zur Übersicht

Microsoft 365: Schon wieder verboten!

Großer Aufruhr um Microsoft 365. Die Nutzung wurde der EU-Kommission untersagt, wenn sie nicht bestimmte Auflagen erfüllt. Was steckt dahinter und was bedeutet das für Verantwortliche in der Privatwirtschaft, die Microsoft 365 einsetzen? Ist Microsoft 365 schon wieder verboten?

Hintergrund

Der Europäische Datenschutzbeauftrage (EDSB) hat in einer Pressemitteilung vom 11.03.2024 erklärt, dass die Europäische Kommission durch die Verwendung von Microsoft 365 gegen mehrere Vorschriften des Datenschutzrechts verstoßen würde. Kernvorwürfe betreffen dabei die unzureichende Ausgestaltung der Auftragsverarbeitungsvereinbarung mit Microsoft und den Drittlandtransfer bzw. diesbezüglich mangelnde Garantien. Der EDSB ist das zuständige Gremium für die Datenschutzaufsicht über die Organe, Einrichtungen und sonstigen Stellen der EU. Die Zulässigkeit der Verarbeitung personenbezogener Daten durch diese Stellen richtet sich nicht nach der DSGVO, sondern nach der Verordnung (EU) 2018/1725. Diese weist allerdings eine hohe Deckungsgleichheit mit der DSGVO auf.

Die Untersuchung des EDSB nahm ihren Anfang im Mai 2021, motiviert durch das EuGH-Urteil im Fall Schrems II. Gegenstand der Untersuchung war dabei vorrangig der Interinstitutionelle Lizenzvertrag der EU-Kommission mit Microsoft („intererinstitutional licencing agreement concluded with Microsoft Ireland“ – „ILA 2021“) aus dem Jahr 2021 samt der darin enthaltenen Auftragsverarbeitungsvereinbarung.

Konkrete Beanstandungen

Im Hinblick darauf sieht der EDSB insbesondere folgende Verstöße der Europäischen Kommission beim Einsatz von Microsoft 365:

  • Es sei nicht bestimmt, welche Arten personenbezogener Daten zu welchen Zwecken unter dem ILA 2021 erhoben werden.
  • Es sei nicht konkret festgelegt worden, für welche Zwecke Microsoft diese Daten nutzen darf.
  • Es fehle an einer Vereinbarung, die festlegt, dass Microsoft diese Daten nur auf ausdrückliche Weisung der Kommission verarbeiten dürfe.
  • Es sei nicht festgelegt worden, welche Arten personenbezogener Daten zu welchen konkreten Empfängern in Drittländern übermittelt werden dürfen.
  • Die offenbar vereinbarte Verwendung von EU-Standardvertragsklauseln sei zudem mangelhaft von Transfer Impact Assessments (TIA) und Zweckprüfung umrahmt worden.

Ein weiterer relevanter Kritikpunkt des EDSB ist, dass es in Auftragsverarbeitungsvereinbarungen nicht zulässig sein soll, Datenverarbeitungen durch den Auftragsverarbeiter zuzulassen, wenn dies das Recht von Nicht-EU-Staaten vorsieht. Dass ist auch unter der DSGVO nicht zulässig und ein häufig auftretendes Problem bei der Verhandlung entsprechender Vereinbarungen mit Dienstleistern, welche global agieren.

Als Stichtag für seine Feststellungen nennt der EDSB den 12. Mai 2021. Gleichzeitig sollen die Verstöße bis zum Erlass seiner Entscheidung angedauert haben.

Für die Behebung der Mängel wurde der Europäischen Kommission eine Frist bis zum 9. Dezember 2024 auferlegt. Bis zu diesem Zeitpunkt muss die Europäische Union sämtliche Datenströme aussetzen, die sich aus der Nutzung von Microsoft 365 ergeben, bei denen die Übermittlung von Daten in Drittländer vorgenommen werden, die nicht durch einen Angemessenheitsbeschluss abgedeckt sind.

Außerdem muss die Kommission alle Datenverarbeitungen im Zusammenhang mit der Nutzung von Microsoft 365 mit dem Datenschutzrecht in Einklang bringen und dies gegenüber dem EDSB nachweisen. Hierfür soll ein umfangreiches Transfer Mapping von der Europäischen Kommission durchgeführt werden.

Konsequenzen für Unternehmen

Wer die Entwicklungen der Datenschutzmaßnahmen bei Microsoft verfolgt hat, wird hiervon überrascht sein und wissen, dass Microsoft aufgrund der massiven Kritik von z. B. deutschen Aufsichtsbehörden seine Auftragsverarbeitungsvereinbarung in den letzten Jahren mehrfach angepasst hat, zuletzt im Januar 2024. Betroffene Personen, Datenkategorien und die eingesetzten Subunternehmer werden nun umfassender beschrieben. Auch die 2024 sukzessive eingeführte EU-Datengrenze (EU Data Boundary) soll das Datenschutzniveau von europäischen Verantwortlichen, die MS 365 nutzen, durch ausschließliche Nutzung EU-ansässiger Rechenzentren erhöhen.
Inwieweit diese Entwicklungen sich auch in den speziellen Verträgen zwischen Microsoft und der EU-Kommission niedergeschlagen haben, ist uns nicht bekannt. Auf Unternehmen, welche Microsoft 365 unter Verwendung der neuesten Service-Verträge nutzen, können diese Feststellungen aus den vorgenannten Gründen nicht 1:1 übertragen werden. Die Deutsche Datenschutzkonferenz ist derzeit mit einer Prüfung dieser aktuellen Dokumente befasst, wobei Ergebnisse noch nicht vorliegen.

Ohnehin haben die Feststellungen des EDSB keine unmittelbaren Auswirkungen auf Verantwortliche in den EU-Mitgliedstaaten. Der EDSB hat weder direkte Aufsicht über Unternehmen, noch verfügt er über Weisungsbefugnisse gegenüber den Aufsichten der Mitgliedstaaten.

Nicht unterschlagen möchten wir zudem, dass der EDSB der Kommission hier eine sehr lange Frist für die Umsetzung der Maßnahmen einräumt. Dies trägt, nach Auffassung des EDSB „auch der Notwendigkeit Rechnung, die Fähigkeit der Kommission, ihre Aufgaben im öffentlichen Interesse zu erfüllen oder die der Kommission übertragenen Befugnisse auszuüben, sowie die Notwendigkeit, der Kommission eine angemessene Zeit einzuräumen, damit sie die vorgesehene Aussetzung der Datenströme umzusetzen und die Verarbeitung der Daten in Einklang mit der Verordnung (EU) 2018/1725 bringen kann“. Zumindest dies eine einigermaßen erfreuliche, pragmatische Einstellung des EU-Datenschützers.

To Dos für Verantwortliche

Gleichzeitig ist es aus unserer Sicht vertretbar, von der sehr restriktiven Auffassung des EDSB (und auch der deutschen Aufsichtsbehörden) abzuweichen. Voraussetzung dafür ist allerdings, dass Verantwortliche ihre Microsoft 365 Tennants möglichst datenschutzgerecht konfigurieren. Hierzu gehört z. B. die Nutzung der EU-Datengrenze und die Vornahme spezifischer Einstellungen für die Nutzer. So sind für viele Unternehmen bei weitem nicht alle möglichen Services sinnvoll nutzbar und an vielen Stellen können Funktionalitäten so eingeschränkt werden, dass möglichst wenig Daten von Beschäftigten und Dritten erhoben werden. All dies muss dokumentiert und auf dem neuesten Stand gehalten werden.

Das ist zwar keine leichte Aufgabe dank der permanenten Weiter- und Neuentwicklung von Microsoft-Produkten, den dynamischen technischen Updates und der fortlaufenden Aktualisierung der umfassenden von Microsoft bereitgestellten Datenschutzdokumentation. Mit einer systematischen Herangehensweise ist das aber zu leisten.

Falls Sie Unterstützung bei der Prüfung Ihrer Dokumentation oder technischen Konfigurationen benötigen, helfen wir gerne mit einem Datenschutz-Check Ihrer Microsoft 365-Umgebung. Bei Bedarf erstellen wir alle nötigen Dokumente.

Und abonnieren Sie gerne unseren Newsletter, um keinen Datenschutz-News zu verpassen!