Videokonferenzsysteme wie Microsoft Teams oder Zoom boomen dank Corona. Dadurch geraten sie auch in den Fokus der datenschutzrechtlichen Aufsichtsbehörden. Die Berliner Aufsichtsbehörde hat nun die Ergebnisse (PDF) ihrer Kurzprüfung von Videokonferenzdiensten veröffentlicht, die sich vor allem auf die Ausgestaltung der Auftragsverarbeitungsverträge konzentrierte. Das Fazit: Kaum einer der geprüften Videokonferenzdienste kann nach Ansicht der Behörde datenschutzkonform eingesetzt werden. Insbesondere bei Microsoft Teams hat die Behörde zahlreiche Mängel im Auftragsverarbeitungsvertrag von Microsoft identifiziert.
Erschwerend hinzu kommt nun auch das Schrems II Urteil des EUGH, welches das EU-U.S. Privacy Shield für ungültig erklärt.
Lesetipp: EuGH zerstört EU-US Privacy Shield
Konsequenzen für Microsoft 365
Microsoft Teams ist fester Bestandteil von Microsoft 365 (ehemals Office 365) und unterliegt deren Bestimmungen hinsichtlich Online Services Terms und Auftragsverarbeitungsvertrag (Data Processing Agreement, DPA). Das führt dazu, dass es zum jetzigen Zeitpunkt laut der Behörde nicht möglich ist, die cloudbasierten Versionen von Word, PowerPoint und weiteren Produkten sowie Microsoft Azure rechtskonform zu nutzen.
Obwohl Microsoft die Nutzungsbedingungen erst kürzlich überarbeitet hatte, enthalte der Auftragsverarbeitungsvertrag noch immer unklare und widersprüchliche Regelungen und weiche damit von den gesetzlichen Mindestanforderungen ab. In diesem Zusammenhang kündigte die Behörde auch an, die bemängelten Punkte besonders berücksichtigen zu wollen, wenn sie Unternehmen überprüfe. Vor diesem Hintergrund sollten vor allem Unternehmen mit Sitz in Berlin, die cloudbasierte Videokonferenzsysteme und Microsoft 365 einsetzen, untersuchen, inwiefern sie selbst nachbessern oder vorerst auf den Einsatz verzichten können.
Stellungnahme von Microsoft
In einer Stellungnahme von Microsoft zu dem Urteil der Datenschützer widerspricht der Konzern der Behörde deutlich. Microsoft sei überzeugt, dass die Produkte im Allgemeinen und auch Microsoft Teams im Speziellen datenschutzkonform eingesetzt werden könnten. Dabei geht Microsoft im Detail auf die einzelnen Kritikpunkte ein. Insbesondere die Mängel im Auftragsverarbeitungsvertrag seien hauptsächlich auf Übersetzungsfehler zurückzuführen.
Dabei kritisiert Microsoft auch, dass sich die Behörde nicht mit den von Microsoft zur Verfügung gestellten Informationen beschäftigt hätte und daher zu einem falschen Ergebnis gekommen sei. Gleichzeitig scheint Microsoft auf der eigenen Einschätzung zu beharren und die von der Aufsichtsbehörde bemängelten Punkte nicht nachbessern zu wollen.
Bei diesem Streit trägt letztendlich der Microsoft-Kunde das Risiko. Er ist datenschutzrechtlich dafür verantwortlich, wenn der Auftragsverarbeitungsvertrag nicht den gesetzlichen Anforderungen genügt. Einen ausreichenden Nachweis zur Datenschutzkonformität wird der Kunde wohl nicht erbringen können.
EU-Datenschutzbeauftragter kritisiert Microsoft
Parallel zur Berliner Aufsichtsbehörde hat auch der europäische Datenschutzbeauftragte Microsoft-Produkte und -Dienste überprüft, die von EU-Institutionen genutzt werden. Das Ergebnis veröffentlichte er nun in einem knapp 30 Seiten langen Bericht (PDF), der auch für Unternehmen interessant ist. Er kritisiert im Wesentlichen die folgenden fünf Punkte:
Eigenständige Verarbeitung durch Microsoft: Microsoft behalte sich nach den eigenen Bestimmungen für Online-Dienste das Recht vor, die Parameter der Auftragsverarbeitung und deren vertraglichen Verpflichtungen zu ändern und selbst zu definieren. Hiermit verlasse Microsoft in unangemessener Weise die Rolle als Auftragsverarbeiter und werde selbst zum Verantwortlichen.
Fehlende Kontrollmöglichkeit über Unterauftragsverarbeiter: Die Microsoft-Kunden hätten weder die Kontrolle darüber, wer als Subunternehmer in Bezug auf die Auftragsverarbeitung eingesetzt wird, noch bestünden entsprechende Prüfungsrechte gegenüber den Unterauftragsverarbeitern.
Internationaler Datentransfer: Die Microsoft-Kunden könnten nicht vollständig nachvollziehen, wo die eigenen Daten gespeichert werden. Damit verbunden sei das Risiko einer unrechtmäßigen Offenlegung der Daten. Teilweise fehle es ferner an geeigneten Garantien, die den internationalen Datentransfer DSGVO-konform absicherten.
Datenerhebung durch Microsoft (Diagnosedaten): Indem die Cloud-Produkte teilweise eigenständig Daten erheben und an Microsoft übermitteln, fehle es an der notwendigen Transparenz der Dienste. Dies hatte im vergangenen Jahr auch das niederländische Ministerium für Justiz und Sicherheit im Rahmen seiner Datenschutz-Folgenabschätzung für Microsoft Office 365 festgestellt.
Intransparente Verarbeitung: Es gebe keine ausreichende Klarheit über Art, Umfang und Zweck der Verarbeitung sowie über die Risiken für die betroffenen Personen. Somit könnten die Kunden ihren Transparenzverpflichtungen gegenüber den Betroffenen nicht vollständig nachkommen.
Für diese Punkte gab der Datenschutzbeauftragte den europäischen Institutionen Handlungs- und Lösungsempfehlungen an die Hand, um sie zu beseitigen. Bestimmte Mängel könnten durch entsprechende Konfiguration der Produkte behoben werden. Andere wiederum sollten mit Microsoft ausgehandelt werden.
Konsequenzen des Schrems II Urteils des EUGH
In seinem Schrems II Urteil erklärt der EUGH den EU-U.S. Privacy Shield für ungültig, da US-Geheimdienste anlasslos, zeitlich unbegrenzt und ohne wirksame Zweckbindung Daten von Europäern bei US-Unternehmen abgreifen können. Dies hat zur Folge, dass US-Unternehmen personenbezogene Daten von EU-Bürgerinnen und -Bürgern auf dieser Basis nicht mehr verarbeiten können. Als erste Datenschutzbehörde hat nun der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg eine Orientierungshilfe für die Verwendung von US-amerikanischen Produkten herausgegeben. Diese ist auch insbesondere bei der Verwendung von Microsoft 365 relevant.
In der Orientierungshilfe wird empfohlen nur unter den nachfolgenden Bedingungen eine Übermittlung von Daten in die USA vorzunehmen.
Keine Übermittlung der Daten allein auf der Grundlage des Privacy Shields, da dieser keine gültige Rechtslage mehr darstellt.
Eine Übermittlung von Daten auf Grundlage von Standardvertragsklauseln ist nur zu empfehlen, wenn der Verantwortliche zusätzliche Garantien bietet, die einen Zugriff durch die US-amerikanischen Geheimdienste effektiv verhindern und so die Rechte der betroffenen Personen schützen.
Diese Garantien können derart ausgestaltet sein, dass Verschlüsselungen eingesetzt werden, bei denen nur der Datenexporteur über den Schlüssel verfügt und die Verschlüsselung auch nicht von US-Diensten gebrochen werden kann. Dazu bieten Anonymisierungen oder Pseudonymisierungen, die nur dem Datenexporteur die Zuordnung ermöglichen, einen weitergehenden SchutzEbenfalls wäre eine Übermittlung nach Art. 49 DSGVO denkbar, hier muss jedoch der restriktive Charakter des Paragrafen berücksichtigt werden.
Was Microsoft-Kunden jetzt tun können
Was können Microsoft-Kunden also tun? Es wäre möglich darauf zu verzichten, Microsoft-Produkte einzusetzen. Dabei handelt es sich allerdings um eine theoretische Lösung, denn die Produkte sind in vielen Fällen Marktstandard. Alternativ können Microsoft-Kunden versuchen, Anpassungen an den Vertragsbedingungen von Microsoft zu erreichen. Inwiefern für den Großteil der Kunden überhaupt Verhandlungsspielraum hinsichtlich der Ausgestaltung der vertraglichen Grundlagen besteht, ist allerdings fraglich. Diese Option besteht aber wohl nur, wenn der jeweilige Kunde eine ausreichende Marktmacht hat, um Anpassungen mit Microsoft verhandeln zu können.
Als weitere Option könnte der Kunde versuchen, anstelle einer Auftragsverarbeitung eine andere Rechtsgrundlage für die Datenübermittlung an Microsoft fruchtbar zu machen. Dies läuft allerdings auf eine Einzelfallprüfung hinaus, die in der Praxis kaum zu leisten sein wird. Schließlich kann der Kunde stellvertretend für Microsoft einen Rechtstreit führen. Dann wird sich zeigen, ob die von Microsoft vorgebrachten Punkte ein Gericht überzeugen.
Die Einschätzung der Berliner Datenschutzbehörde und des europäischen Datenschutzbeauftragten mag sachlich richtig sein. Auch die Orientierungshilfen des Landesbeauftragten für Datenschutz und Informationssicherheit Baden-Württemberg ermöglichen einen ersten Überblick über die Auswirkungen des Schrems II Urteils und geben Handlungsmöglichkeiten an die Hand.
Tatsächlich hilft diese Erkenntnis dem einzelnen Unternehmen jedoch nicht. Wie Betriebe sich verhalten können, um die Anforderungen der DSGVO umzusetzen, bleibt völlig offen. Zu hoffen bleibt, dass Microsoft Anpassungen an den Vertragsbedingungen vornimmt und die kritisierten Punkte schnell behebt. Um weitestgehend datenschutzkonform zu handeln, sollten Unternehmen bis dahin beim Einsatz von Microsoft 365 jedenfalls die in dieser Checkliste aufgeführten Punkte beachten. (jd/bw)