Die Entscheidung des Europäischen Datenschutzbeauftragten (EDPS) zum Einsatz von Microsoft 365 durch die EU-Kommission (siehe unten) hat viele Wellen geschlagen. Neben Microsoft und IT-Kanzleien haben sich auch weitere Datenschutzaufsichtsbehörden zu Wort gemeldet. Gleichzeitig verkündet Niedersachsen den erfolgreichen Abschluss einer datenschutzrechtlichen Vereinbarung mit Microsoft.
Die Online-Seite SECURITY INSIDER berichtet über den Streit des EDPS mit der EU-Kommission zur Nutzung von Office365. Insbesondere die Meldung aus Niedersachsen, das sich dort etwas bewegt hat, lässt aufhören. In Schleswig-Holstein ist das zuständige ULD noch nicht überzeugt!
SECURITY ONLINE schreibt:
„So manchem ist der Europäische Datenschutzbeauftragte (EDPS) und seine genaue Zuständigkeit nicht wirklich geläufig. Trotz seiner regen Aktivitäten wird auch über die Arbeit des EDPS nicht so viel berichtet, was aber letztlich auch genau an seiner speziellen Zuständigkeit liegt, denn der EDPS ist verantwortlich für die Überwachung der Verarbeitung personenbezogener Daten durch die EU-Organe, Einrichtungen, Ämter und Agenturen.
Eine Entscheidung des EDPS hat aber besonderes Aufsehen in den letzten Monaten erregt: Die EU-Kommission verstößt bei Nutzung von Microsoft 365 gegen Vorgaben des EU-Datenschutzes, so der Europäische Datenschutzbeauftragte.
Nicht nur Microsoft und die EU-Kommission haben inzwischen darauf reagiert, auch IT-Kanzleien diskutieren darüber, wie dies zu bewerten ist und welche Folgen dies auch für die Wirtschaft haben kann, wenn Microsoft 365 und vergleichbare Dienste zum Einsatz kommen. Nicht zuletzt haben auch weitere Aufsichtsbehörden für den Datenschutz dazu Stellung bezogen.
Was Microsoft zur Entscheidung des EDPS erklärt hat
Wir haben Microsoft gebeten, eine Stellungnahme dazu abzugeben: „Die Entscheidung des Europäischen Datenschutzbeauftragten (EDSB) vom 8. März 2024 wirft mehrere Bedenken hinsichtlich der Nutzung von Microsoft 365 durch die Europäische Kommission im Rahmen der EUDPR auf, einer Verordnung, die zwar wichtige Ähnlichkeiten mit der DSGVO aufweist, aber nur für die Institutionen der Europäischen Union gilt“, so ein Microsoft-Sprecher. „Microsoft engagiert sich dafür, seine Kunden bei der Einhaltung ihrer gesetzlichen Anforderungen zu unterstützen und arbeitet mit der Europäischen Kommission zusammen, um die durch diese Entscheidung des EDSB aufgeworfenen Probleme anzugehen“. Zudem versichert Microsoft: „Unsere Kunden in Europa können Microsoft 365 weiterhin in voller Übereinstimmung mit der DSGVO nutzen und auf unsere kontinuierliche Unterstützung und Beratung zählen.“
Ist also die Entscheidung des EDPS für die Wirtschaft nicht relevant, oder basiert sie auf „veralteten“ Versionen der DPA (Data Protection Addendum) von Microsoft, wie ein anderer Sprecher von Microsoft uns gegenüber argumentierte?
Was andere Datenschutzaufsichtsbehörden sagen
Anfang Mai 2024 erklärte uns gegenüber die Landesbeauftragte für Datenschutz Schleswig-Holstein: „Ich teile die Ansicht des EDPS, dass die Zwecke der Datennutzung bei Microsoft 365 nicht transparent genug sind, um der Rechenschaftspflicht genüge zu tun, wie dies die DSK (Datenschutzkonferenz) bereits einmal erklärt hat.“ Zur Aktualität dieser Einschätzung erklärte die Landesdatenschutzbeauftragte: „Bisher liegen mir keine Informationen von Microsoft vor, die mir eine andere Bewertung ermöglichen würden.“
Offensichtlich sehen also auch Aufsichtsbehörden, die die Einhaltung der DSGVO überwachen und auch für die Wirtschaft im jeweiligen Bundesland zuständig sind, die Kritikpunkte hinsichtlich der Transparenz bei der Nutzung von Microsoft 365.
Eine weitere Aufsichtsbehörde hat uns gegenüber erklärt, keinen Bedarf für eine Änderung an der bisherigen Einschätzung zu sehen. Wie wir berichtet hatten, sahen Datenschützer auch einen Mangel an Transparenz, als Microsoft Ende 2023 eine neue Version des E-Mailprogramms Outlook für Windows vorgestellt hatte, als Teil von Microsoft 365. Die Datenschutzaufsicht von NRW wies damals darauf hin, dass bei der Nutzung der neuen Version Microsoft ein vollständiger Zugriff auf das Postfach ermöglicht werde. Die geführte Korrespondenz inklusive möglicher Anhänge würde dabei in der Cloud gespeichert und von Microsoft verarbeitet. Es bliebe unklar, zu welchen konkreten Zwecken die Verarbeitung dieser Daten erfolgt.
„Aktuell liegen uns keine Informationen vor, die Anlass für eine Überarbeitung unserer Veröffentlichung bieten würden“, so die LDI NRW Anfang Mai 2024 uns gegenüber. „Insbesondere weist Microsoft nach wie vor auf die Synchronisation hin“, so die Datenschutzaufsicht von NRW.
Die Meldung aus Niedersachsen: Bewegt sich etwas?
Der CIO des Landes Niedersachsen, Dr. Horst Baier, hat die Ressorts der Niedersächsischen Landesregierung in der 17. KW 2024 über den erfolgreichen Abschluss einer datenschutzrechtlichen Vereinbarung mit Microsoft zur Nutzung von Microsoft Teams unterrichtet. In enger Abstimmung mit dem Landesbeauftragten für den Datenschutz in Niedersachsen konnten demnach kritische „Big points“ des Datenschutzes verhandelt und geklärt werden. Das Ergebnis der umfangreichen Verhandlungen mit Microsoft wurde für Niedersachsen in einer Anpassung der Datenschutzvereinbarungen (Data protection addendum, DPA) festgehalten.
Eine Voraussetzung für die datenschutzkonforme Umsetzung war demnach die Entwicklung einer auf das Land bezogenen Datenschutzfolgeabschätzung mit einer Risikoabschätzung und diversen umzusetzenden technischen und organisatorischen Maßnahmen. Maßgeblich für die DSGVO-Konformität von Teams war die Entscheidung von Microsoft, die Daten in Europa zu speichern und zu verarbeiten („EU-Boundary“), so das Niedersächsische Ministerium für Inneres und Sport.
„Die Ergebnisse der intensiven Verhandlungen des Landes Niedersachsen mit Microsoft dienen damit als Blaupause für die Nutzung von Teams in der öffentlichen Verwaltung“, so Staatssekretär Manke aus Niedersachsen.
Doch was sagt der Datenschutz dazu? Der Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hält das Verhandlungsergebnis mit Blick auf die Ausgestaltung der Auftragsverarbeitungsvereinbarung für akzeptabel. Aber auch nach diesem Verhandlungsergebnis besteht aus Sicht des LfD ein deutliches Potenzial für datenschutzfreundlichere Regelungen sowie vom Verantwortlichen weiterhin zu prüfende Aspekte, wozu der LfD dem Niedersächsischen Ministerium für Inneres und Sport (MI) entsprechende Hinweise gegeben hat.
Zu diesen Aspekten gehört unter anderem der Umfang der sogenannten EU Boundary in der aktuellen und in der Endausbaustufe. Die EU Boundary soll eine weitgehende Datenspeicherung und -verarbeitung innerhalb der Länder der Europäischen Union (EU) und der Europäischen Freihandelsassoziation (EFTA) gewährleisten. Soweit faktisch trotz des Einsatzes der EU-Boundary weitere Datenübermittlungen in die Drittländer bestehen, muss sich der Verantwortliche damit beschäftigen. Auch werden weiterhin zahlreiche interne Maßnahmen beim Verantwortlichen wie etwa Dienstanweisungen und Konfigurationseinstellungen zur Datenminimierung zu treffen sein. Ferner müssen die Verantwortlichen vor der Einführung unter anderem eine individuelle Datenschutzfolgenabschätzung erstellen und die technischen und organisatorischen Datenschutzmaßnahmen überprüfen.
Der LfD geht davon aus, dass die sich aus den vertraglichen Regelungen ergebenden Maßnahmen, die auf Seiten der Verantwortlichen zu ergreifen sind, konsequent vor Aufnahme eines Produktivbetriebs von Microsoft-Online-Diensten umgesetzt werden und regelmäßig auf ihre Wirksamkeit hin überprüft werden. Dies gilt insbesondere für die Erfüllung der Transparenz- und Dokumentationspflichten.
Aus Datenschutz-Sicht: Forderung nach digitaler Souveränität bleibt bestehen
Das Verhandlungsergebnis bedeute keine Abkehr von der bisherigen Sensibilisierung für die Risiken der Microsoft-Produkte, so der Landesbeauftragte für den Datenschutz (LfD) Niedersachsen. Die Datenschutzbehörde Niedersachsen fordert die Beschaffungsstellen nach wie vor auf, weiterhin Alternativen zu prüfen und dabei insbesondere digital souveräne Lösungen aktiv anzugehen.
Es wurde zudem erneut auf die Position der Datenschützer verwiesen, dass dauerhaft datenschutzfreundliche Lösungen insbesondere durch Berücksichtigung der Kriterien der digitalen Souveränität sichergestellt werden können. Es gelte weiterhin, Lock-in-Effekte zu vermeiden und alternative Systeme zu fördern und zu implementieren, zum Beispiel mit Open-Source-Software.
Das sieht auch die Datenschutzaufsicht von Schleswig-Holstein so: „Ich begrüße, dass Schleswig-Holstein sich vor vielen Jahren eine Open-Source-Roadmap gegeben hat und diesen Weg konsequent verfolgt. Es ist aus meiner Sicht nötig, dass die digitale Souveränität in Verwaltung und Wirtschaft weiter ausgebaut wird. Aus Abhängigkeiten resultieren Risiken, die jeder Verantwortliche im Blick haben muss. Die Erfüllung der datenschutzrechtlichen Rechenschaftspflicht ist allerdings auch bei Open-Source-Angeboten kein Selbstläufer“, betont die Landesdatenschutzbeauftragte gegenüber Security-Insider.
Es zeigt sich: Bewegung im Datenschutz bei Microsoft 365 ist an vielen Stellen sichtbar, aber es scheint in absehbarer Zeit keine Ruhe einzukehren. Den Anwenderunternehmen bleibt nur, die laufenden Entwicklungen im Auge zu behalten. Genau das werden wir auch tun.
