Im September 2023 haben der LfD Niedersachsen[1] und die LDI NRW gemeinsam mit vier weiteren Aufsichtsbehörden eine Handreichung veröffentlicht, um Verantwortliche bei der Einhaltung ihrer datenschutzrechtlichen Pflichten beim Einsatz von „Microsoft 365“ zu unterstützen. Darin haben sie Stellung zur aktuellen Auftragsverarbeitungsvereinbarung bezogen. Die Verfasser der Handreichung sind der Ansicht, dass die Auftragsverarbeitungsvereinbarung für den Einsatz von „Microsoft 365“ nicht den Anforderungen des Art. 28 DSGVO genügt.
Bereits im November 2022, hatte die Arbeitsgruppe „Microsoft-Onlinedienste“ der Datenschutzkonferenz (DSK) in ihrem Abschlussbericht festgestellt, dass die von Microsoft angebotene Auftragsverarbeitungsvereinbarung (Data Protection Addendum – DPA - Stand: Januar 2020) für den Einsatz von „Microsoft 365“ nicht den Anforderungen des Art. 28 Abs. 3 DSGVO genügt.
An wen richtet sich die Handreichung?
Die monierten Abweichungen von den rechtlichen Anforderungen betreffen nicht nur Microsoft, sondern alle datenschutzrechtlich Verantwortlichen, die das Produkt „Microsoft 365“ einsetzen. Diese sind nach Art. 5 Abs. 2 DSGVO zur Rechenschaft über die Einhaltung der datenschutzrechtlichen Bestimmungen verpflichtet.
Welche Aspekte werden in der Handreichung behandelt?
Neben dem Hinweis auf datenschutzrechtliche Aspekte, wie der Überprüfung der Angemessenheit technischer und organisatorischer Maßnahmen, werden Inhalte für Vertragsverhandlungen über eine Zusatzvereinbarung zum Auftragsverarbeitungsvertrag bereitgestellt.
Die notwendigen vertraglichen Änderungen und Maßnahmen werden als hervorgehobene To-Dos kompakt dargestellt.
Es werden dort unter anderem die folgenden Aspekte behandelt:
- Verarbeitung personenbezogener Daten zu eigenen Zwecken
Sofern Microsoft weiterhin Daten zu eigenen Geschäftszwecken verarbeitet, wird als zwingende Voraussetzung die Information darüber genannt, welche Daten für welche Verarbeitungen und in welchem Umfang zu eigenen Zwecken verarbeitet werden.
- Offenlegung verarbeiteter Daten
Es wird empfohlen, vertraglich klarzustellen, dass personenbezogene Daten der Nutzer durch Microsoft nur offengelegt werden dürfen, wenn eine gesetzliche Pflicht nach Vorgabe der DSGVO oder des Rechts der EU-Mitgliedsstaaten besteht.
- Verarbeitung zur Bereitstellung der Produkte und Services für Kunden
Nach den Empfehlungen der Handreichung hat der Vertrag zudem zu spezifizieren, welche personenbezogenen Daten neben den Nutzerdaten dem Zweck der Gewährleistung der Sicherheit dienen. Die Inhaltsdaten kann der Verantwortliche lediglich selbst benennen, für die Auflistung der darüberhinausgehenden Daten (z.B. Anmeldedaten, Diagnosedaten etc.) wird er ggf. Unterstützung von Microsoft benötigen, es sei denn er kann abschätzen, welche Daten hier erforderlich sind. Microsoft müsse ebenfalls überblickartig mitteilen, warum genau die spezifizierten Daten zur Gewährleistung der Sicherheit notwendig seien.
Ferner sollte geklärt werden, welche der benannten personenbezogenen Daten für die Zwecke „Fehlerbehebung“ und „Förderung der Sicherheit“ genutzt werden und auf welche Art und Weise diese Daten verarbeitet werden, z.B. durch einen Verweis auf konkrete Dokumente, in denen dies beschrieben ist. Auch hier gilt, dass der Verantwortliche eine Rechtsgrundlage zu den beauftragten Verarbeitungsvorgängen nachweisen muss. Andernfalls müssen diese vertraglich ausgeschlossen werden.
- Speicherung und Löschung von Daten
Die im DPA aufgeführten Löschfristen seien vertraglich anzupassen.
- Hinweise und Kontrollen beim Einsatz von Unterauftragsverarbeitern
Die Information über Unterauftragsverarbeiter müsse „den Namen sowie die Anschrift des Unterauftragsverarbeiters, Namen, Funktion und Kontaktdaten der Kontaktperson des Unterauftragsverarbeiters sowie eine Beschreibung der betreffenden Verarbeitung und eine eindeutige Benennung des betroffenen Produkts/der Funktion (einschließlich einer klaren Abgrenzung der Zuständigkeiten/ Verantwortungsanteile, falls mehrere Unterauftragsverarbeiter genehmigt werden) enthalten.“
Dies gelte auch für die Einbindung von neuen Unterauftragsverarbeitern sowie für Änderungen im Rahmen bestehender Unterauftragsverhältnisse.
Microsoft als Auftragsverarbeiter müsse sich verpflichten, den Verantwortlichen „proaktiv“ überneue Unterauftragsverarbeiter zu informieren, beispielsweise via Push-Benachrichtigung.
Fazit
Die in der Handreichung bewerteten Vertragsunterlagen von Microsoft lassen nach Auffassung der Verfasser weiterhin die erforderliche Transparenz vermissen.
Den Verantwortlichen wird es dadurch teilweise schwer bis unmöglich gemacht, ihrerseits die Konformität der Verarbeitung ihrer Daten im Rahmen einer eigenen Risikobeurteilung zu bewerten.
Die herausgearbeiteten Aspekte zum Abschluss einer Zusatzvereinbarung sind zu begrüßen. Es bestehen jedoch große Zweifel an ihrer Durchsetzbarkeit. Denn es ist mehr als fraglich, ob sich Microsoft bereit erklärt, mit einzelnen Verantwortlichen über eine Zusatzvereinbarung zum Auftragsverarbeitungsvertrag zu verhandeln.
[1]https://lfd.niedersachsen.de/startseite/infothek/presseinformationen/einsatz-von-microsoft-365-praxis-tipps-fur-vertrage-mit-microsoft-225722.html (zuletzt aufgerufen am 20.10.2023).