(10.12.2022)
Sehr viele Unternehmen nutzen Microsoft 365 (M365). Es bestand dabei schon immer eine gewisse Rechtsunsicherheit, ob der Dienst datenschutzkonform genutzt werden kann. Hintergrund ist, dass personenbezogene Daten in die USA übermittelt werden und somit einem höheren Risiko ausgesetzt sind. Zudem ist nicht ganz transparent, zu welchen weiteren eigenen Zwecken Microsoft die Daten verarbeitet. Wir haben schon mehrfach dazu informiert und die Risiken bisher als vertretbar eingestuft.
Nun haben die deutschen Datenschutz-Aufsichtsbehörden einen Beschluss veröffentlicht. Demnach seien verantwortliche Stellen (also auch Ihr Unternehmen, wenn Sie Microsoft-Dienste nutzen) nicht in der Lage, einen Nachweis zu erbringen, dass M365 rechtmäßig eingesetzt wird.
Dieser Beschluss gilt nur für Deutschland. Er ist umstritten und wird auf verschiedenen Ebenen diskutiert. Aber er ist in der Welt und es könnte zum Beispiel in der Folge passieren, dass Aufsichtsbehörden Unternehmen zu ihrer Nutzung von M365 befragen.
Kommt bei Ihnen M365 zum Einsatz? Wenn ja, sollten Sie untersuchen und dokumentieren, durch welche konkreten, zusätzlichen, individuellen Schutzmaßnahmen die personenbezogenen Daten in M365 bei Ihnen geschützt werden. Bloße Verweise auf Microsoft-Verträge und -Dokumente sollen laut Behörden nicht ausreichend sein.
Beispiele für zusätzliche Schutzmaßnahmen:
- wenn in M365 keine besonders sensiblen Daten verarbeitet werden (wie z.B. Krankheitstage, Schwerbehinderten-Angaben, Religionszugehörigkeit)
- wenn personenbezogene Daten nur verschlüsselt gespeichert und verarbeitet werden (z.B. mittels „Microsoft Purview“)
- wenn nicht benötigte Zusatzfunktionen in M365 deaktiviert sind
- wenn die Daten durch Microsoft vorzugsweise innerhalb der EU verarbeitet werden („EU Data Boundary“)
Allerdings: Ob eine solche Dokumentation ausreichend ist, wird sich erst später herausstellen. Wir sind jedenfalls der Ansicht, dass es besser ist, sie zu haben, als nichts in der Hand zu haben.
Zur Klarstellung: Die Nutzung von US-Diensten ist nicht per se unzulässig (vgl. OLG Karlsruhe, Vergabekammer-Beschluss vom 07.09.2022). Die Unternehmen haften jedoch für den rechtmäßigen Einsatz. Was rechtmäßig ist und was nicht, wurde noch nicht durch Gerichte geklärt. Es ist gut möglich, dass die Aufsichtsbehörden hier über das Gesetz hinausschießen. Um das festzustellen, müsste jedoch eine Klage eingereicht und durch ein Gericht entschieden werden. Und das dürfte dauern.
In der Zukunft könnte sich das Risiko etwas reduzieren: Nächstes Frühjahr soll in der EU das neue Data Privacy Framework in Kraft treten und damit eine bessere Rechtsgrundlage schaffen. Außerdem könnte Microsoft seine Formulierungen in Texten und Verträgen weiter präzisieren, so wie es in der Vergangenheit bereits öfter der Fall war.
Zusammenfassung:
Die Anforderungen der Behörden an einen Einsatz von Microsoft 365 sind derzeit sehr hoch. Auch wenn derzeit vielleicht noch nicht unmittelbar Bußgelder verhängt werden, könnte Ihr Unternehmen dennoch versuchen, das Risiko zu reduzieren, indem zusätzliche, individuelle Schutzmaßnahmen geprüft und dokumentiert werden.
Bei grundlegend neuen Nachrichten zu diesem Thema halten wir Sie selbstverständlich auf dem Laufenden.