Im September haben sieben Aufsichtsbehörden eine „Handreichung“ zur Rolle von Microsoft als Auftragsverarbeiter beim Einsatz von Microsoft 365 veröffentlicht. In Bayern war der BayLfD für öffentliche Stellen dran beteiligt. Nachfolgend soll es nicht um die x-te Zusammenfassung der darin enthaltenen Aussagen aus datenschutzrechtlicher Sicht gehen. Vielmehr soll die Veröffentlichung eingeordnet werden, um mögliche Fehlschlüsse, wie „jetzt ist alles gut“ oder „die Datenschützer:innen knicken ein“, etc. zu verhindern. Daher erstmal wieder ein kleiner „historischer“ Exkurs.
- Ob und wie „Cloud-Dienste“, „Office 365“ oder „Microsoft 365“ datenschutzkonform sind, darüber wurde schon vor der DSGVO debattiert (vgl. hierzu das Pad zu „Stand MS365„)
- Es gab die Gerichtsurteile des EuGH „Schrems I + II“.
Spoiler, da viele immer nur über den deutschen Datenschutz schimpfen und der Meinung sind, woanders in der EU wäre es besser: beim Gericht handelt es sich um den EUROPÄISCHEN Gerichtshof. NICHT um ein deutsches Gericht, um dies nochmals klarzustellen. - Auch Behörden anderer Länder, bspw. Niederlande erwähnten in ihren Datenschutz-Folgenabschätzungen (DSFA) Risiken für Betroffene.
Anmerkung: Daraufhin wurde u. a. versucht über einen „risikobasierten Ansatz“ eine Datenübermittlung außerhalb des EWR zu begründen.
Spoiler nach österreichischer DSB: Geht nicht, da gibt´s nicht. - Über die Jahre prüften und mahnten Viele und Microsoft nahm Veränderungen vor.
- Für den Autor ein Lichtschimmer, als ab 2020 bis 2021 der LfDI BaWü zusammen mit dem KM BaWü und Microsoft gemeinsam an einer datenschutzkonformen Lösung für Schulen „bauten“.
„…eine „Lösung“ ist ganz nah, wenn der Hersteller sagt, wir sind konform, die Aufsicht prüft (Soll-Ist-Abgleich) und am Schluss sich alle in den Armen liegen, da die Konformität „offiziell“ bestätigt wird…“ – Ups, ein Traum. - Viel Medien-„Staub“ wurde aufgewirbelt, Viele prüften und mahnten und Microsoft nahm Veränderungen vor, unabhängig der eigenen Aussage, dass das Produkt ds-konform ist.
- Die Datenschutzkonferenz (DSK) veröffentlichte ein Dokument, wonach ein Einsatz nicht möglich ist, da die Rechenschaftspflicht nicht eingehalten werden kann. Mit dem Hinweis, dass nur ein Teil des Vertragswerks geprüft wurde und keine technischen Messungen erfolgten. Hier gab es nur den Verweis auf die Messergebnisse des LfDI BaWü.
Dies wurde wiederum von Kritikern bemängelt, ohne dass jemand anders mal nachgemessen hätte, bzw. von Seiten des Herstellers, alles transparent offen gelegt wurde.
Anmerkung: Bei einem sich ständig verändernden Produkt macht es auch wenig Sinn eine Messung als Grundlage für eine Rechtskonformität heranzuziehen. Vor allem, wenn schon das Vertragswerk, was die Grundlage hierfür wäre, nicht passt.
Die Messung des LfDI BaWü zeigte neben der Problematik eines Drittlandtransfers ja dennoch andere Bereiche auf, wie Datenminimierung, nicht nachvollziehbare und nicht dokumentierte Verarbeitungen, etc. - Der neue Angemessenheitsbeschluss tritt in Kraft und für Viele scheinen alle Sorgen und Bedenken vorbei. Hr. Hasse vom TLfDI mahnte in einer Pressemitteilung zur Vorsicht.
Anmerkung: Zwar mag es nun mit den USA einen Angemessenheitsbeschluss geben. Aber Datenübermittlungen können auch in andere Drittländer erfolgen, bspw. auch durch Subunternehmer. - Sieben Aufsichtsbehörden stellen eine Handreichung zur Verfügung.
Ende gut alles gut?
Naja. Was macht die Handreichung und warum – nachfolgend meine Interpretation – wurde sie erstellt?
Anhand des zeitlichen Exkurses lässt sich erkennen, dass sich die Aufsichtsbehörden mit Zeit und Geduld sich mit Microsoft auseinandersetzen, Gespräche führen, Veränderungen bewirken, die Verantwortlichen informieren, aufklären und auf Besserung hinwirken. Hätten die Aufsichtsbehörden dies in diesem Umfang machen müssen? Vermutlich nicht. Dürfen Aufsichtsbehörden Produkte verbieten, wie es oftmals dargestellt wird? Gewiss nicht.
Wird die Arbeit der Aufsichtsbehörden von den Verantwortlichen und Medien anerkannt, wertgeschätzt und wird daraufhin von den Kunden der Druck auf Microsoft erhöht? Eher nein. Vielmehr wird der Datenschutz als Verhinderer wahrgenommen oder als nicht zeitgemäß, weltfremd, usw.
Wie passt nun die Handreichung hier rein? Ich würde sie als nette Geste der Aufsichtsbehörden an die Verantwortlichen sehen, ihren Job nachzukommen. Denn die Rechtmäßigkeit herzustellen und den Nachweis darüber zu führen haben die Verantwortlichen, wenn sie für Verfahren MS 365 einsetzen und der damit verbundenen Verarbeitung personenbezogener Daten. Nicht die Aufsichtsbehörden.
Und so ist die Handreichung eine gute Geste UND deutlicher Hinweis an die Verantwortlichen, sich nun auch endlich mit Microsoft auseinanderzusetzen, wenn deren Produkte für bestimmte Verfahren eingesetzt werden sollen. Damit ein KMU gegen einen multinationalen Konzern nicht komplett untergeht, haben die Behörden dankenswerterweise Punkte erarbeitet, auf die sich Verantwortliche beziehen sollen.
Was nicht vergessen werden darf. Die Aufsichtsbehörden hätten jederzeit Unternehmen, Einrichtungen, Behörden, welche MS 365 für Verfahren einsetzen prüfen können, mit ggf. Rechtsfolgen für den Verantwortlichen. Zwar hätte dies vermutlich auch wieder zu einem Aufschrei geführt wie, „immer nur gegen die Kleinen, gegen die Großen wird nicht vorgegangen“. Dies wäre jedoch nur konsequent gewesen.
Entsprechend sollten sich die Verantwortlichen ihrer Verantwortung bewusst werden. Und sollte festgestellt werden, dass der Aufwand, Kosten und Zeit, zu groß wird… Vielleicht sollten dann alte Denkmuster und Gewohnheiten aufgegeben werden. Inzwischen tummeln sich doch einige Alternativen auf dem Markt.
Abschließend sind noch zwei Äußerungen zu erwähnen, die während der itsa 2023 aufgeschnappt wurden.
In der ersten Aussage geht es um einen gewissen Frust eines Herstellers, der berichtet, dass es einen wirtschaftlichen Nachteil bringen kann, sich um Datenschutz zu bemühen, solange der Preis für Verantwortliche das einzig Mittel bei der Auswahl ist.
Die Umsetzung von „Privacy by Design“ und „Privacy by Default“, die Bereitstellung von Dokumentationen und der Einsatz / Verzicht von Subunternehmen kann einen Preis im Vergleich zur Konkurrenz, die sich weniger daran hält, erhöhen. Um Verantwortliche hier zu sensibilisieren, sei auf die Orientierungshilfe vom April 2023 des BayLfD zum „Datenschutz als Kriterium im Vergabeverfahren“ hingewiesen.
Die zweite Aussage lässt sich mit „Papier ist geduldig“ zusammenfassen. Hier geht es um die Frage, ob die vertraglichen Vereinbarungen mit Auftragsverarbeitern wirklich eingehalten werden. Oder es am Schluss doch wieder auf Vertrauen ankommt, wobei dies keine Erwähnung in der DSGVO findet, sondern i.d.R. von Transparenz gesprochen wird.
Hier sei an Erwin Pelzig erinnert, der ausschließt, dass Vertrauen und Transparenz einander einhergehen.
Denn entweder ich vertraue einer Person, dann brauche ich keine Transparenz. Wobei fraglich ist, ob dies gegenüber einem Unternehmen möglich ist.
Oder ich fordere Transparenz ein, um überprüfen zu können, was passiert. Dann vertraue ich dieser Person nicht.
Zwar mag aus Transparenz auf längere Sicht Vertrauen entstehen. Vertrauen einzufordern um Transparenzpflichten zu umgehen, sollte jedoch misstrauisch machen.
Externe Quellen:
– Datenschutz Schule Info Artikel zur Handreichung
– Datenschutz-Bayern Dokument Handreichung
– Datenschutz-Bayern Dokument Datenschutz im Vergabeverfahren
– LfD Niedersachsen Pressemitteilung und Dokument zur Handreichung
– TlfDI Pressemitteilung zum Data Privacy Framework
– heise.de Artikel
– Malter365 Artikel
– Dr. Windows Artikel
– Stefan Hessel Beitrag auf Linkedin
– Datenschutz Praxis Artikel zu risikobasierten Ansatz bei Drittlandtransfer