Prüfen Sie, ob Sie Microsoft 365 datenschutzkonform einsetzen
Im März 2024 hat der europäische Datenschutzbeauftragte seine Einschätzung zur Nutzung von Microsoft 365 bekanntgegeben. Nach seiner Auffassung verstößt die EU-Kommission durch die Nutzung von Microsoft 365 bereits gegen mehrere europäische Datenschutzvorschriften. Das wirft kein gutes Licht auf Microsoft und stellt natürlich die Frage, wie europäische Unternehmen mit dem Einsatz von Microsoft umgehen sollen.
Der EDSB untersuchte, ob die EU-Kommission seine Empfehlungen zur Nutzung von Microsoftprodukten umgesetzt hatte. Dabei kam er zum Schluss, dass die EU-Kommission gegen mehrere Bestimmungen der EU-Verordnung 2018/1725 verstoßen habe. Die EU-Datenschutzverordnung regelt die Verarbeitung personenbezogener Daten durch die Europäische Union.
Unter anderem liegt kein Nachweis vor, welche personenbezogene Daten zu welchen Zwecken mit Microsoftprodukten verarbeitet werden. Ebenso fehlen Weisungen gegenüber Microsoft sowie Angaben, welche Arten von personenbezogenen Daten an welche Empfänger in welchem Drittland zu welchen Zwecken übermittelt werden. Auch fehlen geeignete Garantien für die Übermittlung von personenbezogenen Daten in Drittländer wie die USA.
Konkrete Abhilfemaßnahmen
Daten, die nicht unter einen Angemessenheitsbeschluss fallen, dürfen seit dem 9. Dezember 2024 nicht mehr in Drittländer übertragen werden. Zusätzlich ist nachzuweisen, dass die Aussetzung der Datenübertragung erfolgt ist.
Unter anderem ist hierfür ein Transfer-Mapping durchzuführen, in dem dokumentiert wird, welche personenbezogenen Daten an welche Empfänger in welche Drittländer zu welchen Zwecken übermittelt werden.
Zusätzlich muss vertraglich geregelt werden, dass Technisch-Organisatorische Maßnahmen die Vorgaben zu den Zwecken der Verarbeitung umsetzen.
Verarbeitung von personenbezogenen Daten durch Microsoft, dürfen nur auf Weisungen der Kommission erfolgen, es sei denn die Verarbeitung wäre durch ein anderes Recht vorgeschrieben.
Personenbezogene Daten dürfen nicht verarbeitet werden, wenn die Verarbeitung nicht mit den dokumentierten Zwecken vereinbar ist.
Umsetzung in der Praxis
Auch, wenn der Europäische Datenschutzbeauftragte nur für die Organe der Union zuständig ist, sind diese Feststellungen ohne Weiteres auf die DSGVO übertragbar und geben daher ein starkes Indiz, wohin sich der Europäische Datenschutzausschuss bewegen wird.
Unternehmen sind in der Regel auf den Einsatz von Microsoftprodukten angewiesen. Die Umsetzung der aktuellen Vorgaben stellt Verantwortliche im Sinne der DSGVO jedoch vor enorme Herausforderungen. Entscheidend ist, wie Microsoft auf die Vorgaben des EDSB reagiert und welche Abhilfemaßnahmen Unternehmen zur Verfügung gestellt werden.
Allerdings ist aktuell noch unklar, wie die vertraglichen Regelungen zwischen Microsoft und der EU-Kommission ausgestaltet werden. Das bleibt abzuwarten und erst dann können Unternehmen, die Microsoftprodukte einsetzen, weitere Maßnahmen prüfen und umsetzen.
Die Europäische Kommission verstößt bei der Nutzung von Microsoftprodukten selbst gegen Vorgaben des Datenschutzes. Dies ist zumindest die Haltung des Europäischen Datenschutzbeauftragten. Dabei hat doch die EU im Sommer letzten Jahres ein Data Privacy Framework verabschiedet, das den Datentransfer in die USA regelt. Nun stellt sich heraus, dass die Vorgehensweise der EU datenschutzrechtlich nicht belastbar ist. Das macht die Umsetzung für europäische Unternehmen nicht einfacher.
Sprechen Sie uns gerne im nächsten Regeltermin auf dieses Thema an, um geeignete Maßnahmen zu besprechen und umzusetzen. Bis dahin verweisen wir auf die Handreichung des Landesbeauftragten für den Datenschutz Niedersachsen zum Einsatz von Microsoft 365 Produkten.
- LfD Nds: Handreichung für die Verantwortlichen zum Abschluss einer Auftragsverarbeitungsvereinbarung gem. Art. 28 Abs. 3 DSGVO mit Microsoft für den Einsatz von „Microsoft 365“ vom 24.08.2023
Autor: Markus Vatter, Head of Compliance, 24.04.2024