Einsatz von Microsoft 365 durch die EU-Kommission verstößt gegen das Datenschutzrecht
Am 11.03.2024 hat der europäische Datenschutzbeauftragte (EDSB) Wojciech Wiewiórowski seine Ergebnisse zur Prüfung des Einsatzes von Microsoft 365 durch die europäische Kommission veröffentlicht und mehrere Verstöße gegen das Datenschutzrecht für EU-Organe und ‑Einrichtungen festgestellt[1]. In seinem Beschluss hat er zudem Abhilfemaßnahmen gegen die Kommission verhängt. Auch wenn dieser Beschluss keine unmittelbaren Auswirkungen für die Nutzung von Microsoft 365 durch die Verantwortlichen der Mitgliedstaaten hat, so könnte dennoch auch hierzulande eine erneute Diskussion über den Einsatz entfacht werden.
Welche Verstöße wurden festgestellt?
Die Kritik, die im Beschluss des EDSB beschrieben wird, bezieht sich auf den im abgeschlossenen interinstitutionellen Lizenzvertrag aus dem Jahr 2021 (ILA 2021) und den dort beinhalteten Auftragsverarbeitungsvertrag, der mit Microsoft geschlossen wurde.
„Insbesondere hat es die Kommission versäumt, angemessene Garantien dafür zu schaffen, dass personenbezogene Daten, die außerhalb der EU/des EWR übermittelt werden, ein im Wesentlichen gleichwertiges Schutzniveau wie in der EU/dem EWR erhalten. Darüber hinaus hat die Kommission in ihrem Vertrag mit Microsoft nicht hinreichend festgelegt, welche Arten personenbezogener Daten zu welchen expliziten und spezifizierten Zwecken bei der Nutzung von Microsoft 365 erhoben werden sollen. Die Verstöße der Kommission als für die Verarbeitung Verantwortlicher beziehen sich auch auf die in ihrem Namen durchgeführte Datenverarbeitung, einschließlich der Übermittlung personenbezogener Daten.“
Zusammenfassend sagt der Beschluss aus, dass die europäische Kommission im Vertrag mit Microsoft nicht ausreichend bestimmt hat, welche Arten von personenbezogenen Daten erhoben und zu welchen Zwecken diese Daten verarbeitet werden dürfen. Zudem sei nicht genug geprüft worden, ob die Verarbeitung der Daten durch Microsoft nur auf hinreichend dokumentierte Weisung erfolgt und ob die Zwecke der Weiterverarbeitung der Daten mit den Zwecken vereinbar sind, für die die Daten ursprünglich erhoben wurden. Auch kritisiert der Beschluss, dass die Übermittlungen der erhobenen Daten an Microsoft und dessen Auftragsverarbeiter nicht für einen bestimmten Zweck im öffentlichen Interesse erforderlich und verhältnismäßig seien.
Ferner hat der EDSB festgestellt, dass die Kommission versäumt hat, angemessene Garantien getroffen zu haben, um sicherzustellen, dass personenbezogene Daten, die außerhalb der EU/des EWR verarbeitet werden ein gleichwertiges Schutzniveau erhalten, wie innerhalb der EU/des EWR. Dazu seien vor dem Inkrafttreten des Angemessenheitsbeschlusses vom 10. Juli 2023 keine zusätzlichen Maßnahmen für die Übermittlung in die USA getroffen worden.
Gemäß Art. 47 Abs. 1 der Verordnung (EU) 2018/1725 hätte die Kommission sicherstellen müssen, dass Übermittlungen in die USA ausschließlich zur Erfüllung von Aufgaben erfolgen, die in die Zuständigkeit des für die Verarbeitung Verantwortlichen fallen. In diesem Zusammenhang habe die Kommission versäumt, den Einsatz von Standardvertragsklauseln (SCC) und die Durchführung eines Transfer Impact Assessments (TIA) zu prüfen.
Welche Abhilfemaßnahmen wurden verhängt?
Der EDSB hat gegenüber der EU-Kommission Abhilfemaßnahmen verhängt, um weitere Datenschutzverstöße bei der Nutzung von Microsoft 365 zu verhindern. Zum einen ist im Beschluss des EDSB die Aussetzung der Datenströme genannt, die nicht unter einen Angemessenheitsbeschluss fallen. Damit können grundsätzlich alle Datenströme verstanden werden, die nicht innerhalb der EU/des EWR oder den USA verarbeitet werden. Zudem ist der Kommission auferlegt worden, die Nutzung von Microsoft 365 bis zum 09. Dezember 2024 in Einklang mit der Verordnung (EU) 2018/1725 zu bringen und dies zu belegen.
Welche Auswirkungen hat der Beschluss auf Verantwortliche in Deutschland?
Der Beschluss gegen die EU-Kommission hat erst einmal keine direkten Auswirkungen auf Verantwortliche in Deutschland, denn die Kritik des EDSB bezieht sich lediglich auf die Verträge zwischen der Kommission und Microsoft. Ebenfalls hat der EDSB keinerlei Weisungsbefugnis gegenüber den Datenschutzaufsichtsbehörden der Mitgliedstaaten. Durch den Beschluss könnte allerdings eine erneute Diskussion über den datenschutzkonformen Einsatz von Microsoft 365 in Deutschland losgetreten werden.
Umso wichtiger ist es für Verantwortliche, vor dem Einsatz von Microsoft 365 nicht von der bislang gängigen und gelebten Praxis der Prüfung sowie des Abschlusses von Data Protection Addenden (DPA), Standardvertragsklauseln (SCC) und anderer vertragswirksamer Dokumente abzuweichen, um sich möglichst gut abzusichern. Letztlich müssen entsprechend wirksame technische und organisatorische Maßnahmen vom Verantwortlichen etabliert werden (vgl. Art. 32 DSGVO, § 27 DSG-EKD, § 26 KDG).
Was muss ich tun, um Microsoft 365 datenschutzkonform einzusetzen?
Es ist wichtig für Verantwortliche, vor dem Einsatz von Microsoft 365 von der bislang gängigen und gelebten Praxis der Prüfung sowie des Abschlusses von Data Protection Addenden (DPA), Standardvertragsklauseln (SCC) und anderer vertragswirksamer Dokumente nicht abzuweichen, um sich möglichst gut abzusichern. Zusätzlich müssen entsprechende und wirksame technische und organisatorische Maßnahmen vom Verantwortlichen etabliert werden (vgl. Art. 32 DSGVO, § 27 DSG-EKD, § 26 KDG).
Diese Maßnahmen umfassen unter anderem:
- Die Dokumentation und Klärung der Art der Daten, die in der Microsoft-Cloud verarbeitet werden sollen,
- eine Prüfung, aufgrund welcher Rechtsgrundlage dies geschehen kann,
- die Dokumentation der Verarbeitungen in einem Verarbeitungsverzeichnis,
- die Konzeptionierung eines Berechtigungs- und Löschkonzeptes, sowie eines On- und Off-Boarding-Prozesses,
- die Erstellung von Datenschutzhinweisen und -Erklärungen für Betroffene,
- regelmäßige Schulungen sowohl für Administratoren als auch für Anwender,
- die Absicherung des Tenants durch geeignete technische Maßnahmen und deren Dokumentation,
- die Durchführung einer vorgelagerten Schwellwertanalyse und ggf. die Durchführung einer Datenschutz-Folgenabschätzung und zuletzt
- die regelmäßige Überprüfung der technischen Maßnahmen und ggf. Anpassung und Neubewertung innerhalb der Datenschutz-Folgenabschätzung.
[1]www.edps.europa.eu/press-publications/press-news/press-releases/2024/european-commissions-use-microsoft-365-infringes-data-protection-law-eu-institutions-and-bodies_en