Im ersten Teil unseres Beitrags haben wir uns neben einigen „formalen“ Aspekten primär den allgemeinen Sicherheitsstandards sowie dem Thema Auditierung des ADV-Vertrags von Microsoft gewidmet. Abschließend wollen wir nun klären, welche inhaltlichen Schwerpunkte man darüber hinaus bei der Begutachtung des vertraglichen Konstrukts von Microsoft setzen sollte.
Nachtwanderung
Wer sich mit dem Text des Art. 28 schon etwas näher befasst hat, dem könnte aufgefallen sein, dass Art. 28 Abs. 3 S. 2 lit. c vorschreibt, dass der Auftragsverarbeiter sämtliche erforderlichen Maßnahmen aus Art. 32 zu ergreifen hat.
Über Art. 32 sind im Vertragsverhältnis somit ebenfalls zu berücksichtigen:
- Pseudonymisierung und Verschlüsselung,
- die dauerhafte Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste,
- die rasche Wiederherstellung der Verfügbarkeit bei einem Zwischenfall sowie
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der getroffenen Sicherheitsmaßnahmen.
Den letztgenannten Aspekt haben wir beim Stichwort „Auditor“ bereits geklärt und für positiv befunden. In Sachen Backup finden wir ergänzende Angaben im Vertrag auf Seite 14 (Verfahren zur Datenwiederherstellung). Dazu gehört auch die bereits thematisierte Meldung von Sicherheitsverletzungen bzw. -vorfällen. Auch die dauerhafte Nutzbarkeit unter dem vorgesehenen Sicherheitsstandard dürfte in Zusammenschau der diversen dokumentierten Maßnahmen, insbesondere durch die regelmäßige Auswertung von Protokolldateien und die unter dem Abschnitt „Zugriffskontrolle“ (Seite 14 des Vertrags) beschriebenen Aspekte gegeben sein.
Um die Pseudonymisierung müsste sich der Kunde wohl selbst kümmern, zumal Microsoft auf Seite 13 des Vertrags klarstellt, dass die eigene Verantwortlichkeit auf die zuvor genannten technischen Grundlagen beschränkt ist. Was aber ist mit dem wichtigen Thema Verschlüsselung? Hier hätte Microsoft durchaus die Möglichkeit, dem Kunden rein technisch ein Instrument zur Verfügung zu stellen, mit dem die verschlüsselte Ablage von Daten ermöglicht wird, ohne zugleich Zugriff auf den Datenbestand haben zu müssen. Jedoch spricht Microsoft auf Seite 14 des Vertrags unter der insofern etwas missverständlich gewählten Überschrift „Grenzüberschreitende Daten“ lediglich davon, „Kundendaten zu verschlüsseln, die über öffentliche Netzwerke übertragen werden.“ Das klingt allenfalls nach einer Transportverschlüsselung. Zwar könnte man die auch schon unter die Vorgabe des Art. 32 Abs. 1 Hs. 2 lit. a fassen, da die DSGVO insofern keine genaueren Einschränkungen in Bezug auf die Art der Verschlüsselung vornimmt, weder im Verordnungstext selbst noch in den Erwägungsgründen.
Es scheint aber diskussionswürdig, ob nicht doch eine weitergehende Form der Verschlüsselung – auch und gerade in Bezug auf die Speicherung von Daten – als notwendig anzusehen ist. Damit wäre nämlich ein nachhaltig wirksames Mittel gegen unbefugte Zugriffe (oder genauer: gegen mögliche Angriffe von außen) geschaffen, würde also der IT-Sicherheit insgesamt beachtlichen Vorschub leisten.
Daher kann man zumindest die Frage in den Raum stellen, ob nicht vor diesem Hintergrund ein so einflussreicher, großer und demzufolge mit relativ umfangreichen Ressourcen ausgestatteter Anbieter wie Microsoft angehalten sein müsste, einen solchen grundlegenden Sicherheitsmechanismus bereitzustellen. Immerhin spricht auch die DSGVO im Wortlaut der o.g. Vorschrift davon, dass die getroffenen Maßnahmen „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung“ geeignet sein müssen.
Ein Knacken im Unterholz
Darüber hinaus lohnt ein nochmaliger Blick auf die Vorschrift des Art. 28 Abs. 3 S. 2 lit. f, die bereits weiter oben zum Thema Sicherheitsvorfälle angesprochen wurde. Hier droht datenschutzrechtliches Ungemach. Denn der Auftragsverarbeiter hat ebenso zu unterstützen in Bezug auf:
- die Durchführung einer Datenschutzfolgeabschätzung gemäß Art. 35 und
- die Konsultationspflicht gemäß Art. 36.
Auch wenn viele Begrifflichkeiten im Microsoft-Vertag die gesetzlichen Erfordernisse gut abdecken, zu diesen beiden Themenbereichen wird man leider nicht fündig. Heißt das nun, dass der Vertag unwirksam ist? Nun, wer sich an die entlaufene Katze aus unserem ersten Beitrag erinnert, der weiß: Nein, dem ist nicht so – glücklicherweise. Dieser Punkt eröffnet freilich Spielraum für Diskussion, der wie folgt gefüllt werden kann: Die Verordnung spricht ausdrücklich davon, dass der Auftragsverarbeiter diese Verpflichtung „unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen“ zu erfüllen hat. Es spricht daher viel dafür, den Auftragsverarbeiter umso stärker in die Pflicht zu nehmen und in organisatorische Prozesse einzubinden, je inhaltlich dichter er mit dem Datenbestand in Berührung kommt.
Vorliegend zieht Microsoft die vertragliche Grenze zum Umgang mit den Kundendaten eben bei der technischen Plattform. So wird auf Seite 8 des Vertrags klargestellt, dass sämtliche Rechte an den Daten beim Kunden verbleiben, sich Microsoft also inhaltlich nicht weiter „einmischen“ möchte. Flankierend dazu wird auf Seite 13 ausgeführt, dass die Sicherheitsmaßnahmen die einzige Verantwortlichkeit in Bezug auf die Kundendaten darstellen. Zusammengenommen sind das Indizien für eine weitgehende Trennung der technischen (an Microsoft adressierte) von der inhaltlich-organisatorischen (dem Kunden zugehörigen) Seite der Datenverarbeitung.
Der Kunde wird mittelbar dadurch unterstützt, dass Microsoft selbst eine Risikobewertung in Bezug auf die Datenverarbeitung bzw. die dem Kunden angebotenen Dienste vornimmt. Ebenso kann der Kunde die ihm bereitgestellten Informationen nutzen, um sie im Rahmen einer Datenschutzfolgenabschätzung selbst auf Angemessenheit zu prüfen. Im Hinblick auf die eingangs erwähnte abgestufte Verantwortlichkeit des Auftragsverarbeiters erscheint das sachdienlich. Denn letztlich ist es der Kunden, der darüber entscheidet, welche Arten von z. B. Kundendaten er im CRM-System speichert und wie diese im Weiteren verarbeitet werden. Zwar spielt die technische Absicherung eine erhebliche Rolle bei der Beurteilung der einem Verfahren innewohnenden Risiken. Gleichwohl kann dieser Umstand nicht darüber hinwegtäuschen, dass es nur einen Teilbereich der Überlegungen darstellt, welche der Verantwortliche anstellen muss. Darüber hinaus sind gemäß Art. 35 etliche weitere Gesichtspunkte zu benennen und zu beurteilen, über die sich letztlich nur derjenige ein treffendes Urteil erlauben kann, der auch tatsächlich Einblick in die Daten hat.
Insofern erscheint es zum einen sachgemäß und zum anderen rechtlich vertretbar, die Unterstützungspflicht des Auftragsverarbeiters einschränkend auszulegen und den Fokus dabei auf die ihm zur Verfügung stehenden Informationen über den Datenbestand zu legen, so wie es der Wortlaut des Art. 28 Abs. 3 S. 2 lit. f bereits einräumt. Für den vorliegenden Fall zumindest stellt sich das Verhältnis der dem Kunden vertraglich zuteilwerdenden Unterstützung als angemessen dar.
Stolpersteine
Was gibt es sonst noch zu beachten? Unabhängig von der bis hierhin erfolgten Begutachtung des Vertragswerkes gibt es weitere Gesichtspunkte, die Probleme aufwerfen können und von denen wir zwei etwas näher unter die Lupe nehmen wollen.
Der eine betrifft das Vertragsmanagement von Microsoft. Der Umstand, dass die OnlineServiceTerms (OST) in monatlich aktualisierten Fassungen online bereitstehen, ist vorteilhaft, um technische Neuerungen einzupflegen und auf rechtliche Änderungen zu reagieren. Gleichzeitig erfordert es aber erhöhte Aufmerksamkeit bei der Frage, ob der jeweils in Anspruch genommene Dienst auch tatsächlich von dem Vertrag erfasst ist. Die einzelnen Bestandteile, auf welche sich die hier erörterten Regelungen beziehen, sind im Vertrag auf den Seiten 11/12 spezifiziert. Aufgrund der schieren Menge an Diensten, die teils für sehr spezielle Einsatzbereiche angeboten werden, ist ein prüfender Blick auf diese Tabelle unabdingbar. Denn einige Dienste finden sich nicht in der Tabelle bzw. werden bewusst herausgenommen. So ist z. B. die ProPlus-Version von Office 365 gänzlich ausgeklammert. Der zweite Gesichtspunkt, der vor allem in der Übergangszeit bis Mai 2018 von Bedeutung sein wird, betrifft die Form. Viele der Passagen im Vertrag sind so formuliert, dass durch Austauschen einzelner Begriffe, die vor allem Bezug nehmen auf die derzeit noch geltende Datenschutz-Richtlinie 95/46/EG, eine vollständige Anpassung an die Terminologie der DSGVO erreicht werden kann (und voraussichtlich auch wird). Einen Aspekt hat man offenbar bereits vorweggenommen, nämlich die Unterschrift.
Unter der DSGVO wird es so sein, dass der an sich schriftliche Vertrag auch in elektronischem Format geschlossen werden kann, Art. 28 Abs. 9. Die Erwägungsgründe lassen sich zur Differenzierung nicht weiter darüber aus, was im Einzelnen darunter zu verstehen ist. Eine trennscharfe Unterscheidung wie nach deutschem Recht, welches einerseits die Schriftform nach § 126 BGB mit eigenhändiger Unterschrift, andererseits die elektronische Form nach § 126a BGB mit qualifizierter elektronischer Signatur nach dem Signaturgesetz und für alles dazwischen die Textform nach § 126b BGB (z. B. E-Mail) kennt, ist hier ohnehin nicht vorgesehen.
Mag man also zum einen offenlassen, was sich der Verordnungsgeber genau als Form gedacht hat, und zum anderen (der Einfachheit wegen) einmal die schwächste Variante, nämlich die Textform als Anforderung ausreichen lassen, so herrscht folgendes Dilemma: Nach aktueller Rechtslage und bis zum Inkrafttreten der DSGVO im Mai 2018 gilt weiterhin § 11 BDSG mit der Vorgabe, einen schriftlichen Vertrag abzufassen. Hierbei ist unzweifelhaft auf die nationale Formvorschrift abzustellen, weshalb der „Klassiker“ in Form eines unterschriebenen Stück Papiers zur Anwendung kommt.
In dem aktuellen Vertragswerk findet sich auf der letzten Seite ein Signaturstempel, welcher offenbar die Unterschrift des Vizepräsidenten Mr. Rajesh Jha darstellen soll. Ohne weiter ins Detail und der Frage nachzugehen, um welche Qualität einer Signatur im obigen Sinne es sich hierbei handeln mag, ist damit jedenfalls nicht die aktuell erforderliche Schriftform gewahrt. Für zukünftige Verträge unter der Neuregelung mag dies ausreichend sein, in der Übergangszeit sollte der Kunde jedoch darauf pochen, einen eigenhändig unterschriebenen Vertrag zu erhalten. Zur Erinnerung: Hierzu zählt auch nicht die eingescannte und als Grafik hineinkopierte Unterschrift, auch wenn dies in der Praxis immer noch gerne übersehen wird. Und falls der Groschen bis hierhin noch nicht gefallen sein sollte: Es handelt sich gemäß § 11 BDSG um eine obligatorische (!) Wirksamkeitsvoraussetzung, d.h. ohne Einhaltung der Form kommt kein Vertrag zustande, sei er auch noch so schön per E-Mail archiviert.
Fazit
Mit Microsoft hat man es mit einem großen Anbieter zu tun, der auf vielen internationalen Schauplätzen aktiv ist. Dennoch hat man die Anpassung an die kommenden Regelungen der DSGVO schon sehr gut vorangetrieben. Sowohl bei den technischen Sicherheitsmaßnahmen als auch bei den rechtlichen Verpflichtungen – Stichworte: EU-Standardvertragsklauseln und direkter Bezug auf die europäische Datenschutzgesetzgebung – ist man gut gewappnet und vermag in Teilbereichen (z. B. beim Thema Prüfnachweise) gar Standards zu setzen. Es steht zu erwarten, dass verbleibende sprachliche Feinheiten (Verweis auf die Richtlinie 95/46/EG) mit Inkrafttreten der DSGVO entsprechend modifiziert werden.
Insgesamt stellt das aktuelle Vertragswerk von Microsoft eine taugliche Grundlage dar, um die Anforderungen der diversen neuen Regelungen umzusetzen. Auch wenn einige Aspekte Anlass zu Diskussionen geben (so z. B. die Mitwirkungspflicht bei der IT-Sicherheit) und insbesondere in der Übergangsphase bis Mai 2018 einige vermeintliche Nebenkriegsschauplätze (z. B. Formvorschriften) verstärkt zu beachten sind, steht man nach hiesiger Auffassung durch den in Form der OST vorgegebenen Vertrag mit der DSGVO im Einklang.