Vor genau einem Jahr im Dezember 2020 wagten wir einen Wetterbericht für die Microsoft Cloud und mussten feststellen, dass ungeklärte Rechtsfragen sowie uneinheitliche Ansichten verschiedener Aufsichtsbehörden den Verantwortlichen die Entscheidung für oder gegen die Migration in die Microsoft Cloud verkomplizierten.
Daher ist es nun umso spannender, was sich in der Zwischenzeit getan hat und ob wir nun endlich den wohltuenden Schlussstrich unter das Thema „Microsoft 365“ ziehen dürfen, um daraufhin ein gemeinsames „O du fröhliche…“ anzustimmen.
Denn – so scheint es – rund um die Microsoft Cloud ist es ruhiger geworden. Und das nicht nur, weil derzeit die Debatten um 2G-/2G-plus-/3G-Kontrollen und die neue Ampel-Koalition jede Aufmerksamkeit auf sich ziehen. Nein, tatsächlich wurden im Jahr 2021 von vielen Verantwortlichen im Hinblick auf die Microsoft Cloud konsequent Risiken abgewogen, Konfigurationen überprüft, Entscheidungen getroffen. Allen Beteiligten ist klar, dass es beim Wechsel in die Cloud nicht mit einem Kurz-Gutachten des hauseigenen Datenschutzbeauftragten getan ist. Die einzelnen Microsoft Cloud-Produkte und -Funktionen müssen jeweils und im Einzelfall in Bezug auf alle Datenschutzgrundsätze der DSGVO geprüft werden. Da lohnt es sich durchaus, für die grundlegenden Konfigurationen in den Admin-Oberflächen den eigenen Datenschutzbeauftragten mitzunehmen und ihm Rede und Antwort zu stehen.
Die Microsoft Cloud-Nutzer haben das schon längst bemerkt: Microsoft verfolgt mit der 365-Welt einen ganzheitlichen Ansatz mit dem Ziel, letztlich die IT-Infrastruktur eines Unternehmens insgesamt in die Cloud umzuziehen. So braucht es bald nur noch ein Endgerät, ein Smartphone und einen Internetanschluss, der Rest findet sich in den virtuellen Landschaften der Microsoft Rechenzentren.
Die Microsoft Cloud – Klarer Gewinner der Pandemie
Microsoft hat mit seinen Produkten der Microsoft 365 Cloud / Azure Cloud die moderne Business-Welt umgekrempelt und bereits erfolgreich eine große Zahl der Nutzer von On Premise-Microsoft-Produkten durch attraktive Angebote zur Migration in die Cloud bewogen. Die Microsoft Cloud überzeugt längst nicht mehr nur durch Kostenersparnis und Ausfallsicherheit. Microsoft hat mit MS Teams eine völlig neue Form der Kollaboration intern im Team und auch extern mit anderen Microsoft Cloud-Nutzern kreiert. Die Möglichkeit des Austausches via Teams ist nicht mehr nur ein „nice to have“. Unternehmen, die mit ihren Kunden nicht per Teams kommunizieren können, gelten bereits jetzt als rückständig und nicht konkurrenzfähig. Besonders günstig für Microsoft war der plötzliche und dringende Bedarf an digitalen Kollaborations-Tools für Mitarbeiter, die pandemiebedingt mit einem Mal alle aus dem Homeoffice arbeiteten. MS Teams dient nun als Plattform für allerlei Meetings, das Akquise-Gespräch, ja auch für Bewerberinterviews und für ganz „Hartgesottene“ ersetzt ein Teams-Raum das nette Pläuschchen am Kaffeetresen.
Die rechtlichen Probleme sind hierbei nicht allein im Datenschutz verankert. Schon jetzt werden größere Verträge in einem Teams-Chat abgewickelt, eine Kommunikation per Mail ist im Vergleich einfach zu langsam. Spannend ist bspw. die Frage, ob der Teams-Chat als Handelsbrief nach dem HGB zu qualifizieren ist und ob dieser überhaupt für langfristige Zeit aufbewahrt wird … Aber wir wollen nicht abschweifen, sondern konzentrieren uns lieber einmal mehr auf die Microsoft-Verträge, denn da hat sich einiges getan.
Microsoft-DPA für MS 365-Services
Microsoft hat – gezwungenermaßen – das aktuelle DPA (Data Protection Addendum), den Datenschutznachtrag zu den Produkten und Services von Microsoft in der Fassung vom 15.09.2021, um die neuen EU-Standarddatenschutzklauseln ergänzt. Mehr noch: Im vergangenen Jahr wurden fast monatlich die eigenen Vertragsbestimmungen zum Datenschutz angepasst. Die Änderungen kamen so häufig, dass Microsoft sogar selbst mit der Versionierung durcheinandergekommen war. In der aktuellen Fassung wurden viele problematische Klauseln des DPA überarbeitet und konkretisiert.
Sind die eigenen Geschäftszwecke von Microsoft jetzt „legitim“?
Der für den Datenschützer wohl spannendste Teil des DPA in Bezug auf die eigene Verantwortlichkeit für eigene Geschäftstätigkeiten von Microsoft (früher von MS als „legitime Geschäftstätigkeiten“ bezeichnet) wurde nochmals konkretisiert. Für die in den Cloud-Diensten erhobenen Diagnosedaten (tlw. auch Telemetriedaten genannt) übernimmt Microsoft also nun die Verantwortung selbst. Damit positioniert sich Microsoft in der juristischen Debatte darum, ob Auftragsverarbeitung und Verantwortlichkeit in Personalunion überhaupt möglich ist, zumindest aber jedoch einen nicht unerheblichen Interessenskonflikt darstellen kann.
Die neuen EU-Standarddatenschutzklauseln
Wie zu erwarten war, hat Microsoft die seit Ende September 2021 verbindlich für Drittstaatentransfers zu nutzenden EU-Standarddatenschutzklauseln (EU) 2021/914 in das DPA mit aufgenommen, genauer gesagt wurde das Modul 3 (Processor to Processor) aufgenommen, da Microsoft in Europa die Microsoft Ireland Ltd. als unmittelbaren Vertragspartner für EU-Kunden vorschickt – die Konzernmutter Microsoft Corporation in den USA ist hingegen ein Unterauftragnehmer. Auch die in unserem Beitrag vergangenen Dezember thematisierten, ergänzenden Vertragsbestimmungen mit den Zusicherungen Microsofts aufgrund von Schrems II sind nun als Anhang C ein Teil des DPA.
Wo ist das Transfer Impact Assessment (TIA)?
Wer sich bereits tiefer mit den neuen EU-Standarddatenschutzklauseln auseinandergesetzt hat, der weiß, dass diese von den Parteien eine doch recht umfassende Risikobewertung für Drittstaatenübermittlungen erfordert, die sogenannte Datentransfer-Folgenabschätzung (engl. Transfer Impact Assessment, kurz TIA). Anstatt sich nun eingehend mit den Details um US-behördliche Zugriffsversuche auf Kundendaten auseinanderzusetzen, versichert Microsoft schlicht die Einhaltung aller Anforderungen der DSGVO. In Anhang C des DPA heißt es hierzu nun:
„Microsoft stimmt zu und gewährleistet, dass Microsoft keinen Grund zu der Annahme hat, dass die für Microsoft oder ihre Unterauftragsverarbeiter geltenden Gesetze, einschließlich in jedem Land, in das Microsoft oder ihre Unterauftragsverarbeiter personenbezogene Daten übermitteln, Microsoft daran hindern, die vom Datenexporteur erhaltenen Weisungen und ihre Verpflichtungen aus diesem Nachtrag, den Standardvertragsklauseln von 2010 oder aus den Standardvertragsklauseln von 2021 zu erfüllen, und dass Microsoft im Fall einer Änderung dieser Gesetze, die wahrscheinlich erhebliche nachteilige Auswirkungen auf die in diesem Nachtrag oder in den Standardvertragsklauseln vorgesehenen Zusicherungen und Verpflichtungen haben werden, den Kunden unverzüglich über die Änderung informieren wird, sobald diese Microsoft bekannt ist; in diesem Fall ist der Kunde berechtigt, die Datenübermittlung auszusetzen und/oder den Vertrag zu kündigen.“
Ob diese einseitige Zusicherung nun der Fels ist, auf den Unternehmen ihre Kirche Cloud aufbauen können, ist damit allerdings noch nicht gesagt (Mt 16, 18). Aber ganz im Ernst: Die Empfehlungen des Europäischen Datenschutzausschusses für eine vollständige und belastbare TIA gehen weit darüber hinaus.
Kein Microsoft Teams für Schulen in Baden-Württemberg
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BaWü) konnte im Frühling seine Untersuchungen zu Microsoft 365-Services an Schulen abschließen und hat eine Empfehlung ausgesprochen: MS Teams an Schulen ist nicht datenschutzkonform gestaltbar. Diese Empfehlung ist einerseits datenschutzrechtlich konsequent und nachvollziehbar, aber andererseits ein doch bitteres Ergebnis dafür, dass in intensiven Gesprächen und Folgenabschätzungen auf mehreren hundert Seiten ein erheblicher Aufwand durch das Kultusministerium BaWü betrieben wurde. Wer mehr zu den Hintergründen der Empfehlung des LfDI BaWü wissen möchte, dem sei der Podcast mit Dr. Brink und Wolfram Barner empfohlen.
War sonst noch was?
Ach stimmt, einige dürften sich an eine leidige Erfahrung aus dem Frühjahr erinnern, denn Microsoft hatte wegen einer wohl schon länger bekannten Sicherheitslücke Hafnium in vielen Microsoft Exchange-Servern ein Sicherheits-Update recht spät ausgerollt – unglücklicherweise wurde die Sicherheitslücke zu dem Zeitpunkt bereits aktiv von Angreifern verwendet.
Hier sind zahlreiche Administratoren auf dem falschen Fuß erwischt worden und damit viele Unternehmen betroffen gewesen. Glücklich waren dagegen diejenigen, die bereits in die hiervon nicht betroffene Microsoft Cloud-Variante von Exchange migriert waren.
Microsoft Teams jetzt ein Telekommunikationsdienst?
Wie wir auch schon an anderer Stelle berichteten, ist nach dem seit diesem Monat geltenden TTDSG ein Service wie Microsoft Teams voraussichtlich als Telekommunikationsdienst einzuordnen. Dies hätte als Konsequenz, dass Microsoft nun in Deutschland für solche TK-Dienste nicht mehr als Auftragsverarbeiter zu betrachten ist. Wenn Sie mehr dazu wissen möchten, schauen Sie noch einmal in das 1. Türchen, dort haben wir dieses Thema ausführlich beleuchtet.
Ausblick
Microsoft hat das Rennen um die Business-Cloud-Services im Unternehmensbereich klar gewonnen und darf damit wohl ein besonders großes Geschenk unter dem Weihnachtsbaum erwarten. Dennoch, besonders Behörden und öffentliche Stellen warten weiterhin darauf, dass Microsoft ihnen ein passendes Paket schnürt und sich dabei mit allen Kritikpunkten, u. a. denen der Aufsichtsbehörde aus Baden-Württemberg, auseinandersetzt. Solange das noch nicht passiert ist, brauchen wir weiterhin einen guten Schuss in unseren Glühwein, damit die Microsoft Cloud so schön aussieht, wie sie von Microsoft dargestellt wird.
16. Dezember 2021 @ 12:02
Sämtliche Cloud-Produkte (und auch Windows ab 10 und Office) von M$ verstoßen gegen die DSGVO, Punkt. Das kann man weder schön-reden noch schön-trinken. Als US-Firma unterliegt MS dem CLOUD Act und dem PATRIOT Act. Damit werden vorschriften der DSGVO überschrieben. Da kann M$ noch so viele verbale oder schriftliche Zusagen machen, am Ende siegt die US-Justiz.