Microsoft 365

Microsoft 365 und die Handreichung einiger Aufsichtsbehörden

Verfasst von: Urban Zimber

Im September 2023 haben der LfD Niedersachsen und die LDI NRW gemeinsam mit vier weiteren Aufsichtsbehörden eine Handreichung veröffentlicht, um Verantwortliche bei der Einhaltung ihrer datenschutzrechtlichen Pflichten beim Einsatz von „Microsoft 365“ zu unterstützen.

Im September 2023 haben der LfD Niedersachsen[1] und die LDI NRW gemeinsam mit vier weiteren Aufsichtsbehörden eine Handreichung veröffentlicht, um Verantwortliche bei der Einhaltung ihrer datenschutzrechtlichen Pflichten beim Einsatz von „Microsoft 365“ zu unterstützen. Darin haben sie Stellung zur aktuellen Auftragsverarbeitungsvereinbarung bezogen. Die Verfassenden der Handreichung sind der Ansicht, dass die Auftragsverarbeitungsvereinbarung für den Einsatz von „Microsoft 365“ nicht den Anforderungen des Art. 28 DSGVO genügt.

Bereits im November 2022, hatte die Arbeitsgruppe „Microsoft-Onlinedienste“ der Datenschutzkonferenz (DSK) in ihrem Abschlussbericht  festgestellt, dass die von Microsoft angebotene Auftragsverarbeitungsvereinbarung (Data Protection Addendum – DPA -  Stand: Januar 2020) für den Einsatz von „Microsoft 365“ nicht den Anforderungen des Art. 28 Abs. 3 DSGVO genügt.

An wen richtet sich die Handreichung?

Die monierten Abweichungen von den rechtlichen Anforderungen betreffen nicht nur Microsoft, sondern alle datenschutzrechtlich Verantwortlichen, die das Produkt „Microsoft 365“ einsetzen. Diese sind nach Art. 5 Abs. 2 DSGVO zur Rechenschaft über die Einhaltung der datenschutzrechtlichen Bestimmungen verpflichtet.

Welche Aspekte werden in der Handreichung behandelt?

Neben dem Hinweis auf datenschutzrechtliche Aspekte, wie der Überprüfung der Angemessenheit technischer und organisatorischer Maßnahmen, werden Inhalte für Vertragsverhandlungen über eine Zusatzvereinbarung zum Auftragsverarbeitungsvertrag bereitgestellt.

Die notwendigen vertraglichen Änderungen und Maßnahmen werden als hervorgehobene To-Dos kompakt dargestellt.

Es werden dort unter anderem die folgenden Aspekte behandelt:

  • Verarbeitung personenbezogener Daten zu eigenen Zwecken 

Sofern Microsoft weiterhin Daten zu eigenen Geschäftszwecken verarbeitet, wird als zwingende Voraussetzung die Information darüber genannt, welche Daten für welche Verarbeitungen und in welchem Umfang zu eigenen Zwecken verarbeitet werden.

  • Offenlegung verarbeiteter Daten

Es wird empfohlen, vertraglich klarzustellen, dass personenbezogene Daten der Nutzenden durch Microsoft nur offengelegt werden dürfen, wenn eine gesetzliche Pflicht nach Vorgabe der DSGVO oder des Rechts der EU-Mitgliedsstaaten besteht.

  • Verarbeitung zur Bereitstellung der Produkte und Services für Kunden

Nach den Empfehlungen der Handreichung hat der Vertrag zudem zu spezifizieren, welche personenbezogenen Daten neben den Daten der Nutzenden dem Zweck der Gewährleistung der Sicherheit dienen. Die Inhaltsdaten kann die verantwortliche Stelle lediglich selbst benennen, für die Auflistung der darüberhinausgehenden Daten (z.B. Anmeldedaten, Diagnosedaten etc.) wird sie ggf. Unterstützung von Microsoft benötigen, es sei denn sie kann abschätzen, welche Daten hier erforderlich sind. Microsoft müsse ebenfalls überblickartig mitteilen, warum genau die spezifizierten Daten zur Gewährleistung der Sicherheit notwendig seien.

Ferner sollte geklärt werden, welche der benannten personenbezogenen Daten für die Zwecke „Fehlerbehebung“ und „Förderung der Sicherheit“ genutzt werden und auf welche Art und Weise diese Daten verarbeitet werden, z.B. durch einen Verweis auf konkrete Dokumente, in denen dies beschrieben ist. Auch hier gilt, dass die verantwortliche Stelle eine Rechtsgrundlage zu den beauftragten Verarbeitungsvorgängen nachweisen muss. Andernfalls müssen diese vertraglich ausgeschlossen werden.

  • Speicherung und Löschung von Daten

Die im DPA aufgeführten Löschfristen seien vertraglich anzupassen.

  • Hinweise und Kontrollen beim Einsatz von Unterauftragsverarbeitern

Die Information über Unterauftragsverarbeitende müsse „den Namen sowie die Anschrift des Unterauftragsverarbeitenden, Namen, Funktion und Kontaktdaten der Kontaktperson des Unterauftragsverarbeitenden sowie eine Beschreibung der betreffenden Verarbeitung und eine eindeutige Benennung des betroffenen Produkts/der Funktion (einschließlich einer klaren Abgrenzung der Zuständigkeiten/ Verantwortungsanteile, falls mehrere Unterauftragsverarbeitenden genehmigt werden) enthalten.“

Dies gelte auch für die Einbindung von neuen Unterauftragsverarbeitenden sowie für Änderungen im Rahmen bestehender Unterauftragsverhältnisse.

Microsoft als Auftragsverarbeitende Stelle müsse sich verpflichten, den Verantwortlichen „proaktiv“ überneue Unterauftragsverarbeiter zu informieren, beispielsweise via Push-Benachrichtigung.

Fazit

Die in der Handreichung bewerteten Vertragsunterlagen von Microsoft lassen nach Auffassung der Verfasser weiterhin die erforderliche Transparenz vermissen.

Den Verantwortlichen wird es dadurch teilweise schwer bis unmöglich gemacht, ihrerseits die Konformität der Verarbeitung ihrer Daten im Rahmen einer eigenen Risikobeurteilung zu bewerten.

Die herausgearbeiteten Aspekte zum Abschluss einer Zusatzvereinbarung sind zu begrüßen. Es bestehen jedoch große Zweifel an ihrer Durchsetzbarkeit. Denn es ist mehr als fraglich, ob sich Microsoft bereit erklärt, mit einzelnen Verantwortlichen über eine Zusatzvereinbarung zum Auftragsverarbeitungsvertrag zu verhandeln.

Weitere Informationen zum Thema Microsoft 365 im Unternehmen finden Sie hier https://www.althammer-kill.de/microsoft-365-sicher-im-einsatz

 


[1]https://lfd.niedersachsen.de/startseite/infothek/presseinformationen/einsatz-von-microsoft-365-praxis-tipps-fur-vertrage-mit-microsoft-225722.html (zuletzt aufgerufen am 20.10.2023).

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.