Lange haben wir darauf gewartet, was die Datenschutzkonferenz der Landesdatenschutzbeauftragten der einzelnen Bundesländer offiziell zum Thema Office 365 einen Beschluss verkündet. Diese Entscheidung ist nun ergangen:
Die Datenschutzkonferenz (DSK)
Die DSK ist eine Arbeitsgruppe der Landesdatenschutzbeauftragen mit verschiedenen Arbeitskreisen für die verschiedensten Themen. Ebenso gibt es die ERFTA Arbeitskreise. Das Ziel ist es eine einheitliche Anwendung der Gesetze und Verordnungen, sowie der Auslegung dieser zu erreichen. Jedoch und dies ist wichtig, sind die Entscheidungen der DSK nicht rechtlich bindend. Im Grund kann die DSK alles entscheiden und behaupten. Die DSK ist nicht gesetzlich verankert und ist eben nicht wie die einzelnen Landesdatenschutzbeauftragten als Behörde zu sehen. Dennoch sind die Entscheidungen nicht ganz unerheblich, da diese erhebliche Indizwirkung haben.
https://www.datenschutzkonferenz-online.de/
“Die DSK hat das Ziel, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten.”
“Die Datenschutzkonferenz (DSK) ist der Zusammenschluss der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder und besteht aus der oder dem Bundesbeauftragten für den Datenschutz, den Landesbeauftragten für den Datenschutz und der Präsidentin oder dem Präsidenten des Bayerischen Landesamtes für Datenschutzaufsicht (Mitglieder der DSK).”
Die Entscheidung
Mit 9 gegen 8 Stimmen der DSK wurde beschlossen, dass die “Bewertung seines Arbeitskreises Verwaltung zur Auftragsverarbeitung bei Microsoft Office 365 vom 15. Juli 2020” zugestimmt wird und übernommen.
Die Bewertung ist hier abzurufen: https://fragdenstaat.de/anfrage/bewertung-des-dsk-arbeitskreises-verwaltung-zur-auftragsverarbeitung-bei-microsoft-office-365-vom-15-juli-2020/
“Das Papier kommt zu dem Ergebnis, dass auf Basis der genannten Unterlagen kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich ist. Eine Arbeitsgruppe wird eingesetzt, die zeitnah Gespräche mit dem Hersteller aufnehmen soll.“
“Der Arbeitskreis hatte „die dem Einsatz des Produktes Microsoft Office 365 zu Grunde liegenden Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft-Onlinedienste (Data Processing Addendum / DPA) – jeweils Stand: Januar 2020“ geprüft.”
Baden-Württemberg: https://www.baden-wuerttemberg.datenschutz.de/gemeinsame-pressemitteilung-zu-microsoft-office-365/
Kommentar
In diesem Verfahren ist leider die Meinung unserer Landesdatenschutzbeauftragten und der Bundesdatenschutzbeauftragtem unterschiedlich und man ist sich uneins. Diese Uneinigkeit führt zu einer fehlenden Rechtssicherheit bei Unternehmen, Privatleuten und Verbänden. Diese Uneinigkeit führt auch zur Versplitterung der Rechtslage in Deutschland, so wie wir es bei der Covid-Krise sehen und beim Datenschutz, aber leider auch bei fast allen Rechtsgebieten so ist. Es kommt genau darauf an in welchem Bundesland habe ich meinen Firmensitz und welches Gericht, bzw. welche Richter habe ich zugeteilt bekommen.
Dies ist nun auch beim Datenschutz und der Nutzung von Microsoft 365 angekommen. Dabei ist es möglich eine einheitliche Meinung über den Stand des Datenschutzlange sich zu bilden, es ist wahrscheinlich nur nicht gewollt. Dies hat zur Folge, dass nun auch einzelne Landesdatenschutzbeauftrage wie LSDB Saarbrücken eigene Pressemitteilungen veröffentlichen und der zu erreichende interne Konsens nun in der Presse und am Ende wieder auf dem Rücken der Unternehmen ausgetragen wird. Dies sehe ich persönlich extrem kritisch und eine Schwächung des Standortes Deutschland und eine Hemmung der Digitalisierung und des Fortschrittes in Deutschland. Ich bin für klare, rechtsstaatliche und einheitliche Entscheidungen. Wenn die LDSBs und der Bundesdatenschützer Herr Kelber sagen, dass es nicht datenschutzkonform nutzbar ist, dann ist es auch in Ordnung, denn dann ist es eindeutig, klar und alle wissen, dass sie rausmigrieren und sich andere Systeme suchen müssen.
Verträge ungenau
Weiterhin kritisiere ich inhaltlich, dass etwas veraltete Verträge geprüft wurden. Es wurde im Arbeitskreis das Vertragskonstrukt von Januar 2020 geprüft. Diese Verträge gelten bestimmt noch für einige EA und CSP oder auch MPSA oder Open Verträge oder Kreditkarten Vertragskonstrukte, aber der Großteil der Unternehmen ist nach dem Schrems2 Urteil auf die neuen Verträge umgesprungen, denn spätestens ab dem 16. Juli 2020 war klar, dass die Microsoft Verträge veraltet waren. Den versierten Juristen und Einkäufern war dies auch im Januar schon klar, so dass ich auch zu dem Zeitpunkt mit Microsoft schon in engeren Gesprächen war und auch das niederländische Justizministerium in einer zweiten Runde in Gesprächen sich wiederfand.
aktuelle Verträge
OSTs: 1 Oktober 2020
DPA: 21. Juli 2021
Prüfen würde ich nach der großen Änderung: OSTs vom 1. August und DPA vom 21. Juli 2021
Wichtig zu wissen ist, dass die Verträge zum Vertragsschluss gelten, außer es sind neue Produkte hinzugeführt worden, wie z.B. Lists, dann gelten für diese Produkte die OSTs aus dem Monat der Einführung.
Abschließend muss man ganz genau die Teile des Produktes prüfen (Vertragsdatum, Vertragsbündel, Tenant Erstellung) und die für jeden Teil gültigen Verträge. So kann es sein, dass einige Produkte, wie Exchange Online datenschutzkonform, aber Produkte wie Sway eben nicht datenschutzkonform eingesetzt werden können.
Meine Kritik an dem Arbeitskreis ist es, dass sie zu undifferenziert und viel zu ungenau geprüft haben.
Produktbezeichnung ungenau
In der Bewertung wird mit den Produktbegriffen nicht genau umgegangen. Es wird sowohl Office 365 als auch Microsoft 365 genannt. Dies sind zwei komplett unterschiedliche SKUs, also Produkte.
Office 365 = Exchange Online, SharePoint Online, Teams, Skype for Business, Zusatzwerkzeuge und verbundene und optional verbundene Dienste wie LinkedIn.
Microsoft 365 = Windows 10, Office 365 und Enterprise Mobility Suite
Hier wünsche ich mir auch für die Zukunft eine genauere Vorgehensweise, welches Produkt genau geprüft wurde. Dazu kommt, dass die Produkte in verschiedenen Varianten und Plänen, sowie auch aus verschiedenen Rechenzentren und verschiedenen Vertragskonstrukten angeboten werden. Hier wurde nicht genau geprüft.
keine Anhörung von Microsoft
Ebenso fehlte in dem Verfahren bei der DSK die Anhörung von Microsoft. Der Hersteller wurde nicht einbezogen. Dies könnte man ankreiden und es wurde auch gesagt, dass dies nachgeholt wird. Dennoch muss man auch sagen, dass die DSK keine Behörde ist und kein rechtsstaatliches Verfahren folgen muss. Dies wäre natürlich sehr gut, aber keine Verpflichtung, die sich auch aus der Geschäftsordnung nicht ergibt.
Anders ist dies bei den Landesdatenschutzbehörden, die dies bis auf die Berliner, auch tun und gebraucht davon machen. Es wird schon längere Zeit auf verschiedenen Ebenen mit den LDSBs zusammengearbeitet, heißt es aus informierten Quellen.
Zuständigkeit für Microsoft ist der LDSB Bayern?
“[…] sowie der Präsident des Bayerischen Landesamts für Datenschutzaufsicht aus, das für die Microsoft Deutschland GmbH zuständig ist.”
In dem Webseitenbeitrag wird klar gesagt, dass der LDSB Bayern zuständig für Microsoft Deutschland ist. Es ist aber fraglich, ob der LDSB Bayern oder überhaupt die LDSB in Deutschland für Microsoft zuständig sind. Verträge werden zwischen den Kunden und Microsoft über Microsoft Inc. Dublin geschlossen und Microsoft Corp. in den USA. Microsoft Deutschland ist nur eine Vertriebsgesellschaft mit maximal einem Vertriebsvertrag mit den Kunden. Dennoch kann ich aus meiner Auffassung zustimmen, dass der LDSB Bayern zuständig sein kann, da der Firmensitz der Microsoft Deutschland in Bayern (München) liegt und diese eine Vertretung der Microsoft darstellt. Ich würde mir eine enge Abstimmung mit dem DSB in Dublin Irland wünschen. Dazu kommt, dass ich für eine Bündelung bin, wie es auch bei Google beim LSDB Hamburg der Fall ist. Kompetenzen und Sachverstand in dieser komplexen Materie müssen gebündelt werden. Dann muss diese Behörde aber auch entsprechend ausgestattet werden, ich warte seit 1,5 Jahren auf eine Antwort aus Hamburg.
Arbeitsgruppe und Zusammenarbeit mit Microsoft
Ich kann folgendes natürlich begrüßen:
“Umso mehr begrüßen die fünf Datenschutzaufsichtsbehörden, dass die Datenschutzkonferenz einstimmig eine Arbeitsgruppe eingesetzt hat, die unter Federführung der Landesbeauftragten für den Datenschutz Brandenburg und des Bayerischen Landesamts für Datenschutzaufsicht zeitnah Gespräche mit dem Hersteller aufnehmen soll.”
Dazu kommt aus meiner Sicht, dass eine konstruktive Zusammenarbeit allen mehr nützt, als nur undifferenziert und ungenau mehr Fragen aufzuwerfen und für den Standort Deutschland auch wirtschaftlich gegenläufige Entscheidungen zu treffen.
Auswirkungen der Entscheidung
Die unmittelbare Auswirkung ist zunächst nicht gegeben. Jedoch ist für die 8 zustimmenden Bundesländer (z.B. Berlin) und dem dort befindlichen Unternehmenssitz unbedingt geboten mit Microsoft ins Gespräch zu kommen, seine Verträge zu prüfen und TOMs einzuleiten, sowie im generellen sei es mit einer DSFA den Einsatz von Microsoft 365 zu prüfen und auch im Zweifel über Art 36 Abs. 1 DSGVO den Landesdatenschutz einzubeziehen, um das Risiko zu vermeiden. Im technischen Sinne können dies auch Verschlüsselungsgateways (z.b. Eperi) sein oder Anomysierungstechnologien oder eben das Einbringen eines eigenen Schlüssels über HYOK.
Entscheidungsreife und eine endgültige Entscheidung ist dies nicht. Es gibt kein generelles Verbot zum Einsatz.
Ihr müsst eure Umgebung entsprechend konfigurieren, entsprechende Lizenzen besitzen (kleinere Lizenzen lassen die Konfiguration nicht zu z.B. Business Basic, sondern O365 E3), euch beraten lassen und alles sauber konfigurieren.