Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz hat auf seiner Internetpräsenz aktuelle „FAQs zu Microsoft Office 365“ zur Verfügung gestellt.

 Zusammenfassend sind gemäß den genannten FAQs insbesondere die folgenden Punkte von datenschutzrechtlicher Relevanz:

Drittstaatentransfer (USA)

Ein grundsätzliches Problem beim Einsatz von Microsoft 365 liegt darin, dass in die USA übermittelte personenbezogene Daten unter rechtlichen Bedingungen verarbeitet werden, die nicht dem europäischen Datenschutzniveau entsprechen.

Die von der EU-Kommission im Juni 2021 erlassenen Standarddatenschutzklauseln für Datentransfers helfen dabei nur bedingt weiter, da nach der Schrems II-Entscheidung des EuGH bei der Übermittlung von personenbezogenen Daten in die USA zusätzliche Maßnahmen zu ergreifen sind, die sicherstellen, dass ein im Wesentlichen gleichwertiges Schutzniveau wie in der EU gewährleistet wird. Hierbei ist jedoch noch ungeklärt, welche konkreten Maßnahmen im Lichte dieser vom EuGH klargestellten Anforderung in Betracht kommen.

Weitere Problematiken beim Einsatz von Microsoft 365

Des Weiteren enthalten die Nutzungsbedingungen bzw. Datenschutzbestimmungen von Microsoft 365 Regelungen, die den datenschutzrechtlichen Anforderungen aus der DSGVO an die Transparenz der Datenverarbeitung, die Einwirkungsmöglichkeiten des Auftraggebers, die Zwecke der Datenverarbeitung oder die Löschung von Daten nicht entsprechen.

So werden u. a. in großem Umfang Daten über die individuelle Nutzung von Word, Excel, PowerPoint und Outlook, Teams und anderer Anwendungen und Dienste gesammelt. Allerdings bleibt dabei vielfach unklar, welche Daten konkret gesendet werden, da die Übertragung häufig verschlüsselt erfolgt und die Daten somit im Rahmen einer Prüfung nicht eingesehen werden können.

Speicherung der Daten auf europäischen Servern führt nicht zu Datenschutzkonformität

Microsoft bietet eine Datenspeicherung auf europäischen Servern nur für sog. „Kundendaten“ an (Text-, Ton-, Video- oder Bilddateien des Kunden). „Diagnosedaten“ bzw. „Telemetriedaten“, die Microsoft aus Softwareinstallationen des Kunden erhebt oder erhält sowie „Dienstgenerierte Daten“, die Microsoft im Zuge des Betriebs eines Onlinediensts generiert, werden jedoch auf Systemen in den USA gespeichert.

Des Weiteren besteht auch bei der Datenspeicherung auf europäischen Servern die Problematik, dass über den amerikanischen Clarifying Lawful Overseas Use of Data Act (CLOUD-Act) für US-Unternehmen eine Herausgabeverpflichtung auch dann besteht, wenn die Daten außerhalb der USA gespeichert werden.

Entsprechende Anordnungen von US-Stellen zur Offenlegung von Daten gehen weiterhin zumeist mit einer Verschwiegenheitsverpflichtung der zur Herausgabe der Daten aufgeforderten Stelle (vorliegend z. B. Microsoft als Auftragsverarbeiter) einher, so dass die Betroffenen von einer Offenlegung ihrer Daten keine Kenntnis erhalten.

Unter welchen Voraussetzungen ist ein datenschutzkonformer Einsatz von Microsoft 365 denkbar?

Der LfDI Rheinland-Pfalz nennt in seinen FAQs Voraussetzungen, unter denen der der Einsatz von Microsoft 365 zulässig sein kann. Hierzu gehören u. a.:

  • Die Umleitung des Internetverkehrs über eine eigene Infrastruktur mit geeigneten technischen Maßnahmen zur Verschleierung der heimischen IP-Adressen.
  • Die Nutzung über einen vorkonfigurierten und abgesicherten Browser mit integrierten Schutzmaßnahmen sowie die Zwischenschaltung entsprechend vorkonfigurierter Terminal-Clients zur weitestgehenden Anonymisierung/Gleichschaltung der Metadaten
  • Die Verwendung dienstlicher pseudonymer Mailadressen/Accounts (idealerweise temporär aus einem Pool) und das Verbot der Nutzung privater Microsoft Accounts
  • Die Unterbindung der Übertragung von Telemetrie-Daten beim Einsatz von Microsoft 365 bzw. dem darunterliegenden Windows-Betriebssystem oder der gänzliche Verzicht auf die Microsoft 365 Cloud-Lösungen.

Hierbei bleibt jedoch offen, ob sämtliche der in den FAQs genannten Voraussetzungen kumulativ vorliegen müssen, oder ob es bereits genügen soll, wenn eine der Voraussetzungen erfüllt ist.

Mögliche technische und organisatorische Maßnahmen

In einer weiteren Frage geht der LfDI auf Beispiele für technische und organisatorische Maßnahmen ein, um eine Übermittlung von Diagnosedaten an Microsoft zu vermeiden. Hierzu gehören u. a.:

  • Überwachung von Microsoft-Produktupdates und Prüfung Konfiguration etwaiger damit verbundener Konfigurationsänderungen
  • Prüfung der Datenübertragungen an Microsoft
  • Nutzung produktseitig vorhandener Konfigurationsmöglichkeiten, um die Übertragung von Diagnose-/Telemetriedaten zu unterbinden
  • Soweit solche Konfigurationsmöglichkeiten nicht zur Verfügung stehen, Sicherstellung mittels vertraglicher, technischer oder organisatorischer Maßnahmen (z. B. durch eine Filterung der Internetzugriffe über eine entsprechende eigene Infrastruktur des Verantwortlichen), dass keine Übermittlung von Telemetriedaten an Microsoft stattfindet.

Fazit

Die Veröffentlichung der FAQs zeigt, dass sich das Thema Microsoft 365 nach wie vor auf dem Radar der Aufsichtsbehörden befindet. Im Ergebnis stellt der LfDI Rheinland-Pfalz klar, dass insbesondere Maßnahmen zu ergreifen sind, welche eine Übermittlung von personenbezogenen Daten in die USA unterbinden. Dementsprechend sind die Verantwortlichen gefordert, die IT-Systeme in datenschutzkonformer Weise zu konfigurieren.

Zwar hat der LfDI Rheinland-Pfalz vorliegend noch keine konkreten Kontrollmaßnahmen angekündigt, allerdings können solche perspektivisch (auch durch weitere Aufsichtsbehörden) nicht ausgeschlossen werden.

Daher sollte beim geschäftlichen Einsatz von Microsoft 365 geprüft werden, inwiefern die in den FAQs genannten Vorgaben umgesetzt werden können.