Office 365 in der Kritik

Microsoft im Clinch mit Datenschützern

15.07.2020
Von   ,  IDG ExpertenNetzwerk und  
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Markus Heins ist Wirtschaftsjurist für Medienrecht und Medienwirtschaft bei der Luther Rechtsanwaltsgesellschaft in Köln. 
Christian Kuss ist Rechtsanwalt der Luther Rechtsanwaltsgesellschaft mbH in Köln. Sein Tätigkeitsschwerpunkt liegt auf IT- und Datenschutzrecht.
Datenschutz-Spezialisten haben cloudbasierte Microsoft-Produkte unabhängig voneinander auf ihre datenschutzrechtliche Ausgestaltung hin untersucht. Es gibt Vieles zu bemängeln.
Laut deutschen und europäischen Datenschutzbehörden sind viele cloudbasierte Microsoft-Produkte nicht DSGVO-konform nutzbar.
Laut deutschen und europäischen Datenschutzbehörden sind viele cloudbasierte Microsoft-Produkte nicht DSGVO-konform nutzbar.
Foto: Alberto Garcia Guillen - shutterstock.com

Videokonferenzsysteme wie Microsoft Teams oder Zoom boomen dank Corona. Dadurch geraten sie auch in den Fokus der datenschutzrechtlichen Aufsichtsbehörden. Die Berliner Aufsichtsbehörde hat nun die Ergebnisse (PDF) ihrer Kurzprüfung von Videokonferenzdiensten veröffentlicht, die sich vor allem auf die Ausgestaltung der Auftragsverarbeitungsverträge konzentrierte. Das Fazit: Kaum einer der geprüften Videokonferenzdienste kann nach Ansicht der Behörde datenschutzkonform eingesetzt werden. Insbesondere bei Microsoft Teams hat die Behörde zahlreiche Mängel im Auftragsverarbeitungsvertrag von Microsoft identifiziert.

Konsequenzen für Office 365

Microsoft Teams ist fester Bestandteil von Microsoft 365 (ehemals Office 365) und unterliegt deren Bestimmungen hinsichtlich Online Services Terms und Auftragsverarbeitungsvertrag (Data Processing Agreement, DPA). Das führt dazu, dass es zum jetzigen Zeitpunkt laut der Behörde nicht möglich ist, die cloudbasierten Versionen von Word, PowerPoint und weiteren Produkten sowie Microsoft Azure rechtskonform zu nutzen.

Obwohl Microsoft die Nutzungsbedingungen erst kürzlich überarbeitet hatte, enthalte der Auftragsverarbeitungsvertrag noch immer unklare und widersprüchliche Regelungen und weiche damit von den gesetzlichen Mindestanforderungen ab. In diesem Zusammenhang kündigte die Behörde auch an, die bemängelten Punkte besonders berücksichtigen zu wollen, wenn sie Unternehmen überprüfe. Vor diesem Hintergrund sollten vor allem Unternehmen mit Sitz in Berlin, die cloudbasierte Videokonferenzsysteme und Microsoft 365 einsetzen, untersuchen, inwiefern sie selbst nachbessern oder vorerst auf den Einsatz verzichten können.

Stellungnahme von Microsoft

In einer Stellungnahme von Microsoft zu dem Urteil der Datenschützer widerspricht der Konzern der Behörde deutlich. Microsoft sei überzeugt, dass die Produkte im Allgemeinen und auch Microsoft Teams im Speziellen datenschutzkonform eingesetzt werden könnten. Dabei geht Microsoft im Detail auf die einzelnen Kritikpunkte ein. Insbesondere die Mängel im Auftragsverarbeitungsvertrag seien hauptsächlich auf Übersetzungsfehler zurückzuführen.

Dabei kritisiert Microsoft auch, dass sich die Behörde nicht mit den von Microsoft zur Verfügung gestellten Informationen beschäftigt hätte und daher zu einem falschen Ergebnis gekommen sei. Gleichzeitig scheint Microsoft auf der eigenen Einschätzung zu beharren und die von der Aufsichtsbehörde bemängelten Punkte nicht nachbessern zu wollen.

Bei diesem Streit trägt letztendlich der Microsoft-Kunde das Risiko. Er ist datenschutzrechtlich dafür verantwortlich, wenn der Auftragsverarbeitungsvertrag nicht den gesetzlichen Anforderungen genügt. Einen ausreichenden Nachweis zur Datenschutzkonformität wird der Kunde wohl nicht erbringen können.

EU-Datenschutzbeauftragter kritisiert Microsoft

Parallel zur Berliner Aufsichtsbehörde hat auch der europäische Datenschutzbeauftragte Microsoft-Produkte und -Dienste überprüft, die von EU-Institutionen genutzt werden. Das Ergebnis veröffentlichte er nun in einem knapp 30 Seiten langen Bericht (PDF), der auch für Unternehmen interessant ist. Er kritisiert im Wesentlichen die folgenden fünf Punkte:

  1. Eigenständige Verarbeitung durch Microsoft: Microsoft behalte sich nach den eigenen Bestimmungen für Online-Dienste das Recht vor, die Parameter der Auftragsverarbeitung und deren vertraglichen Verpflichtungen zu ändern und selbst zu definieren. Hiermit verlasse Microsoft in unangemessener Weise die Rolle als Auftragsverarbeiter und werde selbst zum Verantwortlichen.

  2. Fehlende Kontrollmöglichkeit über Unterauftragsverarbeiter: Die Microsoft-Kunden hätten weder die Kontrolle darüber, wer als Subunternehmer in Bezug auf die Auftragsverarbeitung eingesetzt wird, noch bestünden entsprechende Prüfungsrechte gegenüber den Unterauftragsverarbeitern.

  3. Internationaler Datentransfer: Die Microsoft-Kunden könnten nicht vollständig nachvollziehen, wo die eigenen Daten gespeichert werden. Damit verbunden sei das Risiko einer unrechtmäßigen Offenlegung der Daten. Teilweise fehle es ferner an geeigneten Garantien, die den internationalen Datentransfer DSGVO-konform absicherten.

  4. Datenerhebung durch Microsoft (Diagnosedaten): Indem die Cloud-Produkte teilweise eigenständig Daten erheben und an Microsoft übermitteln, fehle es an der notwendigen Transparenz der Dienste. Dies hatte im vergangenen Jahr auch das niederländische Ministerium für Justiz und Sicherheit im Rahmen seiner Datenschutz-Folgenabschätzung für Microsoft Office 365 festgestellt.

  5. Intransparente Verarbeitung: Es gebe keine ausreichende Klarheit über Art, Umfang und Zweck der Verarbeitung sowie über die Risiken für die betroffenen Personen. Somit könnten die Kunden ihren Transparenzverpflichtungen gegenüber den Betroffenen nicht vollständig nachkommen.

Für diese Punkte gab der Datenschutzbeauftragte den europäischen Institutionen Handlungs- und Lösungsempfehlungen an die Hand, um sie zu beseitigen. Bestimmte Mängel könnten durch entsprechende Konfiguration der Produkte behoben werden. Andere wiederum sollten mit Microsoft ausgehandelt werden.

Was Microsoft-Kunden jetzt tun können

Was können Microsoft-Kunden also tun? Es wäre möglich darauf zu verzichten, Microsoft-Produkte einzusetzen. Dabei handelt es sich allerdings um eine theoretische Lösung, denn die Produkte sind in vielen Fällen Marktstandard. Alternativ können Microsoft-Kunden versuchen, Anpassungen an den Vertragsbedingungen von Microsoft zu erreichen. Inwiefern für den Großteil der Kunden überhaupt Verhandlungsspielraum hinsichtlich der Ausgestaltung der vertraglichen Grundlagen besteht, ist allerdings fraglich. Diese Option besteht aber wohl nur, wenn der jeweilige Kunde eine ausreichende Marktmacht hat, um Anpassungen mit Microsoft verhandeln zu können.

Als weitere Option könnte der Kunde versuchen, anstelle einer Auftragsverarbeitung eine andere Rechtsgrundlage für die Datenübermittlung an Microsoft fruchtbar zu machen. Dies läuft allerdings auf eine Einzelfallprüfung hinaus, die in der Praxis kaum zu leisten sein wird. Schließlich kann der Kunde stellvertretend für Microsoft einen Rechtstreit führen. Dann wird sich zeigen, ob die von Microsoft vorgebrachten Punkte ein Gericht überzeugen.

Die Einschätzung der Berliner Datenschutzbehörde und des europäischen Datenschutzbeauftragten mag sachlich richtig sein. Tatsächlich hilft diese Erkenntnis dem einzelnen Unternehmen jedoch nicht. Wie Betriebe sich verhalten können, um die Anforderungen der DSGVO umzusetzen, bleibt völlig offen. Zu hoffen bleibt, dass Microsoft Anpassungen an den Vertragsbedingungen vornimmt und die kritisierten Punkte schnell behebt. Um weitestgehend datenschutzkonform zu handeln, sollten Unternehmen bis dahin beim Einsatz von Microsoft 365 jedenfalls die in dieser Checkliste aufgeführten Punkte beachten. (jd)