Kommentar: DSK – MS365. Warten auf Godot – Übermittlung personenbezogener Daten in Dritt-Staaten

Das EuGH hat 2020 hat im sogenannten Schrems II Urteil die Übermittlung personenbezogener Daten auf Basis des Rechtsabkommen „Privacy Shield“ als rechtswidrig eingestuft und somit die Übermittlung der Daten in die USA quasi untersagt, wenn nicht adäquate Garantien für die Sicherheit personenbezogener Daten jenseits von „Privacy Shield“ gegeben werden können. Die für die Verarbeitung der Daten verantwortliche Stelle muss dies durch gesonderte Sicherheitsmaßnahmen und vertraglichen Regelungen sicherstellen.

Die EU-Kommission hat im Juni 2021 durch die Vorlage neuer verpflichtender Standard-Vertragsklauseln (SCC – Standard Contractual Clauses) einen scheinbaren Weg aufgezeigt die in vielen Anwendungsfällen nicht zu leistende Sicherheitsgarantie damit sicherstellen zu können. Begleitend ist eine zu erstellendes TIA (Transfer Impact Assessment) als Risikobewertung für die Offenlegung/Einsichtnahme durch Dritte vorzulegen: Welches Risiko besteht für den Betroffenen, dass durch US behördliche Zugriffe personenbezogene Daten offengelegt werden müssen (z.B. FISA, patriot act …).

Datenschutzkonferenz causa Microsoft 365

Ende November 2022 hat die Datenschutzkonferenz (gemeinsame Gremium der deutschen Datenschutzaufsichtsbehörden) in einer Erklärung den Einsatz von MS 365 als nicht datenschutz-konform bewertet: https://datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365_zusammenfassung.pdf

Diese Debatte ist schon Jahre alt und verwundert u. a., dass andere Softwareanbieter bislang ohne vergleichbare Bewertung von der DSK verhandelt worden sind. Salesforce, Oracle, Google, Amazon (AWS) u.v.a. sind nicht auf dem Radar der deutschen Aufsichtsbehörden.

Es handelt sich hier um keine direkte Untersagung des Einsatzes von MS 365 in Unternehmen, es ist jedoch mit Risiken verbunden. Und zwar mit föderal bedingt unterschiedlichen Risiken.

 

Stellungnahme zur datenschutzrechtlichen Bewertung von Microsoft 365 durch die DSK

„Heute haben die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) Bedenken zu der Vereinbarkeit von Microsoft 365 (M365) mit den Datenschutzgesetzen in Deutschland und der EU geäußert.

Wir teilen die Position der DSK nicht. Wir stellen sicher, dass unsere M365-Produkte die strengen EU-Datenschutzgesetze nicht nur erfüllen, sondern oft sogar übertreffen. Unsere Kunden in Deutschland und in der gesamten EU können M365-Produkte weiterhin bedenkenlos und rechtssicher nutzen.

Die von der DSK geäußerten Bedenken berücksichtigen die von uns bereits vorgenommenen Änderungen nicht angemessen und beruhen auf mehreren Missverständnissen hinsichtlich der Funktionsweise unserer Dienste und der von uns bereits ergriffenen Maßnahmen. Wir sind auch der Meinung, dass der Bericht der DSK wichtige rechtliche Änderungen nicht berücksichtigt, die einen größeren Schutz der Privatsphäre für den Datenverkehr zwischen der EU und den USA bieten werden. Weitere ausführliche Informationen zu den Bedenken der DSK sind hier zu finden. Im Interesse größerer Transparenz würden wir begrüßen, wenn der vollständige Bericht mit den an die DSK von Microsoft übermittelten detaillierten Antworten und Kommentierungen, aber mit angemessenen Schwärzungen, veröffentlicht würde.

Während des gesamten Überprüfungsprozesses haben wir eng mit der DSK zusammengearbeitet und auf die vorgebrachten Bedenken mit mehreren weitreichenden Änderungen reagiert. Beispiele hierfür sind ein verbessertes Meldeverfahren für den Wechsel von Unterauftragsverarbeitern und weitere Klarstellungen in Bezug auf die Verarbeitung personenbezogener Daten durch Microsoft für durch die Bereitstellung der Dienste an Kunden veranlasste Geschäftstätigkeiten von Microsoft. Microsoft hat vollumfänglich mit der DSK kooperiert, und obwohl wir mit der Bewertung der DSK nicht einverstanden sind, möchten wir verbleibende Bedenken ausräumen.

Wir nehmen uns die Forderung der DSK nach mehr Transparenz zu Herzen. Während unsere Transparenzstandards schon jetzt die der meisten anderen Anbieter in unserem Sektor übertreffen, verpflichten wir uns, noch besser zu werden. Insbesondere werden wir im Rahmen unserer geplanten EU-Datengrenze im Sinne der Transparenz weitere Dokumentationen über die Datenströme unserer Kunden und die Zwecke der Verarbeitung bereitstellen. Wir werden auch mehr Transparenz über die Standorte und die Verarbeitung durch Unterauftragsverarbeiter und Microsoft Mitarbeiter außerhalb der EU schaffen.

Unsere Anstrengungen zum Schutz der Daten unserer Kunden sind marktführend. Wir bieten eine Vielzahl von Instrumenten und Lösungen an, die unseren globalen Kunden mehr Kontrolle über ihre Daten geben, zum Beispiel:

  • Microsoft 365 Advanced Data Residency: Dieses Angebot richtet sich an Kunden, die eine genauere Kontrolle über den Speicherort ihrer M365-Daten wünschen und erweitert unsere Verpflichtungen zur Speicherung von Kundendaten im Ruhezustand.
  • EU-Datengrenze: Diese Maßnahme ergänzt die bestehenden lokalen Speicher- und Verarbeitungsverpflichtungen und geht über das gesetzlich vorgeschriebene Maß hinaus. Sie wird den Datenfluss aus der EU in andere Länder erheblich reduzieren. So wird es dem öffentlichen Sektor und Unternehmenskunden in der EU und der gesamten Europäischen Freihandelsassoziation ermöglicht, Kundendaten in der Region zu verarbeiten und zu speichern.
  • Microsoft Cloud for Sovereignty: Dieses Angebot basiert auf der Microsoft Public Cloud und erlaubt es, ein maßgeschneidertes Produkt für Kunden des öffentlichen Sektors zu schaffen und gleichzeitig die rechtlichen Anforderungen an Datenhoheit einzuhalten.

Microsoft unterstützt auch das EU-US Data Privacy Framework, das unseren Kunden wichtige Rechtssicherheit und mehr Klarheit über den Datenschutz bei der transatlantischen Übermittlung von Daten bieten wird. Die Vereinigten Staaten haben ihre Gesetze in Bezug auf die Überwachung von Daten geändert, sind wichtige neue Datenschutzverpflichtungen eingegangen und haben einen neuen Rechtsbehelfsmechanismus geschaffen. Wir sehen einem positiven Angemessenheitsbeschluss der Europäischen Kommission im Rahmen der DS-GVO im Jahr 2023 entgegen.

Unternehmenskunden von Microsoft 365, die Fragen zum DSK-Bericht haben, können sich gerne an unser Kundenteam in Deutschland wenden.“

(Quelle: https://news.microsoft.com/de-de/microsoft-erfuellt-und-uebertrifft-europaeische-datenschutzgesetze/)

 

Kritik an der DSK

Von vielen stellen gab es heftige Kritik am Vorgehen der DSK. Eine realitätsnahe Handlungsempfehlung können wir nicht sehen. Auf den Web-Sites der deutschen Aufsichtsbehörden waren bei Stichproben keine umsetzbaren Stellungnahmen zu finden. Da in der DS-GVO als Design-Fehler im Art. 25 nicht die Hersteller von IT-Systemen, sondern nur die verantwortlichen Stellen bedacht worden sind, wird der Konflikt zwischen Aufsichtsbehörden und Herstellern auf dem Rücken von Unternehmen ausgetragen. Dies führt noch mehr zur Ablehnung der DS-GVO – ein Bärendienst aus unserer Sicht. Exemplarisch eine Stellungnahme auf heise.de:

„In der Praxis greifen die Datenschutzaufsichtsbehörden daher auf eine zweite Eskalationsstufe zurück, treten in ihrem Zuständigkeitsbereich an Unternehmen oder öffentliche Stellen heran und versuchen über Umwege ihre Interpretation der DSGVO gegenüber dem Hersteller durchzusetzen. Dies führt zu einer enormen Mehrbelastung bei den mal mehr und mal weniger zufällig ausgewählten Verantwortlichen, an denen die Datenschutzaufsichtsbehörden ein Exempel statuieren möchten. Es folgen Einzelfallprüfungen – und insbesondere bei Verantwortlichen, die kein Budget für die gerichtliche Durchsetzung ihrer Rechte haben, Frust und Resignation. Dies betrifft neben Start-ups, Kleinunternehmen und Selbstständigen, insbesondere auch Schulen und andere kleine öffentliche Stellen. Statt Applaus für flächendeckende Verbesserungen beim Datenschutz ernten die Datenschutzaufsichtsbehörden in Folge vor allem Unverständnis.“

(Quelle: https://www.heise.de/meinung/Microsoft-365-Microsoft-bewegt-sich-die-Datenschuetzer-mauern-unverhaeltnismaessig-7370920.html)

Fazit

Datenschutz wir damit in eine Ecke gestellt und kann so nicht die Wirkung entfalten, die im 21. Jahrhundert, in der digitalen Welt, erforderlich wäre. Das OLG Karlsruhe hat in einem Urteil (Beschluss vom 7.9.2022, Aktenzeichen: 15 Verg 8/22) zu Recht den „Ausschluss aus Vergabeverfahren wegen Einbindung der luxemburgischen Tochtergesellschaft eines US-amerikanischen Unternehmens als Hosting-Anbieterin“ untersagt:

„Anders als die Antragstellerin meint, musste nicht allein die Tatsache, dass die A. ein Tochterunternehmen eines US-amerikanischen Konzerns ist, die Antragsgegnerinnen an der Erfüllbarkeit des Leistungsversprechens zweifeln lassen. Die Antragsgegnerinnen mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.“
( Quelle: https://oberlandesgericht-karlsruhe.justiz-bw.de/pb/,Lde/10537397/?LISTPAGE=7373457)

Ein Urteil das Mut macht …

Eine Unterstützung nach dem Schrems II Urteil können wir in der DSK-Erklärung nicht erkennen. Vielmehr werden Unternehmen unter Generalverdacht gestellt und die Empfehlung doch nur mehr europäische Software zu verwenden ist in den meisten Fällen nicht anwendbar.

Zudem sollte die DS-GVO endlich, wie im Gesetz festgelegt, evaluiert und angepasst werden. Diese n Bewertung wurde 2022 wegen Corona aufgeschoben – bis zum heutigen Tag. Speziell die Anpassung des o. a. Art. 25 DS-GVO wäre für Unternehmen und deren Datenschutzbeauftragte notwendig: Die Verantwortung für die geforderte Sicherheit der Verarbeitung muss zuerst der Hersteller garantieren, bevor Anwender in Haftung genommen werden.

Was ist für Unternehmen nun aktuell zu tun? Die EU-Kommission verhandelt mit der US-Administration bereits seit 18 Monaten über ein neues Abkommen. Das EU-US-Data Privacy Framework. Dieses Abkommen kann unter Umständen im Q1/2023 wirksam werden. Mal sehen was das dann das EuGH und Max Schems dazu sagen werden …

Unternehmen müssen mit den Ihnen zur Verfügung stehenden Mitteln

  • IT-Systeme nach Empfehlungen etwa des BSI härten – also die Weitergabe von Telemetriedaten unterbinden.
  • den Ort der Verarbeitung innerhalb der EU/EWT oder in einem angemessenen sicheren Land wählen
  • eventuell vorhandene Daten-Treuhand-Modelle berücksichtigen
  • zusätzliche Sicherheitsmaßnahmen ergreifen (Verschlüsselung mit eigenen Schlüsseln)
  • vertraglich mit den aktuellen SCC inkl. TIA das Risiko bewerten bzw. zu minimieren.

Letztendlich haben Unternehmen beim Einsatz von MS 365 aktuell ein Datenschutz-Risiko, dass nicht wegdiskutiert werden. Es stellt sich hier die Frage, welches Risiko hier höher zu bewerten ist: Ordnungswidrigkeit durch eine Aufsichtsbehörde oder Datenabfluss in einem Drittstaat.

 

google fonts Abmahnungen – und kein Ende (Update)

Aktuell sind zwei Rechtsanwalts-Kanzleien damit beschäftigt  Web-Site Betreiber, auf deren Seiten google fonts von google US-Servern beim Aufruf einer Seite geladen werden, abzumahnen. Inwieweit diese Praxis der Massenabmahnungen mit dem Standesrecht dieser Berufsgruppe zu vertreten ist erscheint uns fraglich. Die Anwälte sehen beim Laden der google fonts die Übermittlung der IP-Adresse der Besucher als gefährlich für die Besucher der Web-Site an. Hier spielt das berühmte Schrems II EuGH Urteil eine Rolle (Az.: C-311/18, Rechtsunsicherheit bei der Verarbeitung personenbezogener Daten in den USA) in Verbindung mit einem Urteil des LG München zur Verwendung von google fonts (Az.: 3 O 17493/20). Was ist hier aus Sicht des Datenschutzes zu tun?

[…]

Aktualisierte FAQ zu Cookies und Tracking des LfDI Baden-Württemberg

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat ein gut lesbares Dokument zum Thema Cookies und Tracking veröffentlicht. Diese beziehen sich auf Web-Sites, aber auch für sonstige Telemedien wie Smartphone- und Tablet-Apps, PC-Software oder Geräte aus dem Bereich des Internets der Dinge (Internet of Things, IoT).

Downlaod der FAQ zu Cookies und Tracking

 

Orientierungshilfe für Anbieter von Telemedien

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) haben zum 20. Dezember 2021 eine Orientierungshilfe für Anbieter von Telemedien veröffentlicht. Durch das Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) zum 1. Dezember 2021 und damit verbundene Änderungen im Telekommunikationsgesetz (TKG) und im Telemediengesetz (TMG) in Kraft ergeben sich Änderungen zum Schutz personenbezogener Daten.

Damit wurde Art. 5 Abs. 3 der EU ePrivacy-Richtlinie in deutsches Recht umgesetzt (§ 25 TTDSG). Das TTDSG ist für jene „Endeinrichtungen“ anzuwenden, die wie folgt definiert werden: „ … direkt oder indirekt an die Schnittstelle eines öffentlichen Telekommunikationsnetzes angeschlossene Einrichtung zum Aussenden, Verarbeiten oder Empfangen von Nachrichten; sowohl bei direkten als auch bei indirekten Anschlüssen kann die Verbindung über Draht, optische Faser oder elektromagnetisch hergestellt werden; bei einem indirekten Anschluss ist zwischen der Endeinrichtung und der Schnittstelle des öffentlichen Netzes ein Gerät geschaltet.“

Dies trifft auf PC, Smartphones, IoT-Systeme, Web-Sites, VoiP, Smart-TVs etc.  zu.  Die vorgelegte Handreichung liefert auf 32 Seiten einen Überblick der Rechtslage für Entwickler, Betreiber und Anwender von den genannten Systemen.

Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 (OH Telemedien 2021)

Java-Sicherheitslücke ‚Log4Shell‘ aus Sicht der DS-GVO

Java-Sicherheitslücke ‚Log4Shell‘ aus Sicht der DS-GVO

Die weit verbreitete Java-Protokollierungsbibliothek ‚Log4j‘ ist Bestandteil vieler Software-Produkten auf Java-Basis. Durch Schwachstelle „Log4Shell“ (CVE-2021-44228) können Angreifer über das Internet eigenen Programmcode einschleusen und ausführen. Dadurch sind viele Dienste und IT-Systeme bedroht.

Was ist hier aus Sicht des Datenschutzes zu beachten? Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat dazu kurzfristig eine hilfreiche Handreichung veröffentlicht: „Das Dokument soll Verantwortlichen und deren betriebliche Datenschutzbeauftragte wesentliche datenschutzrechtlich gebotene Abhilfemaßnahmen und weiterführende Links zur Erstanalyse bei eigener Log4Shell-Betroffenheit aufzeigen.“

Die Handreichung wird laufend aktualisiert und bietet wertvolle Hinweise zu einer extrem kritischen Situation.

Link: Handreichung zur Log4Shell-Erstanalyse