Aktuelle DSGVO-Diskussionen um Microsoft 365 – Eine Einordnung

Thema: MS 365, Datenschutz

Florian Bobe & Maurice Grassee

Aktuelle DSGVO-Diskussionen um M365 – Eine Einordnung

Im August diesen Jahres widmeten wir uns mit diesem Beitrag bereits der öffentlichen Datenschutzdiskussion um Microsoft 365. Konkreter Anstoß war eine Stellungnahme Microsofts zur Datenschutzkonformität von Microsoft 365 und Microsoft Teams als Reaktion auf das Verbot von Microsoft 365 an Schulen in Baden-Württemberg.
In dieser Stellungnahme ließ Microsoft mitteilen, dass MS Teams und M365 sehr wohl datenschutzkonform sind und somit in der Privatwirtschaft sowie im öffentlichen Sektor eingesetzt werden kann.

Das neueste Kapitel der DSGVO-Diskussion

Als eine Folge der anhaltenden Datenschutzdiskussionen und Gesprächen mit den deutschen Datenschutzbehörden, veröffentliche Microsoft eine aktualisierte Vertragsanlage zum Datenschutz (Data Protection Addendum), welche Fragen wie „was passiert in der Cloud mit meinen Daten?“ oder „kann ich eigentlich Kundendaten nach z.B. BAFIN oder DSGVO in die Cloud bringen?“ klärt. Diese wiederum nahmen nun die Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) zum Anlass, um Microsoft 365 als nicht datenschutzkonform einzustufen – und löste damit ein großes Medieninteresse aus.
Auch eine erneute Stellungnahme Microsofts zu dieser Bewertung durch die DSK ließ nicht lange auf sich warten. In dieser bekräftigt Microsoft erneut, dass M365 die europäischen Datenschutzgesetze erfüllt und gar übertrifft.

Kritik an digitalisierungsfeindlicher Position

Diese neue Entwicklung führte jüngst auch zu größerer Beachtung in Fachkreisen und Medien. So befassten sich u.a. die FAZ (Paywall), Heise Online und t3n mit dem Thema und gaben einen Kommentar dazu ab.
Ein Kritikpunkt an der Entscheidung des DSK, der häufig angeführt wird, ist die nicht stattgefundene umfängliche Prüfung durch die DSK. Vielmehr stütze die DSK ihre Bewertung grundlegend auf das Data Protection Addendum, welches Microsoft im September aktualisierte. Eine ganzheitliche Prüfung hinsichtlich technischer Maßnahmen unter Berücksichtigung von Datenflüssen und Verschlüsselungen hat jedoch nicht stattgefunden.
Zudem gelte es auch Datenschutz im Kontext der DSGVO objektiv einzuordnen. Denn neben dem Datenschutz soll die DSGVO eben auch den freien Verkehr von Daten fördern und muss zudem mit anderen Rechten, wie der unternehmerischen Freiheit, Bildung und Wissenschaftsfreiheit in Einklang gebracht werden. Einen Vorrang oder ähnliches hat der Datenschutz somit nicht.
Auch bekannte IT-Juristen wie Christian Solmecke sehen in der Position des DSK eine “...digitalisierungsfeindliche Extrempositionen in ungeklärten Rechtsfragen...“. Ebenso herrschen in Europa geteilte Meinungen zum datenschutzkonformen Einsatz von Microsoft 365 wie beispielsweise die Datenschutzfolgenabschätzungen des niederländischen Justizministeriums oder des Europäischen Zentrums für die Prävention und die Kontrolle von Krankheiten zeigen.
Somit werden in naher Zukunft sehr wahrscheinlich noch weitere Kapitel über die Diskussion hinzukommen, die voraussichtlich mit einer Klärung auf EU-Ebene enden.

Was das für M365-Kunden bedeutet

Doch wie soll ich mich als künftiger und bestehender Microsoft 365 Kunde während dieser fortwährenden Diskussion verhalten?
Auch hier gilt es dem Thema konstruktiv zu begegnen, dem Datenschutz ausreichend Platz einzuräumen und diesen nicht auf die leichte Schulter zu nehmen. Denn bei der Zusammenarbeit mit einem Cloud Anbieter, gilt das Prinzip der geteilten Verantwortung, das wir als verantwortungsvoller Microsoft Partner gerne an dieser Stelle erläutern.

Das Prinzip der geteilten Verantwortung legt die Sicherheitsverpflichtung zwischen dem Cloud-Anbieter (z.B. Microsoft) und dem Anwender, also dem Unternehmen, fest. Beispielhaft orientieren wir uns hier an den Angaben des Cloud Standards Customer Council. Je nach Wahl des genutzten Cloud Models (Infrastructure (IaaS), Platform (PaaS) oder “Software as a Service”(SaaS)) steigt die Verantwortung des Nutzenden von SaaS über PaaS zu IaaS. Das hat zur Folge, dass zum Beispiel bei IaaS, der Cloud Anbieter also nur für den Schutz der Infrastruktur verantwortlich ist, auf der die bereitgestellten Dienste angeboten werden, nicht aber für die Datensicherung. Die Sicherheit der darauf betriebenen Infrastruktur, wie virtuelle Server und der darauf gespeicherten Daten, müssen demnach durch den Anwender sichergestellt werden. Bei einem SaaS Modell wie zum Beispiel Microsoft 365 ist der Anwender für den Schutz seiner Daten, Identitäten und Geräte verantwortlich, da er keinen Einfluss auf den Betrieb der Infrastruktur hat.

Auch hier gibt es Berührungspunkte zur DSGVO, sodass gemeinsam mit dem Betriebsrat u.a. der Zweck der Datenverarbeitung definiert werden muss, sprich die Datenverarbeitung über M365 für die Umsetzung einer Arbeitsanweisung des Arbeitgebers, um den unternehmerischen Erfolg nicht zu gefährden oder gar auszubauen. Denn trotz der Auslagerung der Aufgaben, so macht die DSGVO deutlich, liegt die Verantwortung für den Datenschutz gegenüber Betroffenen und Dritten beim Anwenderunternehmen!
Damit Sie als Kunde dieser Verantwortung gerecht werden, bietet Microsoft zum Beispiel einen DSGVO-Aktionsplan an, bei dessen Umsetzung wir Ihnen gerne behilflich sind.

Microsoft wird in Zukunft weiter daran arbeiten den Anforderungen des DSK nachzukommen und diese zu übertreffen. Das zeigen insbesondere die Bemühungen der letzten Jahre und die weiteren neuen Ankündigungen zum Thema DSGVO.
So bietet Microsoft zum 01. Januar 2023 seinen Kunden mit der Einführung einer “EU-Datengrenze" für Microsoft 365, Dynamics und Azure die Möglichkeit, dass alle Daten nur innerhalb der EU und der Europäischen Freihandelszone verarbeitet werden. In zwei weiteren Phasen sollen dann auch weitere Daten wie zum Beispiel aus dem technischen Support oder dem Logging in diese Datengrenze überführt werden. Diese weiteren Phasen sollen dann 2024 abgeschlossen sein. Laut Microsoft übertrifft man so die EU-Anforderungen und man wird weitere Berichte zum Thema Datenfluss veröffentlichen, um so der geforderten Transparenz des DSK nachzukommen.

Unser Fazit: Lösungsorientiert. Handeln.

Beide Positionen haben demnach gute und nachvollziehbare Argumente und wer schlussendlich Recht hat, werden wohl Gerichte entscheiden, die zumindest in einem anderen Beschluss zum Thema Microsoft 365 eine andere Auffassung haben als die Datenschutzbehörden (Beschluss vom 7. September 2022, Az. 15 Verg 8/22). Hier hatten die Richter des OLG Karlsruhe unter anderem entschieden, dass sich Unternehmen durchaus auf Aussagen zur DSGVO-Konformität von Cloud Anbietern wie Microsoft verlassen können und diese nicht von Ausschreibungen ausgeschlossen werden können.
Diese unklare Rechtslage im DSGVO-Kontext verpflichtet nach Ansicht vieler Kommentatoren zur Rücksichtnahme durch die umsetzenden Datenschutz-Behörden. Denn auch wenn Lösungen wie M365 zu datenschutzrechtlichen Bedenken führen, ist ebenfalls zu berücksichtigen, dass moderne und sicher konfigurierte Cloud Lösungen besser vor Angriffen auf Ihre Daten schützen, als viele auf einer eigenen Plattform betriebene Lösungen.
So ist der Einsatz von künstlicher Intelligenz (KI) zur Erkennung von Angriffen ein zentraler Baustein der Sicherheitslösungen von Microsoft 365. Ein adäquater Einsatz von KI für moderne Cybersicherheit auf einer eigenen Infrastruktur hingegen, ist eine nicht zu leistende Mammut-Aufgabe und demnach der Cloud-Lösung gegenüber im Nachteil.

All dies führt uns zu dem Fazit: Handeln Sie. Und handeln Sie lösungsorientiert.
Ein ungeprüfter und nicht ausreichend konfigurierter Einsatz von M365 ist in dieser unklaren Rechtslage nicht zu empfehlen.
Um einen DSGVO-konformen Einsatz zu ermöglichen ist es somit unerlässlich die notwendigen Konfigurationen und Sicherungsmaßnahmen zu kennen, gemeinsam zu erörtern und umzusetzen!

Dies ist keine einmalige Aufgabe, sondern eine dauerhafte und fortlaufende Tätigkeit, die wir für unsere Kunden mit unserem Evergreen-Prozess abbilden.
Gerne stellen wir Ihnen diesen Prozess und weitere relevante Schritte in einem persönlich Gespräch vor.

*Disclaimer: Dieser Text ist keine Rechtsberatung.