Zahlreiche Unternehmen nutzen täglich Produkte von Microsoft. Dabei greifen in den vergangenen Jahren die Firmen verstärkt auf das Cloud- und Web-basierte Produkt Microsoft 365 zurück. Das birgt jedoch einige (datenschutz-)rechtliche Probleme, die es zu beachten gilt.
Foto: IB Photography - shutterstock.com
Bei Microsoft 366 handelt es sich nicht mehr um eine einzelne Software, die der Nutzer lokal auf einem Rechner installiert. Microsoft 365 ist ein Toolset, das je nach Art der erworbenen Lizenz (etwa E1-,E3- und die E5-Lizen) einen unterschiedlichen Umfang hat. Es sich um den Überbegriff für eine Produktfamilie von Microsoft. Bei der "Standardinstallation" werden dem Nutzer neben dem Betriebssystemkern - aktuell in Gestalt von Windows 10 und Windows 11 - zusätzliche Treiber sowie verschiedene Anwendungen und Dienste zur Verfügung gestellt. Dabei geht Microsoft 365 über bisherige Windows-Betriebssysteme hinaus, da es über zusätzliche Funktionen, Dienste und Anwendungen wie beispielsweise Microsoft Teams verfügt.
Lesetipp: Microsoft Teams - Deep-Dive-Einblick
Mit Microsoft 365 speichert Microsoft in erheblichem Maße auch technische Parameter, Logfiles sowie personenbezogene Daten und wertet diese unter anderem auch für eigene Zwecke aus (insbesondere sogenannte Telemetriedaten). Diese Datenverarbeitung lässt sich jedoch nur teilweise einschränken oder vollständig unterbinden. Mit Blick auf die Datenschutzgrundverordnung (DSGVO) ist dies nicht unproblematisch, da Microsoft oft nicht transparent genug erläutert, welche Daten zu welchem Zeitpunkt und zu welchem Zweck übermittelt werden.
Das DSK-Prüfschema für Windows
Aus diesen Gründen hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) im November 2019 ein Schema zur Prüfung des Einsatzes von Windows 10 beschlossen. Dadurch sollen die Anwender in die Lage versetzt werden, eigenständig die Einhaltung von rechtlichen - vor allem datenschutzrechtlichen - Vorgaben zu prüfen und zu dokumentieren.
Vor dem Hintergrund der hohen Bußgelder, die die Datenschutzgrundverordnung bei Verstößen vorsieht, erlangt die genaue Prüfung von Softwareanwendungen auf ihre Datenschutzkonformität immer größere Bedeutung. Spätestens seit der Veröffentlichung des neuen Bußgeldberechnungsmodells der DSK müssen Unternehmen damit rechnen, dass die Aufsichtsbehörden hinsichtlich der Höhe der Bußgelder weniger Zurückhaltung zeigen als bislang. Insofern dürfte das Bußgeld gegen die Deutsche Wohnen in Höhe von 14,5 Millionen Euro kein Einzelfall bleiben. Gerade der Einsatz von Anwendungen aus dem Hause Microsoft dürfte aufgrund deren Verbreitung und der diversen Stellungnahmen der Aufsichtsbehörden zunehmend kritischer überprüft werden.
Windows - Prüfungsschritte vor dem Einsatz
Bei näherer Betrachtung zeigt jedoch auch das Schema der DSK, dass aufgrund der Komplexität und Vielfalt der Windows-Produkte und -Funktionalitäten keine generellen Aussagen zu einem datenschutzkonformen Einsatz getroffen werden können. Vielmehr hängt die Rechtmäßigkeit immer vom konkreten Fall ab. Entsprechend abstrakt hat die DSK auch ihre Aussagen formuliert, um möglichst viele Einzelfälle abzudecken.
Dennoch kann das DSK-Prüfschema für Windows 10 als Leitfaden dienen, um datenschutzrelevante Fragen im Zusammenhang mit dem Einsatz der Software, der Übertragung von Telemetriedaten sowie der Update-Konfiguration zu bewerten. Darüber hinaus lässt sich das Prüfschema unterstützend für eine regelmäßig zwingend durchzuführende Datenschutzfolgenabschätzung nutzen. Denn theoretisch müssten bei jedem Update die veränderten Funktionen erfasst und bewertet werden.
1. Konkrete Beschreibung der Verarbeitungstätigkeit: Zunächst müssen Art, Umfang und Umstände der konkreten Verarbeitungstätigkeiten bestimmt werden, die von der Produktvariante abhängig sind. Daher müssen zunächst Informationen über die Produktfamilie (etwa Windows 10 oder Windows 11), die Edition (zum Beispiel Enterprise), die Architektur (zum Beispiel 64-Bit), die Version (zum Beispiel 1803) und gegebenenfalls weitere Merkmale (Sprache, Multimediapaket) festgestellt werden. Erst nach Angabe dieser Informationen kann die Bestimmung über die konkreten Datenübermittlungen sowie diese Zwecke erfolgen, die auch von den eingesetzten Funktionen abhängen. Darüber hinaus muss geprüft werden, ob eine Datenübertragung in Drittländer stattfindet.
2. Prüfung der Rechtmäßigkeit der Datenübermittlungen: Wurden die konkreten Verarbeitungsvorgänge bestimmt, muss geprüft werden, ob eine ausreichende Rechtsgrundlage im Sinne der DSGVO für die Datenverarbeitung eingreift. Liegt keine Rechtsgrundlage vor, ist die Übermittlung rechtswidrig. Wenn nicht klar ist, welche Daten übermittelt werden, kann die Rechtmäßigkeit nicht festgestellt werden und sollte unterbleiben.
3. Auswahl angemessener Maßnahmen (TOM's): Der Verantwortliche muss zusätzlich technische und organisatorische Maßnahmen (TOMs) treffen, um die unrechtmäßige Offenlegung von Daten zu verhindern. Das kann zum Beispiel eine datenschutzfreundliche Konfiguration von Windows sein. Aber auch andere Maßnahmen kommen hier - abhängig vom Stand der Technik - in Betracht. Das kann etwa der Einsatz von Drittanbieter-Software zur Unterbindung von Datenübermittlungen an Microsoft sein. Auch die fortlaufende Überprüfung, beispielsweise bei Updates, muss technisch-organisatorisch sichergestellt werden.
4. Restrisikobewertung: Im nächsten Schritt ist eine Restrisikobewertung vorzunehmen. Dabei muss der Anwender die Wahrscheinlichkeit und die Schwere einer unrechtmäßigen Offenlegung unter Berücksichtigung der getroffenen Maßnahmen beurteilen. An dieser Stelle empfiehlt die DSK die Durchführung einer Datenschutzfolgenabschätzung. Ergibt die Prüfung, dass ein hohes Restrisiko verbleibt, sollte die Nutzung von Windows unterbleiben und die zuständige Aufsichtsbehörde konsultiert werden.
5. Implementierung der Maßnahmen und stetige Überprüfung: Ist das Restrisiko eher gering und vertretbar, müssen die erarbeiteten Maßnahmen implementiert und regelmäßig auf ihre tatsächliche Wirksamkeit überprüft werden.
6. Updates beurteilen: Windows wird zudem ständig weiterentwickelt. Aufgrund der teilweise erheblichen Änderungen durch Updates müssen diese regelmäßig überprüft und nach den oben genannten Schritten bewertet werden.
Microsoft 365 - Prüfungsschritte vor dem Einsatz
Bei der Verwendung von Microsoft 365 erhebt die Microsoft Cloud-Plattform ebenfalls mittels der einzelnen Anwendungen diagnostische Telemetriedaten sowie Daten aus den "Connected Services" (Rechtschreibprüfung, Übersetzungsmodul, etc.) die an Microsoft übertragen werden. Diese werden durch Microsoft selbst und durch Dritte weiterverarbeitet.
Die Datenschutzkonferenz (DSK) hat in einer Stellungnahme aus dem November 2022 zur Verwendung von Microsoft 365 festgestellt, dass Microsoft 365 derzeit nicht den Anforderungen der DSGVO gerecht werde. Insbesondere bemängelte sie erneut die fehlende Transparenz der einzelnen Datenverarbeitungen und die potenziellen Zugriffsrechte bei behördlichen Anforderungen aus den USA.
Microsoft hatte im Anschluss an Gespräch mit der DSK bereits einige Anpassungen an den Datenverarbeitungen bei Microsoft 365 vorgenommen. So hat das Unternehmen zum Beispiel die Verarbeitung zu eigenen Zwecken dahin konkretisiert, dass sie nur zu ausgewählten Geschäftstätigkeiten erfolge. Auch hatte Microsoft weitere Sicherheitsvorkehrungen getroffen, damit ein behördlicher Zugriff aus den USA auf durch Microsoft verarbeitete personenbezogene Daten in der EU nur unter erschwersten Voraussetzungen möglich ist.
Nicht zuletzt mit Blick auf die vorgenannte Stellungnahme sind bei der Verwendung von Microsoft 365 einige wichtige Punkte zu beachten, um weitestgehend datenschutzkonform zu handeln. Die nachfolgende Checkliste lässt sich grundsätzlich auch auf die Verwendung von anderen umfangreicheren Software-Anwendungen übertragen, da sich die Problematiken häufig ähneln. Einige Maßnahmen überschneiden sich dabei mit den Vorgaben der Aufsichtsbehörden, werden jedoch um praxisnahe Bezüge ergänzt:
1. Datenschutzfolgenabschätzung: Im Rahmen einer Datenschutzfolgenabschätzung sollten bestehende oder mögliche Risiken, die sich für das Unternehmen aus der Nutzung von Microsoft-Anwendungen ergeben können, identifiziert und dokumentiert werden.
2. Besonderheiten bei technischer Ausgestaltung: An den Microsoft-Produkten müssen organisatorische und technische Anpassungen vorgenommen und in der Datenschutzfolgenabschätzung dokumentiert werden. Dazu zählen unter anderem Updates auf aktuellere Versionen mit datenschutzkonformen Einstellungsmöglichkeiten oder die Einführung zusätzlicher Verschlüsselung. Auch die Entscheidung gegen die Durchführung einer Datenschutzfolgenabschätzung oder einzelner Maßnahmen muss begründet und dokumentiert werden.
3. Vertragsgestaltung: Verträge mit Microsoft müssen überprüft und gegebenenfalls neu verhandelt werden. Denn die Modifikationen seitens Microsoft sind schließlich auch das Resultat der Verhandlungen zwischen der DSK und Microsoft. Die Erfolgsaussichten hierfür sind naturgemäß auch abhängig von der Größe des jeweiligen Unternehmens. Insbesondere die kritische Haltung der Aufsichtsbehörden liefert aber gewichtige Argumente für eine etwaige Nachverhandlung.
4. Änderungen bei Datenschutzverträgen: Die Verantwortlichkeiten in Bezug auf den Datenschutz müssen geprüft und gegebenenfalls festgelegt werden. Microsoft hatte zunächst den Standpunkt vertreten, grundsätzlich lediglich als Auftragsverarbeiter tätig zu werden. In dem damaligen Statement vom 18. November 2019 erklärte das Unternehmen, zumindest für einen Teil der Verarbeitungstätigkeiten unmittelbarer datenschutzrechtlicher Verantwortlicher zu sein.
In der aktuellen Datenschutzvereinbarung von Microsoft im Januar 2023 finden sich nun Ausführungen zur eigenen Verantwortlichkeit von Microsoft. Das Unternehmen benennt dabei den Begriff der (zugegeben etwas unscharfen) erforderlichen Geschäftstätigkeiten auf konkrete Zwecke. Für diejenigen Tätigkeiten, die als Auftragsverarbeitung durchgeführt werden, ist in jedem Fall der Abschluss eines entsprechenden Vertrages erforderlich.
Lesetipp: Ab 1. Januar 2023 - Microsoft zieht virtuelle EU-Datengrenze
5. Drittstaatentransfer: Die Übermittlung von Daten in Drittländer außerhalb der EU (insbesondere die USA) muss datenschutzrechtlichen Anforderungen genügen. Microsoft bietet zwar den Abschluss der EU-Standard-Vertragsklauseln an, die eine zulässige Übermittlung gewährleisten würden.
Allerdings besteht hier seit Aufhebung des Privacy Shield Unsicherheit über das angemessene Datenschutzniveau in den USA, sodass grundsätzlich zusätzliche Garantien erforderlich sind. Dies gilt zumindest bis die neue Vereinbarung zwischen der EU und den USA betreffend den Drittlandtransfer von Daten in die USA ( das so genannte Trans-Atlantic Data Privacy Framework) in Kraft tritt.
Lesetipp: Rückschlag für Datenabkommen - Ausschuss empfiehlt Ablehnung des Data Privacy Framwork
6. Betrieblicher Datenschutz: Mitarbeiter müssen in den Datenschutzhinweisen auf die Auswirkungen der Nutzung von Microsoft-Produkten hingewiesen werden. Interne Datenschutzrichtlinien müssen angepasst, Mitarbeiter gegebenenfalls entsprechend geschult werden.
7. Betriebsvereinbarungen: Sofern ein Betriebsrat vorhanden ist, muss der Einsatz von Microsoft-Produkten mit diesem abgestimmt und eine entsprechende Betriebsvereinbarung abgeschlossen werden. Kann die Datenübertragung durch bestimmte Dienste nicht deaktiviert werden, müssen entsprechende Dienstanweisungen erlassen werden, die deren Nutzung verbieten.
8. Schutz von Geschäftsgeheimnissen: Unternehmen sollten sich ferner beim "Upgrade" auf Microsoft 365 auch mit dem Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) befassen. Microsoft bietet Unternehmen diverse Funktionen, die im Rahmen eines Schutzkonzeptes für Geschäftsgeheimnisse hilfreich sein können. So lässt sich insbesondere die Kategorisierung nach der jeweiligen Vertraulichkeit über einzelne Dienste ermöglichen.
Ausblick zum Datenschutz in Microsoft 365
Unternehmen sollten nun tätig werden, um einen weitestgehend datenschutzkonformen Einsatz von Softwareanwendungen zu gewährleisten. Nur so kann den Aufsichtsbehörden gegenüber nachgewiesen werden, dass eine ausreichende Auseinandersetzung mit dem Thema stattfand und man entsprechende Lösungen gesucht und umgesetzt hat. (bw)