten für alle kommerziellen Microsoft-Kunden weltweit. Daher hat Microsoft nicht nur europäischen Anforderungen, sondern auch andere datenschutzrechtliche Bestimmungen, wie den California Consumer Privacy Act (CCPA) und U.S. Health Insurance Portability and Accountability Act (HIPAA) berücksichtigt.
Ferner erklärt Microsoft, dass sie das Feedback ihrer Kunden einholen wollen, um auf deren Basis ihre Dienste und die OST stetig weiterzuentwickeln. Daher seien sie bereit, ihre "technischen, rechtlichen und wirtschaftlichen Ressourcen auf die Umsetzung von Maßnahmen zu konzentrieren", die von den Kunden benötigt werden.
Die "Deutsche Cloud 2.0"
Darüber hinaus gab Microsoft im August 2018 bekannt, eine neue Version der "deutschen Cloud" einführen zu wollen. Die Idee ist, Kundendaten grundsätzlich in Rechenzentren innerhalb von Deutschland zu speichern. Dafür hat Microsoft lokale Rechenzentrumsregionen mit neuen Servern in Frankfurt und Berlin errichtet. Das Angebot richtet sich ausschließlich an geschäftliche Anwender. Zunächst galt die neue Rechenzentrumsregion lediglich für die Microsoft-Azure-Infrastruktur, seit dem ersten Quartal 2020 jedoch auch für Office 365.
Anders als bei der ursprünglichen deutschen Cloud werden die Rechenzentren jedoch durch einen Treuhänder, sondern durch Microsoft selbst betrieben. Damit besteht die Gefahr, dass Microsoft die Kundendaten aufgrund des CLOUD Acts an US-Behörden herausgeben muss. Bei der ersten deutschen Cloud bestand dieses Risiko durch die Zwischenschaltung des Treuhänders nicht. Darüber hinaus werden nach Aussagen von Microsoft nicht alle, sondern nur "bestimmte Daten" in Deutschland gespeichert und verarbeitet. Welche Daten dies konkret sind, bleibt unklar.
Ein weiterer Unterschied ist die geplante Anbindung der Rechenzentrumsregionen an das weltweite Microsoft-Netzwerk. Diese soll den Vorteil haben, dass der Kunde die Dienste von Microsoft vollumfänglich nutzen könne. Problematisch ist jedoch, dass dadurch Daten in die USA übermittelt werden können. Microsoft nutzt zwar die Standarddatenschutzklauseln der EU und ist Privacy-Shield-zertifiziert, jedoch stehen gerade beide auf dem Prüfstand vor dem EuGH. Solange das EuGH jedoch keine entgegenstehende Entscheidung trifft, kann Microsoft die Übermittlung personenbezogener Daten in die USA als Drittland weiterhin auf diese Garantien stützen.
Insgesamt lässt die "Deutsche Cloud 2.0" also einige Fragen offen. Dennoch kündigen einige Unternehmen bereits an, das Angebot von Microsoft nutzen zu wollen. Dazu gehören die Deutsche Bank, Deutsche Telekom und SAP.
Was muss jetzt beachtet werden?
Unternehmen sollten genau überprüfen, mit welchen konkreten Einstellungen sie Microsoft-Dienste wie Office 365 nutzen. Die Konfigurationen sollten möglichst datenschutzfreundlich gewählt werden. Darüber hinaus empfiehlt es sich, eine eigene Datenschutz-Folgenabschätzung durchzuführen. Dadurch kann gegenüber der zuständigen Datenschutzaufsichtsbehörde stets dokumentiert aufgezeigt werden, dass die Risiken ausreichend gewürdigt wurden. Hierfür bietet Microsoft selbst eine Hilfestellung an, die Informationen über Office 365 bereitgestellt. (jd)