Datenschutz und Microsoft 365: "Die Verantwortung für den Datenschutz liegt bei den Firmen"
Nach Ansicht der deutschen Datenschutzbehörden ist der Einsatz von Microsoft Office weiterhin datenschutzwidrig. Wie geht es nun weiter?
Der Einsatz von Microsoft 365 ist in der Regel nicht rechtskonform, stellt ein Beschluss der Datenschutzkonferenz von Bund und Ländern fest. Wie geht es jetzt für die anwendenden Unternehmen weiter? Golem.de hat beim baden-württembergischen Landesdatenschützer Stefan Brink nachgefragt.
Golem.de: Stimmt es, dass ein Großteil des Berichts der DSK-Arbeitsgruppe Microsoft Online-Dienste zu Microsoft 365 aus Baden-Württemberg stammt?
Stefan Brink: Wir waren durch unsere Vorarbeit, insbesondere mit den technischen Messungen im Zusammenhang mit einem Pilotprojekt zur Nutzung einer speziell konfigurierten Version von Microsoft 365 an Schulen für die Aufsichtsbehörden in Deutschland der Orientierungspunkt. Hier hat insbesondere unser Mitarbeiter Alvar Freude gute Arbeit geleistet. Die Arbeitsgruppe selbst wurde vom bayerischen LDA geleitet, von dort kommen die unmittelbaren Vorarbeiten für die DSK.
Golem.de: Es gibt im Beschluss eine große Anmerkung darüber, was dieser Bericht alles nicht leistet. Warum?
Brink: Das haben wir bewusst so gemacht, weil der Fokus des Berichts allen klar sein soll. Wir betrachten hier die Auftragsdatenverarbeitung und veranstalten keinen Rundumschlag. Das war ja einer der Kritikpunkte am letzten Beschluss der DSK vom September 2020, dass die Microsoft-Produkte zu pauschal beurteilt wurden. Damals hatten wir in der DSK deshalb auch keine einheitliche Haltung. Insofern ist das schon mal ein sehr schöner Fortschritt, dass wir jetzt einstimmig zu dem vorliegenden Ergebnis gekommen sind.
Golem.de: Wer wird jetzt mit dem Beschluss adressiert?
Brink: Der Beschluss adressiert nicht mehr nur Schulen oder öffentliche Stellen, sondern wir haben jetzt alle Verantwortlichen im Blick, auch die Unternehmen.
Golem.de: Was ist die Hauptbotschaft der DSK an Unternehmen, die Microsoft 365 einsetzen?
Brink: Die Botschaft an die Unternehmen ist, dass sie selbst die Verantwortlichen sind und dass sie als Verantwortlicher selbst die Datenschutzkonformität ihrer Prozesse nicht nur sicherstellen, sondern auch nach Artikel 5 Abs. 2 DSGVO nachweisen müssen. Dieser Nachweis kann nicht allein durch Bezugnahme auf Unterlagen von Microsoft geführt werden, sondern die Verantwortlichen müssen sich selbst von der Rechtskonformität aller Verarbeitungen überzeugen und gegebenenfalls auch weitergehende Ermittlungen dazu anstellen.
Unser Beschluss sagt: Die Transparenz von Microsoft reicht hinsichtlich der Datenverarbeitungsvorgänge und der genauen Vorgehensweise noch nicht aus; das haben wir in unserem Bericht beispielhaft im Bereich der Auftragsverarbeitung festgestellt. Wenn Microsoft sich etwa die Datenverarbeitung für eigene Zwecke herausnimmt, muss der Verantwortliche sich darüber klar werden, was sein Dienstleister, also Microsoft, genau macht: In welchen Bereichen macht er sich selbstständig und wie kriegt man das als Verantwortlicher eingefangen? Diese Aufgabe ist aus unserer Sicht tatsächlich nur schwer zu erfüllen.
Golem.de: Wäre jetzt nicht eine DSGVO-Zertifizierung eine willkommene Lösung?
Brink: Zertifikate nach Artikel 42 DSGVO wären ein hervorragendes Mittel, um sich als Verantwortlicher genau in diesem Punkt zu entlasten. Wenn bestimmte Dienstleister Zertifikate vorweisen können, dass ihre Datenverarbeitungen im Grundsatz okay sind, ist der Verantwortliche dabei entlastet, dies eigenständig nachzuweisen. Daher muss er nun eigene Anstrengungen unternehmen und belegen können, dass er geprüft hat, dass der Dienstleister sich tatsächlich im zulässigen Rahmen bewegt.
Golem.de: Im Herbst sollten die ersten Zertifizierungsanbieter an den Start gehen. Wie weit ist der Prozess gediehen?
Brink: Die Bemühungen der DSK, in Sachen Zertifizierung auf breiter Basis voranzukommen, haben bisher leider noch keine Früchte getragen. Dass wir als Aufsichtsbehörden da bis heute nicht wirklich geliefert haben, ist traurig. Ich gehe davon aus, dass aktuell und auf absehbare Zeit die Zertifizierung in Deutschland ein Schattendasein führen wird. Möglicherweise gibt es jedoch auf europäischer Ebene in Sachen Zertifizierung mehr Bewegung.
Golem.de: Was wäre eine Alternative zur Zertifizierung?
Brink: Man könnte über Code of Conduct arbeiten. Das würde auch die Aufsichtsbehörden merklich entlasten. Aber auch das Instrument der DSGVO wird noch nicht breit genutzt. Die Idee ist, dass sich auch Auftragsverarbeiter einem Code unterwerfen und dass damit für Verantwortliche klar ersichtlich ist, welche Dienstleister in dem Bereich gut funktionieren und welche nicht gut funktionieren. Eine private akkreditierte Institution prüft dann, ob die Bedingungen für die Qualität der Verarbeitungen auch eingehalten werden.
Golem.de: Könnte das bei Microsoft jetzt zur Anwendung kommen?
Brink: Ich bin nicht sicher, ob ein Produkt wie Microsoft 365 private Überwachungsstellen nicht überfordern würde. Das Arbeiten mit Code of Conduct ist für kleine und mittlere Unternehmen einfacher. Es würde mich überraschen, wenn Microsoft über dieses Instrument einsteigen würde.