Der Juli 2020 brachte eine Datenschutz-Debatte ins Rollen. Nachdem sich deutsche Unternehmen und Schulen gerade langsam daran gewöhnt hatten, auf Videokommunikation umzustellen, schlug das Schrems-II-Urteil ein. Besser bekannt als Privacy-Shield-Urteil, legte der Europäische Gerichtshof darin fest: Die Übertragung personenbezogener Daten in Drittländer ist unzulässig, solange diese Länder nicht ein ähnlich hohes Datenschutzniveau wie die EU vorweisen.
Wer seine Kommunikation über US-Dienstleister abwickelte, kam nun ins Straucheln
Das Problem dabei: Ein Großteil der Videokommunikations-Anbieter wie Microsoft Teams oder Zoom haben ihren Sitz in den USA – und dort ist Datenschutz nach DSGVO-Standards bekanntermaßen nicht gegeben. US-Anbieter bekamen deutlich Kritik ab und die Berliner Datenschutzbeauftragte Maja Smoltczyk empfahl sogar in einer öffentlichen Stellungnahme, auf solche Anbieter komplett zu verzichten. Konkret zum Datenschutz bei Microsoft Teams (als Teil von Microsoft 365, früher Office 365) gab sie bekannt:
„Der Anbieter behält sich die Verarbeitung von Auftragsdaten zu eigenen Zwecken vor. Mängel im Auftragsverarbeitungsvertrag. Viele Unklarheiten und Widersprüche im Auftragsverarbeitungsvertrag. Unzulässige Datenexporte. Anbieter hat Auftragsverarbeitungsvertrag ohne Kennzeichnung umfangreich nachträglich geändert; Version (laut Metadaten) vom 3.1.2020 enthält unzulässige Einschränkungen des Weisungsrechts.“
Quelle: Hinweise zu Videokonferenz-Diensten
Microsoft gibt bekannt: Microsoft 365 soll mehr Datenschutz gewährleisten
Unternehmen und Schulen stellte das vor eine Herausforderung: Wie kann der rechtskonforme Einsatz nun aussehen? Nachdem eine Berliner Schule zwischenzeitlich aufgrund der Unsicherheiten sogar in den Digitalstreik gegangen war, gibt es jetzt erfreuliche Nachrichten aus Baden-Württemberg – insbesondere zum Datenschutz bei Microsoft-Produkten.
Die baden-württembergische Datenschutzaufsicht sitzt aktuell mit dem Kultusministerium und Microsoft zusammen und bespricht, wie es mit den digitalen Bildungsplattformen für die Schulen im Land weitergehen soll. Diese soll nämlich auf Microsoft Teams laufen – und das bitte datenschutzkonform.
Microsoft erweitert in Zusammenarbeit mit Datenschutzbeauftragten seine Standardklauseln
Behördenleiter Dr. Stefan Brink gab auf Basis dieses Projekts bekannt, dass Microsoft seine Standardklauseln erweitern und so den Datenschutz bei Office 365 bzw. Microsoft 365 ausbauen will. Folgende Zusagen gibt der Konzern in seinem „Additional Safeguards Addendum to Standard Contractual Clauses“:
- Sollten US-Behörden die Herausgabe von Daten von Microsoft verlangen, will Microsoft den betroffenen Nutzer sofort informieren.
- Microsoft verpflichtet sich, den Rechtsweg zu gehen, sollten die US-Behörden eine solche Mitteilung verbieten. Außerdem will das Unternehmen auf diese Weise die Datenherausgabe möglichst verhindern, indem es sich auf die Datenschutz-Rechte der Europäischen Union beruft.
- Microsoft übernimmt darüber hinaus Haftung und leistet Schadenersatz, wenn Nutzer von Microsoft 365-Produkten benachteiligt bzw. und deren Datenschutzrechte verletzt wurden.
Dr. Brink zeigt sich positiv überrascht, dass Microsoft die Garantien nun so weit fasst – auch wenn diese Maßnahmen in enger Zusammenarbeit mit der Datenschutzaufsichtsbehörde Baden-Württemberg gefasst wurden. Orientiert hat sich das Unternehmen dabei an der Formulierungshilfe des LfDI vom September.
Geteilte Meinungen zum neuen Datenschutz-Versprechen bei Microsoft 365
Auch andere Datenschutzbehörden reagieren positiv auf dieses Versprechen. Der Präsident des Bayrischen Landesamts für Datenschutzaufsicht, Michael Will, kommentiert:
„Die Vorschläge von Microsoft sind ein wertvoller Impuls für die gemeinsame Suche nach Rechtssicherheit für Datenübermittlungen in die USA genauso wie in andere Staaten, deren Rechtsordnung den Schutzstandard des europäischen Datenschutzrechts nicht hinreichend gewährleisten können.“
Dr. Brink geht davon aus, dass die anderen US-Anbieter dem Beispiel von Microsoft nun folgen werden und ebenfalls die notwendigen Garantien in ihre Standardvertragsklauseln integrieren. Ansonsten werden sie den europäischen Markt verlieren. Er stellt jedoch auch fest:
„[…] eine Ergänzung der Standardvertragsklauseln könne eben nicht dazu führen, dass der vom Europäischen Gerichtshof als unverhältnismäßig beanstandete Zugriff der US-amerikanischen Geheimdienste auf die Daten unterbunden werde.“
Die Transferproblematik in die USA sei „nicht generell gelöst.“
Und auch in Berlin ist man mit der Stellungnahme Microsofts und dem Datenschutz bei Microsoft 365-Produkten nicht ganz zufrieden. Dort heißt es:
„Die meisten Änderungen sind positiv zu bewerten. Dennoch bleibt eins der wichtigsten Grundprobleme des Vertrags, dass er an vielen Stellen unklar und widersprüchlich ist, bestehen.“ Die Berliner Datenschutzbehörde will den Dienstleister weiter im Blick behalten.
Was bedeutet das nun für Sie?
Aus meiner Sicht ist ein erster wichtiger, sehr großer Schritt getan, um Microsoft 365 datenschutzgerecht zu gestalten. Besonders für mittlere und kleine Unternehmen sowie Schulen ist das eine positive Nachricht.
Gegen die Nutzung von Microsoft 365 und der Microsoft-Cloud bestehen aus meiner Sicht keine Einwände. Es gelten natürlich immer noch die fünf Prüfschritte. Nur eben können Sie bei Microsoft unter dem Punkt „Rechtsgrundlage für den Transfer in ein Drittland“ schon einen Haken setzen. Darüber hinaus sollten Sie geeignete technische und organisatorische Maßnahmen zum Schutz der Daten zu ergreifen. Dies gilt übrigens immer, auch wenn Sie sich für einen europäischen Anbieter entscheiden würden.
Wenn Sie aktuell andere US-Anbieter im Einsatz haben, müssen Sie diese nicht sofort ersetzen. Ich werde Sie hier im Blog informieren, sobald absehbar ist, welche Firmen dem Beispiel von Microsoft folgen – oder welche Anbieter nicht mehr DSGVO-konform eingesetzt werden können.
Erweiterte Datenschutz-Hinweise zur Nutzung von
Aufgrund der aktuellen Unsicherheit nach dem „Schrems II“-Urteil empfehle ich dennoch: Informieren Sie die Betroffenen (d.h. Webinar- und Konferenzteilnehmer) nochmals explizit, dass US-Dienstleister eingesetzt werden. Hier ein Textvorschlag:
Wir weisen Sie darauf hin, dass wir im Rahmen [der Schulung, der Videokonferenz…] den US-Dienstleister [Name] nutzen. Dabei können personenbezogene Daten in die USA übermittelt werden, obwohl die EU-Kommission nicht generell ein der EU angemessenes Datenschutzniveau für die USA festgestellt hat. Ihre Daten können dem Zugriff von Sicherheitsbehörden unterliegen, ohne dass angemessene Rechtsbehelfe bestehen. Hierbei werden die EU-Standardvertragsklauseln mit weiteren Umsetzungsmaßnahmen als Grundlage der Übermittlung angewendet.
Fazit: Die datenschutzkonforme Nutzung von Office 365 nimmt eine erfreuliche Entwicklung
Wer für den Kundenkontakt oder die interne Kommunikation weiterhin auf Office 365 setzen will, kann nach aktuellem Stand der Entwicklungen ruhiger schlafen. Auch wenn diese Maßnahmen weiterhin auf Kritik stoßen, sind sie doch eng mit deutschen Datenschutzbehörden abgestimmt. Verfolgen Sie die fünf Prüfschritte, um die Nutzung von Office 365 datenschutztechnisch abzurunden – aus meiner Sicht bestehen gegen den Einsatz keine Bedenken!