linkedIn Logo   LINKEDIN
facebook LogoFACEBOOK
XING LogoXING
20.Dezember 2022 | Team Datenschutz | Thema: Datenschutz

Microsoft 365 – zum Abschlussbericht der DSK

Schlagwörter: Aufsichtsbehörden | Kommentar | Microsoft 365

Die Datenschutzkonferenz DSK hat Anfang Dezember 2022 ihren Abschlussbericht „Microsoft-Onlinedienste“ zur Nutzung von Microsoft Onlinediensten veröffentlicht. Sie hat dabei auf die so genannten Online Service Terms (OST) sowie die Datenschutzbestimmungen (Data Processing Addendum – DPA) sowie diverse Gesprächsrunden mit Microsoft abgestellt. Das Ergebnis der Betrachtung bezieht sich auf Microsoft 365, früher Microsoft Office 365 und das umfasst vor allem die weit verbreiteten Produkte Office und Teams sowie Azure, Drive, Exchange und viele mehr.

Aus dem Abschlussbericht der Datenschutzkonferenz

Auf über 50 Seiten wird mit vielen Konjunktionen und Einschränkungen herausgearbeitet, dass der Einsatz von solchen MS-Diensten, die mittelbar oder unmittelbar personenbezogene Daten von EU-Bürgern in die Vereinigten Staaten übertragen, nicht konform mit der europäischen DSGVO ist. Insbesondere wurde dabei auf den unauflösbaren Konflikt zwischen der DSGVO und den Möglichkeiten, die FISA 702 US-amerikanischen Überwachungsdiensten gewährt, abgestellt.

Der grundsätzliche Standpunkt von Microsoft, man könne mit vertraglichen und technischen Maßnahmen den Zugriff von US-Diensten auf Daten von EU-Bürgern beschränken, wurde sowohl durch das EuGH-Urteil „Schrems II“ als auch die jetzt veröffentlichten Bewertungen der Aufsichtsbehörden verworfen.
Ausgenommen von dieser Betrachtung hat die DSK im Wesentlichen nur solche Prozesse, bei denen die übertragenen Daten vor einem Zugriff durch den Verarbeiter, also Microsoft, geschützt sind. Das ist technisch betrachtet lediglich bei einer verschlüsselten Speicherung der Daten der Fall, die also nur gespeichert und nicht durch Onlinedienste weiterverwendet werden. Bei den Daten, die zur Laufzeit verarbeitet werden (müssen), damit man sie bspw. so hübsch im Browser statt in Word anzeigen kann, hilft die aktuelle Verschlüsselung nicht weiter, denn dazu müssen sie entschlüsselt werden und das passiert zur Zeit nur durch Microsoft. Es gibt zur Zeit keine anderen von Microsoft bereitgestellten Methoden, um in diesem Szenario den Zugriff durch Microsoft und somit der US-Behörden auf Klardaten zu unterbinden. An diesem Problem kommt Microsoft aufgrund der (gewollten) Natur seiner Software-as-a-Service-Dienste – so wie jeder andere Anbieter – schlicht nicht vorbei. Kleine Stichelei: Google ist mit seiner aktuellen Beta-Version einer rein Clientseitigen Ver- und Entschlüsselung einen Schritt weiter.

Fall aus der Praxis und aktuelle Einschätzung

In einer Stellungnahme für einen Kunden haben wir zur Jahresmitte noch einen anderen Aspekt beleuchtet, der sich mit stärkeren Schutzmaßnahmen wie Hold-your-own-Key (HYOK) und Double Key Encryption (DKE) beschäftigt hat. Leider greift auch hier das oben Beschriebene:
Microsoft hat im Moment der Darstellung von Daten im Browser Zugriff, weil die Verschlüsselung geöffnet ist. Aber leider geht es sogar noch weiter: die Dokumentation von Microsoft lässt darauf schließen, dass MS immer über einen so genannten Verfügbarkeitsschlüssel verfügt, um die in seinen Diensten gespeicherten Daten zu entschlüsseln. Dies soll sicherstellen, dass Kunden ihre Daten niemals endgültig verlieren können, solange sie bei Microsoft Kunde sind. Ein nettes Feature, aber der Tod jeder echten Vertraulichkeit.
Besonders interessant war bei dieser Prüfung aber die Erkenntnis, dass die Microsoft Online Service Terms die jeweiligen Datenschutzverträge überschreiben.
Genauer gesagt, heißt es in den Service Terms, dass „Im Falle eines Konflikts zwischen diesen Microsoft-Datenschutzbestimmungen und den Bedingungen einer bzw. mehrerer Vereinbarung(en) zwischen einem Kunden und Microsoft für Produkte für Unternehmen und Entwickler, sind die Bedingungen dieser Vereinbarung(en) ausschlaggebend.“
Damit wird letztlich definiert, dass aus Microsofts Sicht die Service Terms sowohl jegliche DPAs als auch die SCCs überschreiben und das Risiko eines Fehlschlags bei der Einhaltung des SCC wieder auf den Kunden abgewälzt wird, da dieser die Terms ja vorab kennt und ihnen zustimmt. Man muss Microsoft zugutehalten, dass sie sich schlicht an die US-Rechtslage halten und das auch nicht anders können.
Letztlich ist die europäische Rechtslage nicht ihr Problem, sondern eben das ihrer Kunden.
Und zwischen der US und der europäischen Rechtslage gibt es – so der EuGH – einfach kein Übereinkommen, solange EU-Bürger ihre Rechte in den USA nicht im gleichen Maße durchgesetzt bekommen wie hier. Daran ändert auch die Executive Order 14086 des Präsidenten vom Oktober 2022, mit dem er die US-Nachrichtendienste zur stärkeren Beachtung von Rahmenbedingungen bei ihrer Datensammlung auffordert, nicht wirklich etwas. Denn Exekutive ist nun mal nicht Legislative und hilft EU-Bürgern bei der Durchsetzung ihrer Rechte vor Gericht nicht. Es ist unwahrscheinlich, dass der EuGH das anders sieht.
Auch die Hoffnungen auf ein neues Privacy Shield bzw. einen neuen Angemessenheitsbeschluss auf Basis des aktuell besprochenen EU-US Data Privacy Framework scheinen mir vergebens, solange die USA ihre Rechtslage nicht anpassen. Ein neues Abkommen wird sofort beklagt werden und wir haben zunächst wenig gewonnen, außer weiterer Rechtsunsicherheit für Jahre.

Fazit:

Diese Rechtsauslegung hilft uns nicht weiter, wenn man Microsoft, oder im Allgemeinen US-SaaS-Dienste nutzen will, bei denen man personenbezogene Daten in die USA übertragen muss / will – was ja im Prinzip immer der Fall ist.
Auch ist offen, inwieweit Microsoft die nach wie vor bestehenden Unklarheiten bei der konkreten Datenerhebung und -nutzung ausräumen wird. Aktuell ein weiteres Problem, das nur Microsoft selbst lösen kann.

Was also konkret tun?

Es bleibt die Risikoabwägung und durch sie die Minimierung der Angriffsfläche auf die eigenen Verarbeitungen gegenüber den Betroffenen. Denn wo kein Kläger, da kein Richter und mit Einwilligung der Betroffenen in die entsprechende Verarbeitung ist die Übermittlung ja machbar. Hier hilft uns in einigen Fällen Art. 49 Abs. 1 weiter, der eine Datenübertragung in Drittstaaten wie die USA dann erlaubt, wenn Betroffene informiert in die Übertragung einwilligen oder wenn die Datenübermittlung zur Vertragserfüllung strikt erforderlich ist.
Die weiteren möglichen Gründe, v.a. das zwingend berechtigte Interesse, möchte ich bei dieser Betrachtung außen vorlassen, denn hier geht es um absolute Einzelfälle, also eben nicht einen regelmäßigen Geschäftsbetrieb.
Holen Sie sich, wo es sinnvoll ist, eine Einwilligung und sorgen Sie dafür, dass Ihre sonstigen Maßnahmen ebenfalls stimmen:
Ein aktueller Dienstleistungsvertrag inklusive Datenschutzvertrag und SCCs sowie ein Konzept, welche Daten Sie tatsächlich brauchen und verarbeiten müssen. Es war eh schon immer unklug, Daten ohne Zweck aufs Geratewohl zu sammeln, aber bei einer Übermittlung in „Drittländer“ sollte man sich wirklich keine Blöße geben, sondern nur das verarbeiten, was wirklich notwendig ist.
Und insgesamt ist festzuhalten, dass die Aufsichtsbehörden bislang keinem Unternehmen die Verwendung der Microsoft-Dienste untersagt haben und auch keine Bußgelder bekannt sind.
Die undurchsichtige, schlammige Rechtslage trägt dazu natürlich bei und das wird auch noch eine Weile so bleiben. Seien Sie also bei Ihrer Dokumentation auf dem Stand der Zeit und vorbereitet.

 

Quellen: 

zurück
Themen
Schlagwörter
DSGVORechtsgrundlagenTADPFSicherheitTippsEuGH-UrteilRechtsprechungprocado-internEU-RichtlinieGesetzSicherheitsrisikoKommentarGirls-Daykleine ReiheSocial MediaDatenschutzverstossBussgeldAkademieIHKSchulungenManaged Service ProviderMSPVerarbeitungsverzeichnisDatentransferEU-US Privacy Shield 2.0IT-SicherheitIT-SupportCybercrimePhishingSocial EngeneeringAufsichtsbehördenMicrosoft 365AbmahnungGoogle Fontsprivate E-Mail-NutzungTKGLogistikTrackingOffenlegungRechtswidrige AnfragenTransparenzberichtHistorischesAuftragsverarbeitungMonitoringCovidkuriosesJobJahresrückblick
Der Nikolaus findet den Weg auch ins BüroJenny/procadoDie kleine Reihe IT-Sicherheit: Verschlüsselung Teil 1