Microsoft Deutschland vs. Landesdatenschutz Berlin – eine Zusammenfassung in Sachen Microsoft Teams

Das Thema Datenschutz ist in Verbindung mit Microsoft und gerade den Microsoft 365 Produkten ein immer wieder diskutierte Thematik. Dies hat sowohl mit den neuen Funktionalitäten, ständigen Vertragsänderungen, dem Cloud Act, als auch den Reaktionen der verschiedenen Landesdatenschutzbeauftragten zu tun. Schon im vergangenen Jahr prechte der Landesdatenschutzbeauftragte von Hessen vor und Verbot den Einsatz von Office 365 an Schulen in Hessen und musste wenige Tage später mit einer nächsten Pressemitteilung komplett zurück rudern. Nun hat die oberste Landesdatenschützerin aus Berlin in einer Guideline sich negativ geäußert und Microsoft hat darauf erstmals öffentlich beantwortet.

In der aktuellen Situation ist die Nutzung von Videokonferenz und Chatsystemen äußerst wichtig für Unternehmen, Schulen und öffentliche Einrichtungen. Im Rahmen dessen werden Versäumnisse, aber auch Stärken der verschiedensten auf dem Markt befindlichen Werkzeuge offenbart.

Der Wunsch und heute die lauten Rufe an die jeweiligen Landesdatenschutzbeauftragten der 16 Länder und dem des Bundes werden immer lauter, nun endlich konkrete Aussagen zu treffen und den Unternehmen und öffentlichen Einrichtungen Rechtssicherheit im Rahmen des Datenschutzes zu geben. Damit befinden sich die Landesdatenschützer nun in einer Zwickmühle, denn auf der einen Seite müssen diese beraten und unterstützen und auf der anderen Seite wollen sie, gerade wenn diese alleine stehen und nicht die DSK (Datenschutzkonferenz) aller Bunddesländer hinter sich haben, so gut wie möglich keine Empfehlungen und konkreten Konfigurationen vorschreiben. 

Einige Anwälte forderten bezüglich bereits getätigter Aussagen von Landesdatenschützern Konsequenzen, da diese schon mal übereilt Aussagen tätigen und so in den hochkomplexen technischen Werkzeugen nicht immer korrekte Annahmen verfolgen und damit ungenaue Schlüsse zogen. Diese Aussagen haben und werden im Markt ganz konkrete Auswirkungen für negativ bewertete Produkte und deren Herstellerfirmen haben. Dies kann bis zum Ende des Verkaufes führen und sehr hohen Umsatzeinbußen. Die Datenschützer sehen sich nun ähnlich wie Kontrolleure von Restaurants vor der Herausforderung, die es nun zu lösen gilt. Bisher wurde dies durch Beratungen und Hinweise an den Hersteller gelöst und erst, wenn dieser nicht reagierte, wurde an die Öffentlichkeit gegangen. Diese länger dauernder Prozess ist in den aktuellen Zeiten nicht durchzuführen. 

Auslöser – Unterlagen des Landesdatenschutz Berlin (Schritt 1)

Der Auslöser der aktuellen Diskussion und offenen Auseinandersetzung sind zwei Unterlagen des Landesdatenschutzes Berlin, die auch heute noch öffentlich abrufbar sind: 

Orientierungshilfe des Landesdatenschutz Berlin

https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2020-BlnBDI-Empfehlungen_Videokonferenzsysteme.pdf

Kurzempfehlungen und Checkliste Videokonferenzen des Landesdatenschutz Berlin

https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2020-BlnBDI-Checkliste_Videokonferenzen.pdf

In diesem Unterlagen heißt es zu Microsoft: (Auszug)

Checkliste

“Wir weisen darauf hin, dass einige verbreitet eingesetzte Anbieter die aufgeführten Bedingungen
zu Redaktionsschluss (2. April 2020) nicht erfüllen, darunter Microsoft, Skype Communications
und Zoom Video Communications”

Orientierungshilfe

“Einige Anbieter fungieren lediglich als Wiederverkäufer von Leistungen US-amerikanischer Unternehmen. Andere lassen einen wesentlichen Teil der Dienstleistung von außereuropäischen Unternehmen der gleichen Unternehmensgruppe erbringen. In den beiden letztgenannten Fällen gewinnen Sie zwar einen europäischen vertraglichen Ansprechpartner. Die oben beschriebenen Risiken verbleiben jedoch. Prominentes Beispiel sind die Dienstleistungen der Unternehmensgruppe von Microsoft Corporation (z. B. Microsoft Teams) einschließlich seiner Tochter Skype Communications SARL mit Sitz in Luxemburg (mit dem gleichnamigen Produkt).
Im letztgenannten Fall wie auch bei der direkten Beauftragung eines der außereuropäischen Anbieter mit signifikantem Marktanteil – in der Regel mit Sitz in den USAmüssen Sie neben den Fragen, die auch bei rein europäischen Anbietern eine Rolle spielen, die zusätzlichen Risiken bedenken und die rechtlichen  arantien prüfen. Leider erfüllen auch einige  der Anbieter, die technisch ausgereifte Lösungen  ereitstellen, die datenschutzrechtlichen Anforderungen bisher nicht. Dies trifft derzeit (Stand 2. April 2020) z. B. auf Zoom Video Communications, Inc. zu.”

(( Hervorhebungen durch den Autor))

 

Stellungnahme von Microsoft Deutschland zu den Empfehlungen (Schritt 2)

Microsoft Deutschland reagierte mit einem von CELA (Rechtabteilung Microsoft Deutschland Berlin/München) und wahrscheinlich der Pressestelle verfassten Stellungnahme. Diese ist in mehrerer HInsicht etwas Besonderes. Zum erstem Mal reagiert Microsoft Deutschland direkt und vorallem öffentlich auf die Empfehlungen eines Landesdatenschutzbeauftragten. Weiterhin spricht es auch das erstem Mal öffentlich in einem Beitrag über die M-Verträge. Diese zusätzlich zu dem klassischen Vertragskonstrukt zwischen Kunden, Resellern und Microsoft geschlossen werden können, um weitere Absicherungen zu erhalten. Konkret wird der Zusatzvertrag für Berufsgeheimnisträger angesprochen.

Zusammenfassend widerspricht Microsoft Deutschland den Äußerungen des Datenschutzes und belegt die Aussagen mit vielfältigen Links und Material, welches die Aussagen untermauert. 

Es gibt noch viel mehr M-Verträge von Office 365 bis Windows 10 Telemetrie und spezielle für Branchen, wie Banken und Versicherungen. Wer hierzu weitere Informationen benötigt, kann mich gerne ansprechen. 

https://news.microsoft.com/de-de/stellungnahme-zum-vermerk-berliner-datenschutzbeauftragte-zur-durchfuehrung-von-videokonferenzen-waehrend-der-kontaktbeschraenkungen/

 

Mahnung von Microsoft Deutschland gegen den Landesdatenschutz Berlin (Schritt 3)

Microsoft hat nun auch erstmal einen Brief (05. Mai 2020) an den Landesdatenschutz Berlin verfasst und verschickt. (Quelle). Dieser liegt mir leider nicht vor. Aus verschiedenen Quellen und der öffentlich zugänglichen Quelle auf T-Online ist herauszulesen, dass sich Microsoft gegen die Äußerung wehrt und darstellt, dass ihre Produkte in ein Licht gerückt werden, diese seinen nicht konform mit dem Datenschutz in Deutschland. Dies hätte unmittelbare Auswirkungen auf den Umsatz und Verkauf der Software Skype und Microsoft Teams, die in Zeiten von Corona einen besonderen Stellenwert hätten.

Der Chefjurist in der Geschäftsleitung von Microsoft Deutschland wirft Berlin vor, mehrere Annahmen seien faktisch oder rechtlich unzutreffend. Die Veröffentlichungen suggerierten, dass die genannten Produkte nicht nur gegen die DSGVO verstoßen, sondern auch strafrechtlich bedenklich seien. Dafür gibt es bei den Microsoft-Produkten keine Hinweise.

Chefjurist = Dirk Bornemann 

Microsoft hat keine Forderung (Geld) in das Schreiben aufgenommen, aber dies kann noch kommen.

Quelle: https://www-t–online-de.cdn.ampproject.org/c/s/www.t-online.de/digital/internet/id_87890600/tid_amp/skype-und-teams-warnung-vor-videokonferenzen-microsoft-mahnt-berlin-ab.html?fbclid=IwAR1VfKVZKqLYNlQ1qVlVC7eIfxndZV3lTPEwYNBME98MUD7-5z_4HYIEPY0 

(Hervorhebungen durch den Autor)

Weitere Quelle 

Auch die Süddeutsche Zeitung hat das Thema aufgegriffen und die verschiedenen Seiten zusammengefasst. 

https://www.sueddeutsche.de/digital/microsoft-teams-datenschutz-videokonferenz-berlin-1.4911940

Zukunft? 

Der Ball liegt nun beim Landesdatenschutz in Berlin oder ob Microsoft das Risiko eines Prozesses eingeht. Jedoch zeigt der Fall deutlich, dass Unternehmen sich Aussagen von Datenschützern nicht gefallen lassen und dies auch nicht müssen. In der Konsequenz heißt es, dass die Landesdatenschützer noch sauberer arbeiten müssen, was noch mehr Zeit benötigt und vor allem statt einzelne vorzuschicken, nun endlich zusammen arbeiten müssen. 

Dies heißt auch, dass die Ausstattung der Landesdatenschützer mit Personen und Budget von Anfang an viel zu klein geplant und umgesetzt wurde. Dieses Manko ist bekannt und nun muss die Politik endlich helfen, um einen effektiven Datenschutz in Deutschland zu etablieren. 

Der Brief von Microsoft

Der Brief von Microsoft wurde maschinell übersetzt und veröffentlicht:

RA Peter Hense von Sprit Legal aus Berlin veröffentlicht den Brief auf LinkedInhttps://www.linkedin.com/feed/update/urn:li:activity:6667452082519339008/

Auf Nachfrage per frag-den-Staat durch Stephan Schmidt ist nun auch der Brief veröffentlicht worden und kann als Scan runtergeladen werden:

https://fragdenstaat.de/anfrage/loschung-der-checkliste-und-des-vermekrs-fur-die-durchfuhrung-von-videokonferenzen-wahrend-der-kontaktbeschrankungen/

Neue Meldung aus dem Berliner Datenschutz

Nach einer seit Mittwoch, den 20.05.2020, entfernen Unterlagen, der Abmahnung durch Microsoft betreffende. Jedoch sind die Unterlagen zwischenzeitlich in abgeänderter Form wieder online. Die Unterlagen wurden an einigen Stellen konkretisiert, sind aber nun wieder online.

Quelle: https://m.faz.net/aktuell/wirtschaft/digitec/berliner-datenschutzbeauftragte-warnt-vor-microsoft-produkten-16785095.html?GEPC=s3

https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2020-BlnBDI-Heimarbeit.pdf

 

Antwort des Landesdatenschutzes Berlin auf den Brief von Microsoft

Der Landesdatenschutz hat eine Antwort auf den Brief von Microsoft verfasst und versendet. Durch eine Anfrage (frag-den-staat) wurde der Brief ungeschwärzt nun veröffentlicht und ist kostenfrei zum Download verfügbar: LINK

—————————————————————————————————

Logs

  • 25.05.2020: Neue Meldung aus Berlin und Brief von Microsoft
  • 28.05.2020: Ergänzung von Frag-den-Staat Link