Vom 23. auf den 24. November 2022 fand die 104. Datenschutzkonferenz des Bundes und der Länder statt. Thema war u.a. die mit Spannung erwarteten Äußerungen zu Microsoft 365.
Vorgeschichte
Die Thematik der DS-Konformität von MS-Produkten gibt es schon lange, beispielsweise zum Betriebssystem oder zu den Office Bürosoftware-Produkten. Hierbei ging es insbesondere um die die Übertragung von personenbezogenen Daten an Microsoft.
Personenbezogene Daten finden sich insbesondere in Logfiles und Telemetrie-/ Diagnosedaten, welche von den Systemen an und von Microsoft verarbeitet werden. Microsoft beobachtet, zeichnet auf und wertet das Nutzer- und Geräteverhalten aus. Dies kann dazu führen, dass die Tastenanschläge, Wortfetzen, Teile von Texten, wer mit wem, wann kommuniziert verarbeitet wird.
Rechtsprechung
Unter der Rechtsprechung des EuGH, hervorzuheben
– zu dynamischen IP-Adressen (2016, Fall: Breyer),
– gemeinsamer Verantwortung; Offenlegung von personenbezogene Daten durch den
Browser (2019, Fall Fashion ID) und
– Schrems II (2020; Transfer in ein unsicheres Drittland),
haben die Aufsichtsbehörden die rechtlichen Vorgaben des EuGHs umzusetzen.
Dies muss aus zweierlei Gründen immer wieder erwähnt werden. Denn die Äußerungen der Aufsichtsbehörden sind kein gesprochenes Recht. Nur Gerichte sprechen Recht. Entsprechend gibt es spätestens nach einem EuGH Urteil wenig Spielraum.
Alte Geschichten
Auch vor Schrems II gab es schon Veröffentlichungen und Entschließungen, insbesondere zu der „Datensammelwut“ der Office Produkte und der Betriebssysteme.
Hieraus entstanden Orientierungshilfen der DSK und Empfehlungen des BSI zur Konfiguration von Windows-Systemen, bzw. anderer technischer Maßnahmen, um den Datenfluss zu unterbinden.
Gleich kommts
Die aktuellen Ergebnisse und Beschlüsse zu MS 365 und den „Online-Diensten“ sind somit eine Fortsetzung der Bewertung des Arbeitskreises Verwaltung vom 22.09.2020. Auch damals gab es Einschätzungen, dass die Produkte MS 365 wohl nicht datenschutzkonform nutzbar sind. Wurden 2020 die Ergebnisse dieser Arbeitsgruppe nur mit knapper Mehrheit angenommen, herrscht inzwischen Einstimmigkeit.
Was sagt nun die DSK?
Somit legte sich die DSK nun wie folgt fest:
„1. Die DSK nimmt den Bericht der Arbeitsgruppe DSK „Microsoft-Onlinedienste“
und dessen Zusammenfassung zur Kenntnis.
2. Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest,
dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann.
Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.
3. Für eine vertiefte Bewertung der Gesprächsergebnisse stellt die DSK die
beigefügte Zusammenfassung der Arbeitsgruppenergebnisse zur Verfügung.“
Insbesondere wurde abgestellt auf:
• Fehlende Transparenz, welche personenbezogene Daten für was verarbeitet werden, insbesondere die Frage, welche personenbezogene Daten MS für eigene Zwecke verarbeitet.
• Von öffentlichen Stellen, Schulen dürfen personenbezogene Daten für eigene Zwecke nicht verwendet werden.
„Eine Verwendung personenbezogener Daten der Nutzenden (z.B. Mitarbeitenden oder Schüler:innen) zu eigenen Zwecken des Anbieters schließt den Einsatz eines Auftragsverarbeiters im öffentlichen Bereich (insbesondere an Schulen) aus.
Die Rechtsgrundlage des berechtigten Interesses nach Art. 6 Abs. 1 lit. f DS-GVO ist für Behörden nicht einschlägig (vgl. Art. 6 Abs. 1 Satz 2 DS-GVO).“
Weisungsbindung, Offenlegung verarbeiteter Daten, Erfüllung rechtlicher
Verpflichtungen, CLOUD Act, FISA 702
Puh… wäre ein eigenes Thema. Aber das nach US-Recht der Staat viel darf, notfalls auch auf Servern in der EU sollte inzwischen bekannt sein.
Einwilligung
Die Praxis, mit der viele Einrichtungen arbeiten, dies über eine Einwilligung zu regeln, wird nicht haltbar sein. Denn, damit eine Einwilligung rechtskräftig ist, bedarf es einer transparenten und informierten Einwilligung. Hierfür hat der Verantwortliche den Betroffenen über die genaue Datenverarbeitung zu informieren. Da selbst der Verantwortliche nicht weiß, welche personenbezogenen Daten verarbeitet werden, kann er es dem Betroffenen auch nicht mitteilen, womit eine informierte Einwilligung nicht möglich ist.
Ein Job für Mr. TOM (technische und organisatorische Maßnahmen)
Zwar schließt die DSK einen datenschutzkonformen Einsatz nicht aus. Ergänzend zu den
bisherigen Maßnahmen, Nutzung von Enterprise / Education Versionen und Unterbindung der Telemetriedaten anhand der BSI Vorgaben, müssen noch weitere Maßnahmen hinzukommen. Als Beispiele werden Virtualisierungen, Proxy-Server vorgeschlagen. Dies führt jedoch dazu, dass die Nutzung nur innerhalb des eigenen Netzwerks (was ist mit mobilen Arbeitsplätzen?) und ohne Cloud-Nutzung funktionieren wird. Ganz zu schweigen von der Nutzung mobiler-Apps für Smartphones, Tablets.
Auch die geplante EU-Datengrenze (EU Data Boundary) wird laut Microsoft nicht dazu führen, dass alle Daten innerhalb der EU verarbeitet werden.
Zur Verwendung einer naheliegenden Verschlüsselung wird sich wie folgt geäußert: „Viele der in Microsoft 365 enthaltenen Dienste erfordern einen Zugriff von Microsoft auf die unverschlüsselten, nicht pseudonymisierten Daten. Die naheliegende Möglichkeit der Verschlüsselung der verarbeiteten Daten ist regelmäßig nicht möglich, beispielsweise wenn die Daten im Browser angezeigt werden müssen. Microsoft hat somit regelmäßig und letztlich schon zur Erfüllung vertraglicher Leistungspflichten die Möglichkeit, Daten im Klartext zu lesen.“
Neben dem Datenschutz und der IT-Sicherheit muss hier auch die betriebswirtschaftliche Seite betrachtet werden. Wenn durch TOMs der Preis immer mehr steigt, kann es sinniger sein, lieber in ein Produkt zu investieren, was von Anfang an „besser“ ist.
Alternativen
Und mal Hand aufs Herz. Was braucht man den wirklich um digital und mobil Arbeiten zu können? Folgendes Setup wäre möglich:
– Online-Speicher -> Nextcloud, Moodle
– E-Mail und Kalender -> Delta Chat für „sichere“ Kommunikation
– Messenger -> Matrix, Signal, Threema
– Videokonferenz für mehr als 10 Leute -> BigBlueButton, Jitsi
– (Gemeinsame) Dokumentenbearbeitung -> Only Office, Collabora oder Cryptpad
Zum Schluss
Welche freie, alternative Software es gibt, wo diese zu finden ist, etc. findet Ihr in der Leseecke. Zum Schluss, kurz vor Weihnachten noch ein Wunsch.
Um es mit Lt. Frank Drebin zu sagen :“Ich möchte eine Welt, in der ich aus einer Toilette trinken kann, ohne Ausschlag zu kriegen. Ich möchte eine Welt in der MS 365 ds-konform nutzbar ist“.