Nachdem es nun weniger als ein Jahr noch ist, bis die Datenschutz-Grundverordnung (DSGVO) in Kraft tritt und damit gewissermaßen der Countdown zum Schlussspurt eingeläutet ist, wollen wir die Gelegenheit beim Schopfe packen und einen der großen Knackpunkte, der auch in der Praxis erhebliche Bedeutung hat, aufgreifen, nämlich die Auftragsdatenverarbeitung – oder nach neuer Terminologie: Auftragsverarbeitung. Ein typisches Szenario ist der Sprung in die Cloud: Ein Unternehmen mit Sitz innerhalb der EU (womöglich in Deutschland) möchte für seinen Betrieb bestimmte Online-Dienste von Microsoft einsetzen.

Der vorliegende Artikel beleuchtet vor diesem Hintergrund die aktuelle Version der Vertragsvorlage von Microsoft.[1] Um den Rahmen eines redaktionellen Beitrags zu wahren, wird auf die vollständige Ausformulierung der erfolgten Begutachtung verzichtet. Vorrangig soll eine Grundlage geschaffen werden, um für eine eigene maßstabsgetreue Prüfung besser gewappnet zu sein. Dabei wird im Zuge der Erläuterung ausschließlich auf Definitionen aus der neuen Verordnung eingegangen.[2]

Ein kleiner Wegweiser

Zum Abklopfen des Textes auf seine datenschutzrechtlichen Anforderungen ist der Weg zum Glück recht einfach: Dank eines aussagekräftig strukturierten Inhaltsverzeichnisses sind die maßgeblichen Passagen im Vertragstext schnell ausfindig gemacht; so entfalten sich die datenschutzrechtlich relevanten Informationen auf den Seiten 8 bis 16 (zzgl. dem Anhang 3, welcher die EU-Standardvertragsklauseln beinhaltet) des insgesamt 38 Seiten umfassenden Dokuments.

Trampelpfade

Doch genug der formalen Vorrede – uns interessiert die Frage, inwieweit Microsoft bereits zum jetzigen Zeitpunkt für die datenschutzrechtliche Zukunft vorsorgt, oder konkreter, ob die aktuelle Vertragslage ausreicht, um die Anforderungen der DSGVO zu erfüllen. Um bereits hier die Katze aus dem dramaturgischen Sack zu lassen: Ja, sie reicht. Wer dennoch etwas tiefergehend mitreden möchte, auch um z. B. zu erfahren, welche Stolpersteine noch in der Übergangsphase bis zum nächsten Jahr drohen oder welche technischen Einzelheiten auch danach verstärkt Anlass zur Diskussion geben könnten, darf gespannt weiterlesen.

Das Dickicht der Auftragsverarbeitung

Nähert man sich der Thematik frontal, so stößt man alsbald auf Art. 28, welcher umfassend die Pflichten von Auftragsverarbeitern regelt. Doch, Halt! Fällt Microsoft überhaupt unter diese Regelung? Das sollte vielleicht schon zuerst geklärt sein, bevor man sich weiter den Kopf zerbricht. Also, einen halben Schritt zurück und Art. 3 Abs. 2 aufgesucht, welcher unzweifelhaft festlegt, dass die DSGVO ausdrücklich auch dann gilt, wenn ein Auftragsverarbeiter Dienste für Personen innerhalb des EU-Raums anbietet, und zwar unabhängig davon, wo der Auftragsverarbeiter selbst seinen Sitz hat.

Das spiegelt exakt das typische Szenario wider, welches eingangs beschrieben wurde. Insofern ist die Neuregelung definitiv eine Erleichterung in der Weise, dass sich Microsoft nunmehr unmittelbar als Adressat der Verordnung angesprochen fühlen darf – und nicht mehr (nur) mittelbar dadurch, dass eine Mitwirkung an der bisherigen Verpflichtung des Auftraggebers nötig ist. Der Unterscheid liegt in der Haftung begründet: Microsoft hat selbst für die Einhaltung der DSGVO einzustehen inkl. aller möglichen Konsequenzen bei Nichteinhaltung (Stichwort: Erhöhter Rahmen für Bußgelder). Wo genau das zum Knackpunkt werden kann, soll später noch vertieft werden.

Zunächst aber werden einige Aspekte zur Verschärfung von bisherigen Vorschriften beleuchtet. Sie beschreiben detaillierte Anforderungen an eine Auftragsverarbeitung und konkretisieren diese stärker als unter den Regelungen des (noch) amtierenden Bundesdatenschutzgesetzes (BDSG). Zusätzlich sollen weitere ausgewählte Punkte tiefergehend erörtert werden, die erfahrungsgemäß für viele betroffene Personen sowie für die betrieblichen Datenschutzbeauftragten eine herausgehobene Bedeutung einnehmen.

Eine Lichtung als Zeltplatz …

Eine wesentliche Neuerung – obgleich nicht so prominent in der Öffentlichkeit diskutiert wie andere Bestimmungen – ist in Art. 27 Abs. 1 geregelt: Danach muss der „Drittland-Auftragsverarbeiter“ nach Art. 3 Abs. 2 (siehe oben) schriftlich einen Vertreter in der EU benennen. Im Falle eines so großen global agierenden Unternehmens wie Microsoft ist dieser Punkt freilich eher unter „Formalitäten“ abzubuchen – mit der Angabe seiner irländischen Vertretung auf Seite 10 des Vertrags wird diese Vorgabe auch erfüllt – allerdings mag nicht jeder (kleinere) US-Anbieter mit dieser Regelung vertraut sein. Wird diese vermeintliche Lappalie übersehen, ist im Zweifel der gesamte Vertrag unwirksam – noch dazu wo offenbleibt, ob mit „schriftlich“ hier die Schriftform nach § 126 BGB gemeint ist oder ob auch eine elektronische Form (wie z.B. in Art. 28 Abs. 9 erwähnt) ausreicht.

Darüber hinaus sieht die DSGVO vor, dass der Auftragsverarbeiter den Verantwortlichen bei der Wahrnehmung von Betroffenen-Rechten unterstützt. Diese in Art. 28 Abs. 3 S. 2 lit. e niedergelegte Verpflichtung setzt zwar auf der aus § 11 Abs. 2 Nr. 4 BDSG bekannten Vorgabe auf, in den Vertrag (irgend)eine Regelung zur Berichtigung, Löschung und Sperrung von Daten aufzunehmen. Jedoch ist sie insofern eine Konkretisierung, als nunmehr der Auftragsverarbeiter direkt in die Pflicht genommen wird. Damit einher geht auch die Regelung in Art. 28 Abs. 3 S. 2 lit. b, nach der die Mitarbeiter des Auftragsverarbeiters zur Vertraulichkeit zu verpflichten sind. Hier hat man seitens des Verordnungsgebers eine geläufige Methode aus dem „Best Practice-Katalog“ aufgegriffen. Auch diese Maßnahme wird durch Microsoft umgesetzt, so beschrieben auf Seite 12 des Vertrags unter dem Punkt „Mitarbeiter von Microsoft“. Auch das ist also eine eher bekannte Maßnahme.

… mit Lagerfeuer und Unterhaltung

Sehr viel spannender wird es da schon, wenn man sich die weiteren Anforderungen des Art. 28 vergegenwärtigt. Eine der tragenden Neuerungen in diesem Zusammenhang betrifft das Ergreifen von geeigneten Maßnahmen zur IT-Sicherheit, Art. 28 Abs. 3 S. 2 lit. c. Darunter fällt zum einen das, was Microsoft in seinem Vertrag auf den Seiten 12-15 als Sicherheitsmaßnahmen beschreibt. Auf den Katalog in seiner Gesamtheit soll hier aus Platzgründen nicht näher eingegangen werden. Wohl aber lohnt der Blick auf ein paar Details, die in Bezug auf Online-Dienste generell von Interesse sind. So ist es für viele betroffene Unternehmen regelmäßig eine Herausforderung, an Informationen über den Ort der Datenverarbeitung zu gelangen. Das wiederum ist wichtig, um zu beurteilen:

  • Welche Art von Vertrag muss ich überhaupt mit meinem Anbieter abschließen?
  • Hat er seinen Sitz innerhalb der EU oder in einem Drittland?
  • Wie sicher ist das Land, für das der Speicherort (nicht: Sitz des Anbieters!) angegeben ist, eingestuft? Gibt es evtl. einen Angemessenheitsbeschluss durch die EU-Kommission?

Im Falle von Microsoft bietet der Vertrag insofern Unterstützung, als (zumindest) die „Speicherstelle“ mitgeteilt wird (siehe Seite 12 des Vertrags). Microsoft spricht in diesem Fall von „ruhenden Kundendaten“. Dieser Begriff ist weder gesetzlich belegt noch im Vertrag selbst definiert. Daher darf man wohl davon ausgehen, dass zwar für die Speicherung (als eine von vielen Formen der Datenverarbeitung) ein fester Ort vorgegeben ist, hingegen für die anderweitige Nutzung von Rechenleistung der Datenbestand (jedenfalls zeitweilig) zwischen verschiedenen Standorten zirkuliert. Für einzelne Dienste wird ein abweichender Speicherort in Bezug auf Daten „im Ruhezustand“ angegeben. Ferner räumt sich Microsoft über die „Allgemeinen Datenschutz- und Sicherheitsbestimmungen“ das Recht ein, abweichende Sicherheitsstandards in Bezug auf sogenannte Previews (dabei handelt es sich um Vorschau-, Beta- oder sonstige Vorabversionen von Features oder Diensten) zu ergreifen. Es empfiehlt sich in jedem Fall eine präzise Lektüre der zu dem jeweiligen Dienst gehörigen Passage im Vertrag, damit man selbst im konkreten Fall feststellen kann, mit welchen Einschränkungen ggf. zu rechnen ist.

Zum anderen – um den Bogen zurück zum Ausgangspunkt beim Thema IT-Sicherheit zu schlagen – ist von Art. 28 Abs. 3 S. 2 lit. f ebenfalls die „Benachrichtigung/Meldung bei Verletzungen des Schutzes personenbezogener Daten“ umfasst – eine Regelung, die für den routinierten Datenschutz-Anwender stark nach § 42a BDSG klingt. Auch wenn es der Sache nach also schon beinahe als alter Hut daherkommt, ist es doch erstaunlich wie diese alten Hüte immer wieder in Mode kommen. Oder anders formuliert: Die Vorschrift hat für die Praxis (leider) stark zunehmende Bedeutung angesichts von immer wieder (bzw. stetig) sich ereignenden Datenpannen und gezielten Hacker-Angriffen auch auf informationstechnische Schwergewichte (wie jüngst z. B. durch die WannaCry-Attacke auf Krankenhäuser oder Verkehrsinfrastruktur).

Vorliegend soll es nun weniger darum gehen, die Modalitäten der (mehr oder weniger) neuen Meldepflicht zu erläutern, sondern vielmehr, wie Microsoft dieses Thema vertraglich besetzt. Hierbei greifen verschiedene Passagen des Regelwerks ineinander. In der Terminologie wird dabei unterschieden zwischen einer „Sicherheitsverletzung“ (Stufe 1) und einem „Sicherheitsvorfall“ (Stufe 2). Während die Verletzung der (Informations-)Sicherheit abstrakt ein Szenario beschreibt, in dem ein unrechtmäßiger Zugriff auf Kundendaten festgestellt wurde, beschreibt der Vorfall eine Sicherheitsverletzung, die tatsächlich zu Verlust, Offenlegung oder Änderung von Kundendaten geführt hat. Auf Stufe 1 führt Microsoft Buch über sämtliche Vorfälle (in Kategorien wie z. B. Art sowie Zeitpunkt der Verletzung, handelnde Personen sowie angewendete Verfahren zur Datenwiederherstellung) und wertet sie aus, um (intern) Verbesserungen bei den Sicherheitsmaßnahmen anzustreben. Auf Stufe 2 bekommt der Kunde eine Information über den konkreten Vorfall einschließlich der Angaben zu Art der Daten, Zeitpunkt des Vorfalls und wem gegenüber die Daten offengelegt wurden; hilfsweise wird der Kunde in die Lage versetzt, die Szenarien selbst zu ergründen. Die Pflicht zur Unterstützung bei der Behandlung von Sicherheitsvorfällen („Datenpannen“) ist damit erfüllt.

Und was sagt der Auditor?

Weitere wichtige Schlagworte im Zusammenhang mit der Novellierung des Datenschutzes durch die DSGVO sind Auditierung, Zertifizierung und Nachweisbarkeit. Partiell ineinandergreifend nehmen diese Begriffe den Trend zur immer stärker nachgefragten Überprüfbarkeit von eingesetzten Maßnahmen auf. Klar möchte man wissen, ob das, was vertraglich zugesichert wird, auch wirklich etwas taugt und muss dies nach Art. 28 Abs. 1 sogar überprüfen.

Im vorliegenden Fall wird diese Überprüfung in der Weise ausgestaltet, dass der Kunde mit Microsoft eine Abrede trifft, nach der Microsoft die Prüfung für den Kunden wahrnimmt (siehe Seite 15/16 des Vertrags). Hierbei wird auch auf die entsprechenden Regelungen in den EU-Standardvertragsklauseln Bezug genommen, die dem Vertag angehängt sind und als sein Bestandsteil gelten. Im Einzelnen erfolgt die Prüfung auf Kosten von Microsoft und wird stets von „unabhängigen dritten Sicherheitsprüfern“ durchgeführt. Die Prüfberichte zählt Microsoft zu seinen vertraulichen Unterlagen und stellt diese dem Kunden auf Anfrage zur Verfügung. Es ist daher nicht möglich, vorab einen prüfenden Blick in diese Unterlagen zu werfen. Da Microsoft jedoch zusichert, für jeden seiner im Vertrag gelisteten Dienste u.a. die Anforderungen nach ISO 27001 zu erfüllen, darf man wohl davon ausgehen, dass in Zusammenschau mit den weiteren im Vertag genannten Angaben ein nach gewöhnlichen Maßstäben angemessenes Sicherheitsniveau gewährleistet ist. Und damit hätten wir tatsächlich das berühmte grüne Häkchen auf der Checkliste.

[Im nächsten Teil des Beitrags werden wir erörtern, inwiefern auch weitergehende Maßnahmen zur IT-Sicherheit durch Microsoft eingehalten werden und welche Punkte noch zum Problem werden könnten.]

[1] Microsoft OnlineServiceTerms (OST), Stand Mai 2017; http://www.microsoftvolumelicensing.com/Downloader.aspx?DocumentId=12188, abgerufen am 2. Mai 2017

[2] Artikel ohne weitere Benennung, auf die im Text verwiesen wird, sind solche der DSGVO.