Die internationale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Mandanten.
So unterstützen wir Sie
-
Die Digitalisierung transformiert nicht nur die Welt der Arbeit, Freizeit und Mobilität, sondern birgt auch immense rechtliche Herausforderungen. Mit unserer Practice Group Digital Law beraten wir unsere Mandanten dabei, die digitale Transformation rechtssicher zu gestalten.
Mehr lesen
Beschluss der Datenschutzkonferenz
Die DSK hat zur datenschutzrechtlichen Bewertung von Office 365 den „Arbeitskreis Verwaltung zur Auftragsverarbeitung bei Microsoft Office 365“ aufgestellt. Dieser hat „die dem Einsatz des Produktes Microsoft Office 365 zu Grunde liegenden Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft-Onlinedienste (Data Processing Addendum / DPA) – jeweils Stand: Januar 2020“ geprüft. Der Arbeitskreis kam im September 2020 zum Ergebnis, „dass auf Basis der genannten Unterlagen kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich ist“.
Dabei wurde insbesondere moniert, dass es den Dokumenten an Transparenz fehle und die Art und Zweck der Verarbeitung der personenbezogenen Daten sowie dessen Umfang nicht ausreichend offengelegt werde. Weiterhin liege keine Rechtsgrundlage für die Übermittlung von Telemetrie-Diagnosedaten an Microsoft vor. Auch sei der vertragliche Vorbehalt der Weitergabe von Daten in gesetzlich vorgeschrieben Fällen zu weit gefasst.
Diese Bewertung wurde von der DSK mit nur 9 zu 8 Gegenstimmen der Mitglieder „mehrheitlich zustimmend zur Kenntnis genommen“ und kommuniziert.
Bemerkenswert ist insofern, dass 8 von insgesamt 17 Aufsichtsbehörden (u. a. Bayern und Baden-Württemberg) nicht zugestimmt haben, da die Gesamtbewertung „zu undifferenziert“ ausfalle.
Folgen für Unternehmen, die Office 365 einsetzen
Vor diesem Hintergrund stellt sich für Kunden (d.h. datenschutzrechtliche Verantwortliche) von Office 365 die Frage, ob der Einsatz der Softwarelösung von Microsoft nun weiterhin zulässig und erlaubt ist.
Die Antwort: Ja! – wenn die Kunden ihren eigenen operativen Datenschutz zum Einsatz von Office 365 sicherstellen.
Die Bewertung des Arbeitskreises und der Beschluss der DSK stellen keine bindende Entscheidung dar. Auch lassen sich die monierten Aspekte des Arbeitskreises nicht von den Nutzern von Office 365 selbst beheben, sondern sind vielmehr Gegenstand des Dialogs zwischen Microsoft und den europäischen Datenschutzbehörden.
Auch ist der Prüffokus der DSK nicht ganz eindeutig. Derzeit existieren übergeordnet mindestens zwei unterschiedliche Produktgruppen von Microsoft, nämlich Office 365 und Microsoft 365, die je nach Gebrauch und Bedarf für private und geschäftliche Zwecke individuell angepasst werden können. Eine nähere Aufklärung dazu erfolgte seitens der DSK bislang nicht. So handelt es sich bei Microsoft 365 im Vergleich zu Office 365 um ein Softwarepaket, dass die Funktionen von Office 365, Windows 10 und Enterprise Mobility + Security kombiniert und weitere „intelligente“ Features bereitstellt. Für beide Produktgruppen lassen sich auch unterschiedliche „Business“, „Enterprise“, „ProPlus“ oder private Lizenzen (wie „Student“ oder „Home“) abschließen, die beispielsweise unterschiedliche Konfigurationsmöglichkeiten hinsichtlich der Cloud-Integration ermöglichen.
Seit Januar 2020 hat Microsoft im Übrigen erhebliche Änderungen an den Vertragsdokumenten vorgenommen. Im Lichte der „Schrems-II“ Entscheidung des Europäischen Gerichtshofs (EuGH) hat Microsoft ein „Additional Safeguards Addendum to Standard Contractual Clauses“ veröffentlich. Microsoft argumentiert damit, den Einsatz von Office 365 datenschutzkonform(er) gestaltet zu haben, was von einigen deutschen Aufsichtsbehörden durchaus positiv zur Kenntnis genommen wird (vgl. etwa die Pressemitteilung vom 20.11.2020 des Landesbeauftragten für Datenschutz und Informations-freiheit Baden-Württemberg: „#DSGVOwirkt: Microsoft passt sich europäischem Datenschutz an“). Details hierzu schauen wir uns in einem Folgeartikel in der nächsten Ausgabe dieses Briefings an.
Nichtsdestotrotz obliegen den Kunden von Microsoft als datenschutzrechtlichen Verantwortlichen die Pflichten aus der DSGVO, die sie beim Einsatz von Office 365 neben der Auftragsverarbeitung zu beachten haben und die sie bestenfalls gegenüber einer Aufsichtsbehörde im Rahmen ihrer Rechenschaftspflicht nachweisen können und müssen.
Risikominimierende Maßnahmen treffen
Mit der Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO sollten Unternehmen vorab prüfen, welche Risiken und Folgen für Betroffene durch die Anwendung von Microsoft Office 365 entstehen könnten. Auch wenn derzeit Unsicherheiten hinsichtlich eines datenschutzkonformen Einsatzes von Office 365 bestehen, ist es möglich, innerhalb der jeweiligen eingesetzten Version, datenschutzfreundliche Voreinstellungen vorzunehmen und damit präventive Maßnahmen zu ergreifen. So können beispielsweise Lese- oder Empfangsbestätigungen von Nachrichten in Microsoft Teams auf administrativer Ebene für sämtliche Nutzer deaktiviert werden, um einer Überwachung der Mitarbeiter durch etwa Vorgesetzte zuvor zu kommen. Aber auch gegenüber Microsoft können abhängig von der eingesetzten Version des Programms Funktionalitäten wie „Surveys“ zu dem Produkt abgeschaltet oder Telemetriedaten eingeschränkt werden. Die Definition von Nutzungseinstellungen, Zugriffsrechten sowie technischen und organisatorischen Maßnahmen, spielt dabei eine entscheidende Rolle. Es sollte also ein umfassendes Schutzkonzept und eine Handlungsanweisung hinsichtlich der Nutzung von Microsoft Office 365 erstellt werden.
Denn tatsächlich kritisch wird der Einsatz von Office 365 dann, wenn die volle Bandbreite an Funktionalitäten zum Einsatz kommt, die beispielsweise eine Mitarbeiterüberwachung gezielt ermöglicht. So besteht die Möglichkeit, dass durch eine neue Funktion des Office-Pakets beispielsweise ein sog. Produktivitätswert des Arbeitnehmers durch den Arbeitgeber abgelesen werden kann. Damit wird aufgezeichnet, wann und insbesondere wie oft die Mitarbeiter die Software benutzen, wann und wie viele E-Mails sie mit Outlook verschickt haben, bis hin zur Dauer und Häufigkeit von Gesprächen. Eine namentliche Auflistung sei dabei nicht ausgeschlossen. Dieses Risiko lässt sich jedoch mit der Veränderung von Standardeinstellungen und der Umsetzung von datenschutzfreundlichen Voreinstellungen minimieren bzw. komplett abschalten.
Bei der Auswahl entsprechender risikominimierender Maßnahmen haben sich die Verantwortlichen wie bei anderen Verarbeitungstätigkeiten auch sonst an den Grundsätzen der Datenverarbeitung aus Art. 5 DSGVO zu orientieren, wie etwa Transparenzmaßnahmen in Form von Datenschutzinformationen für die eigenen Mitarbeiter.
Risiko Drittlandtransfer
Mit dem Schrems-II-Urteil des EuGHs vom 16. Juli 2020 (C-311/18), wurde das sog. „EU-US Privacy Shield“ für ungültig erklärt. Demnach ist die Privacy-Shield-Zertifizierung der US-Unternehmen keine geeignete Garantie für Datentransfers in bzw. aus den USA mehr, die im Zuge der Nutzung von Office 365 und den damit regelmäßig verbunden Cloud-Möglichkeiten stattfinden bzw. zumindest nicht ausgeschlossen sind. Auch übermittelt Microsoft Telemetriedaten ihrer Produkte, die zwar teilweise durch den verantwortlichen Nutzer limitiert, aber nicht vollständig unterbunden werden können. Der EuGH hat dem Privacy Shield insbesondere deshalb die Garantiewirkung für ein hinreichendes Datenschutzniveaus abgesprochen, weil in den USA sehr weitreichende geheimdienstliche Zugriffsbefugnisse auf Daten der Nutzer dieser Services bestehen. Dahingehend hat die EU-Kommission am 12. November 2020 einen Entwurf für die neuen EU-Standardvertragsklauseln veröffentlicht.