Kommentar: DSK – MS365. Warten auf Godot – Übermittlung personenbezogener Daten in Dritt-Staaten

Das EuGH hat 2020 hat im sogenannten Schrems II Urteil die Übermittlung personenbezogener Daten auf Basis des Rechtsabkommen „Privacy Shield“ als rechtswidrig eingestuft und somit die Übermittlung der Daten in die USA quasi untersagt, wenn nicht adäquate Garantien für die Sicherheit personenbezogener Daten jenseits von „Privacy Shield“ gegeben werden können. Die für die Verarbeitung der Daten verantwortliche Stelle muss dies durch gesonderte Sicherheitsmaßnahmen und vertraglichen Regelungen sicherstellen.

Die EU-Kommission hat im Juni 2021 durch die Vorlage neuer verpflichtender Standard-Vertragsklauseln (SCC – Standard Contractual Clauses) einen scheinbaren Weg aufgezeigt die in vielen Anwendungsfällen nicht zu leistende Sicherheitsgarantie damit sicherstellen zu können. Begleitend ist eine zu erstellendes TIA (Transfer Impact Assessment) als Risikobewertung für die Offenlegung/Einsichtnahme durch Dritte vorzulegen: Welches Risiko besteht für den Betroffenen, dass durch US behördliche Zugriffe personenbezogene Daten offengelegt werden müssen (z.B. FISA, patriot act …).

Datenschutzkonferenz causa Microsoft 365

Ende November 2022 hat die Datenschutzkonferenz (gemeinsame Gremium der deutschen Datenschutzaufsichtsbehörden) in einer Erklärung den Einsatz von MS 365 als nicht datenschutz-konform bewertet: https://datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365_zusammenfassung.pdf

Diese Debatte ist schon Jahre alt und verwundert u. a., dass andere Softwareanbieter bislang ohne vergleichbare Bewertung von der DSK verhandelt worden sind. Salesforce, Oracle, Google, Amazon (AWS) u.v.a. sind nicht auf dem Radar der deutschen Aufsichtsbehörden.

Es handelt sich hier um keine direkte Untersagung des Einsatzes von MS 365 in Unternehmen, es ist jedoch mit Risiken verbunden. Und zwar mit föderal bedingt unterschiedlichen Risiken.

 

Stellungnahme zur datenschutzrechtlichen Bewertung von Microsoft 365 durch die DSK

„Heute haben die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) Bedenken zu der Vereinbarkeit von Microsoft 365 (M365) mit den Datenschutzgesetzen in Deutschland und der EU geäußert.

Wir teilen die Position der DSK nicht. Wir stellen sicher, dass unsere M365-Produkte die strengen EU-Datenschutzgesetze nicht nur erfüllen, sondern oft sogar übertreffen. Unsere Kunden in Deutschland und in der gesamten EU können M365-Produkte weiterhin bedenkenlos und rechtssicher nutzen.

Die von der DSK geäußerten Bedenken berücksichtigen die von uns bereits vorgenommenen Änderungen nicht angemessen und beruhen auf mehreren Missverständnissen hinsichtlich der Funktionsweise unserer Dienste und der von uns bereits ergriffenen Maßnahmen. Wir sind auch der Meinung, dass der Bericht der DSK wichtige rechtliche Änderungen nicht berücksichtigt, die einen größeren Schutz der Privatsphäre für den Datenverkehr zwischen der EU und den USA bieten werden. Weitere ausführliche Informationen zu den Bedenken der DSK sind hier zu finden. Im Interesse größerer Transparenz würden wir begrüßen, wenn der vollständige Bericht mit den an die DSK von Microsoft übermittelten detaillierten Antworten und Kommentierungen, aber mit angemessenen Schwärzungen, veröffentlicht würde.

Während des gesamten Überprüfungsprozesses haben wir eng mit der DSK zusammengearbeitet und auf die vorgebrachten Bedenken mit mehreren weitreichenden Änderungen reagiert. Beispiele hierfür sind ein verbessertes Meldeverfahren für den Wechsel von Unterauftragsverarbeitern und weitere Klarstellungen in Bezug auf die Verarbeitung personenbezogener Daten durch Microsoft für durch die Bereitstellung der Dienste an Kunden veranlasste Geschäftstätigkeiten von Microsoft. Microsoft hat vollumfänglich mit der DSK kooperiert, und obwohl wir mit der Bewertung der DSK nicht einverstanden sind, möchten wir verbleibende Bedenken ausräumen.

Wir nehmen uns die Forderung der DSK nach mehr Transparenz zu Herzen. Während unsere Transparenzstandards schon jetzt die der meisten anderen Anbieter in unserem Sektor übertreffen, verpflichten wir uns, noch besser zu werden. Insbesondere werden wir im Rahmen unserer geplanten EU-Datengrenze im Sinne der Transparenz weitere Dokumentationen über die Datenströme unserer Kunden und die Zwecke der Verarbeitung bereitstellen. Wir werden auch mehr Transparenz über die Standorte und die Verarbeitung durch Unterauftragsverarbeiter und Microsoft Mitarbeiter außerhalb der EU schaffen.

Unsere Anstrengungen zum Schutz der Daten unserer Kunden sind marktführend. Wir bieten eine Vielzahl von Instrumenten und Lösungen an, die unseren globalen Kunden mehr Kontrolle über ihre Daten geben, zum Beispiel:

  • Microsoft 365 Advanced Data Residency: Dieses Angebot richtet sich an Kunden, die eine genauere Kontrolle über den Speicherort ihrer M365-Daten wünschen und erweitert unsere Verpflichtungen zur Speicherung von Kundendaten im Ruhezustand.
  • EU-Datengrenze: Diese Maßnahme ergänzt die bestehenden lokalen Speicher- und Verarbeitungsverpflichtungen und geht über das gesetzlich vorgeschriebene Maß hinaus. Sie wird den Datenfluss aus der EU in andere Länder erheblich reduzieren. So wird es dem öffentlichen Sektor und Unternehmenskunden in der EU und der gesamten Europäischen Freihandelsassoziation ermöglicht, Kundendaten in der Region zu verarbeiten und zu speichern.
  • Microsoft Cloud for Sovereignty: Dieses Angebot basiert auf der Microsoft Public Cloud und erlaubt es, ein maßgeschneidertes Produkt für Kunden des öffentlichen Sektors zu schaffen und gleichzeitig die rechtlichen Anforderungen an Datenhoheit einzuhalten.

Microsoft unterstützt auch das EU-US Data Privacy Framework, das unseren Kunden wichtige Rechtssicherheit und mehr Klarheit über den Datenschutz bei der transatlantischen Übermittlung von Daten bieten wird. Die Vereinigten Staaten haben ihre Gesetze in Bezug auf die Überwachung von Daten geändert, sind wichtige neue Datenschutzverpflichtungen eingegangen und haben einen neuen Rechtsbehelfsmechanismus geschaffen. Wir sehen einem positiven Angemessenheitsbeschluss der Europäischen Kommission im Rahmen der DS-GVO im Jahr 2023 entgegen.

Unternehmenskunden von Microsoft 365, die Fragen zum DSK-Bericht haben, können sich gerne an unser Kundenteam in Deutschland wenden.“

(Quelle: https://news.microsoft.com/de-de/microsoft-erfuellt-und-uebertrifft-europaeische-datenschutzgesetze/)

 

Kritik an der DSK

Von vielen stellen gab es heftige Kritik am Vorgehen der DSK. Eine realitätsnahe Handlungsempfehlung können wir nicht sehen. Auf den Web-Sites der deutschen Aufsichtsbehörden waren bei Stichproben keine umsetzbaren Stellungnahmen zu finden. Da in der DS-GVO als Design-Fehler im Art. 25 nicht die Hersteller von IT-Systemen, sondern nur die verantwortlichen Stellen bedacht worden sind, wird der Konflikt zwischen Aufsichtsbehörden und Herstellern auf dem Rücken von Unternehmen ausgetragen. Dies führt noch mehr zur Ablehnung der DS-GVO – ein Bärendienst aus unserer Sicht. Exemplarisch eine Stellungnahme auf heise.de:

„In der Praxis greifen die Datenschutzaufsichtsbehörden daher auf eine zweite Eskalationsstufe zurück, treten in ihrem Zuständigkeitsbereich an Unternehmen oder öffentliche Stellen heran und versuchen über Umwege ihre Interpretation der DSGVO gegenüber dem Hersteller durchzusetzen. Dies führt zu einer enormen Mehrbelastung bei den mal mehr und mal weniger zufällig ausgewählten Verantwortlichen, an denen die Datenschutzaufsichtsbehörden ein Exempel statuieren möchten. Es folgen Einzelfallprüfungen – und insbesondere bei Verantwortlichen, die kein Budget für die gerichtliche Durchsetzung ihrer Rechte haben, Frust und Resignation. Dies betrifft neben Start-ups, Kleinunternehmen und Selbstständigen, insbesondere auch Schulen und andere kleine öffentliche Stellen. Statt Applaus für flächendeckende Verbesserungen beim Datenschutz ernten die Datenschutzaufsichtsbehörden in Folge vor allem Unverständnis.“

(Quelle: https://www.heise.de/meinung/Microsoft-365-Microsoft-bewegt-sich-die-Datenschuetzer-mauern-unverhaeltnismaessig-7370920.html)

Fazit

Datenschutz wir damit in eine Ecke gestellt und kann so nicht die Wirkung entfalten, die im 21. Jahrhundert, in der digitalen Welt, erforderlich wäre. Das OLG Karlsruhe hat in einem Urteil (Beschluss vom 7.9.2022, Aktenzeichen: 15 Verg 8/22) zu Recht den „Ausschluss aus Vergabeverfahren wegen Einbindung der luxemburgischen Tochtergesellschaft eines US-amerikanischen Unternehmens als Hosting-Anbieterin“ untersagt:

„Anders als die Antragstellerin meint, musste nicht allein die Tatsache, dass die A. ein Tochterunternehmen eines US-amerikanischen Konzerns ist, die Antragsgegnerinnen an der Erfüllbarkeit des Leistungsversprechens zweifeln lassen. Die Antragsgegnerinnen mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.“
( Quelle: https://oberlandesgericht-karlsruhe.justiz-bw.de/pb/,Lde/10537397/?LISTPAGE=7373457)

Ein Urteil das Mut macht …

Eine Unterstützung nach dem Schrems II Urteil können wir in der DSK-Erklärung nicht erkennen. Vielmehr werden Unternehmen unter Generalverdacht gestellt und die Empfehlung doch nur mehr europäische Software zu verwenden ist in den meisten Fällen nicht anwendbar.

Zudem sollte die DS-GVO endlich, wie im Gesetz festgelegt, evaluiert und angepasst werden. Diese n Bewertung wurde 2022 wegen Corona aufgeschoben – bis zum heutigen Tag. Speziell die Anpassung des o. a. Art. 25 DS-GVO wäre für Unternehmen und deren Datenschutzbeauftragte notwendig: Die Verantwortung für die geforderte Sicherheit der Verarbeitung muss zuerst der Hersteller garantieren, bevor Anwender in Haftung genommen werden.

Was ist für Unternehmen nun aktuell zu tun? Die EU-Kommission verhandelt mit der US-Administration bereits seit 18 Monaten über ein neues Abkommen. Das EU-US-Data Privacy Framework. Dieses Abkommen kann unter Umständen im Q1/2023 wirksam werden. Mal sehen was das dann das EuGH und Max Schems dazu sagen werden …

Unternehmen müssen mit den Ihnen zur Verfügung stehenden Mitteln

  • IT-Systeme nach Empfehlungen etwa des BSI härten – also die Weitergabe von Telemetriedaten unterbinden.
  • den Ort der Verarbeitung innerhalb der EU/EWT oder in einem angemessenen sicheren Land wählen
  • eventuell vorhandene Daten-Treuhand-Modelle berücksichtigen
  • zusätzliche Sicherheitsmaßnahmen ergreifen (Verschlüsselung mit eigenen Schlüsseln)
  • vertraglich mit den aktuellen SCC inkl. TIA das Risiko bewerten bzw. zu minimieren.

Letztendlich haben Unternehmen beim Einsatz von MS 365 aktuell ein Datenschutz-Risiko, dass nicht wegdiskutiert werden. Es stellt sich hier die Frage, welches Risiko hier höher zu bewerten ist: Ordnungswidrigkeit durch eine Aufsichtsbehörde oder Datenabfluss in einem Drittstaat.