Microsoft 365 steht gerade in Deutschland in der Diskussion, um den datenschutzkonformen Einsatz in Deutschland. Dieses Thema zeigt sich deutlich in unterschiedlichen Meinungen von Landesdatenschutzbeauftragten, revoltierenden Eltern mit Petitionen, Landeschefinnen mit Freigaben von Microsoft Teams und Zoom für ihr Bundesland, Diskussionen in der DSK und vielen emotionalen Diskussionen gerade nach Schrems2. Die Fronten haben sich gebildet, dafür und dagegen. Nun geht Microsoft wieder in die Offensive:
Schrems2 und Microsoft 365 – Microsoft reagiert
Durch das Schrems2 Urteil des Europäischen Gerichtshofes am 16. Juli 2020 wurde das Abkommen zwischen dem US Handelsministerium und der EU Kommission mit Namen Privacy Shield beendet. Professor von Danwitz als Berichterstatter war schon für das Urteil (Schrems1) zum Ende von Safe Harbor tätig und die Argumentation zeigt sich auch in Schrems2.
Konkret wurde Privacy Shield beendet und damit diese Rechtsgrundlage zur Transfer und Verarbeitung von personenbezogener Daten europäischer Bürger in dem unsicheren Drittland USA. Aktuell bleiben nun die EU-Standardvertragsklauseln, die aber auch von den Kunden geprüft werden müssen. Dazu kommen vom EDPB | European Data Protection Board (europa.eu) vom 19. November 2020 der Zusatz der Additional Safe Guards, die zusätzlich zu den EU-Standardvertragsklauseln gelten sollen. Diese sind von Microsoft in die DPA (aka.ms/DPA) zum 09.12.2020 hinzugefügt worden. Einige Meinungen, wie die von Herrn Schrems oder aus dem LDSB Berlin finden diese zu wenig, um eine datenschutzkonforme Verarbeitung zu gewährleisten.
Microsoft reagiert mit Defending your Data, um stellt die Datenverarbeitungen unter EU-Standardvertragsklauseln.
Nun wurde immer wieder von LDSBs und Kunden gefordert, dass Daten in Europa liegen müssen. Microsoft reagierte zum Beispiel bei Yammer mit einem Umzugsprogramm in die EU und dass neue Yammer Umgebungen direkt in der EU eingerichtet werden. Dies zieht sich durch die Produkte bei Microsoft. Ein Beispiel ist hier auch Whiteboard, welches zum Oktober in den OneDrive gespeichert wird und ab April 2021 nun auch innerhalb der EU verarbeitet wird.
Auch wenn Microsoft reagiert hat, liegt noch viel Arbeit vor den verschiedenen Teams. Bei einer genaueren Betrachtung werden nur die wenigsten Werkzeuge nur in der EU verarbeitet, auch wenn es sich um EU oder deutsche Tenants handelt. Hierzu hatte ich auch einen Blogpost geschrieben.
Nun wird sich zeigen, wie Microsofts Zusage mit der Aktion #Tech4Europe auch umgesetzt wird. It’s time to make tech fit for Europe – EU Policy Blog (microsoft.com)
Microsoft im Austausch: https://twitter.com/AndreKiehne/status/1390270665152925699?s=20
Was kommt neu?
Microsoft möchte in Zukunft es ermöglichen, dass Daten gerade von Microsoft 365 nur noch innerhalb der Europäischen Grenzen verarbeitet und gespeichert werden. Zunächst erstmal die Core-Tools, wozu z:b. Sway auch immer noch nicht gilt. Nach der Lesart sollten die Telemetry/Diagnose-Daten auch dazu gehören, aber ist dies wirklich so? Ich stehe in Kontakt mit Microsoft.
Bis wann und was? Haken ?
- 2022-2023 bis zur Umsetzung
- erstmal nur Core-Tools
- Hilf nicht bei US-Recht // übrigens die MCD mit Treuhänder ebenso nicht
- Verträge sind nicht angepasst bisher
Reicht es aus, um Microsoft 365 datenschutzkonform zu betreiben?
Es gibt einige grundsätzliche Herausforderungen:
1. Diskussion um Art 44 DSGVO -> offen
Die Diskussion um den Begriff der Übermittlung in ein Drittland bleibt aktuell weiterhin offen. Genügt es, wenn alle Daten innerhalb der Grenzen der EU verarbeitet werden, auch wenn es sich um einen US Clouddienstanbieter handelt? Kommt ein Treuhändermodell wieder in Frage oder reicht es aus, wenn der US Dienstanbieter eine europäische Vertretung hat, die dann verantwortlich ist. Reicht das Zugriffs- und Weisungsrecht der Mutter in den USA schon als Transfer aus?
Diese Frage wurde bereits in einigen Aufsätzen und Podiumsdiskussionen besprochen. Ein Ende der Diskussion ist aktuell noch nicht zu sehen.
Meine Meinung: Ich gehe hier auf den Wortlaut ein: Transfer/Übermittlung. Wenn keine Übermittlung stattfindet von personenbezogenen Daten, dann kann man nicht von einem Transfer sprechen.
“Art. 44
Allgemeine Grundsätze der Datenübermittlung
Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; dies gilt auch für die etwaige Weiterübermittlung personenbezogener Daten aus dem betreffenden Drittland oder der betreffenden internationalen Organisation an ein anderes Drittland oder eine andere internationale Organisation. Alle Bestimmungen dieses Kapitels sind anzuwenden, um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.”
2. US-Recht: Cloud Act und FISA 702/ 705 -> nein
Dieses Vorgehen ändert nichts an der Rechtslage in den USA und kann auch ein Abkommen wie Privacy Shield nicht ersetzen. Das Problem der Zugriffsmöglichkeiten aus den USA zu lösen bleibt offen. Dies muss in den USA geklärt werden oder es sollte das Abkommen mit konkreten Regelungen kommen. Diese Verfahren führt Microsoft gerade in den USA und obsiegte auch schon gegen Secret Order.
Schutz könnte sein:
technisch: DKE, S/MIME und HYOK Varianten (Diskussion: genügt BYOK?)
3. risikobasierter Ansatz Art. 44
Viele Unternehmen führen heute einen risikobasierten Ansatz, in dem der Einsatz unter einem minimierten und geringstmöglichen Risiko unternommen wird. Ob dieser Ansatz in Art 44 überhaupt vorgesehen ist, ist eine weitere Debatte.
4. Schutz vor deutschen Geheimdiensten -> nein
Diese Verlagerung der Datenverarbeitung schützt auch nicht vor den deutschen Geheimdiensten und den Staatstrojanern. Die Zugriff auf Kundendaten wollen und diese auch in die USA im Rahmen der Kooperation weiterleitet.
Gesetzentwurf im Bundestag: “Staatstrojaner” für die Geheimdienste | tagesschau.de
Bewertung (Neu 9.05.2021)
Nein, es genügt nicht, dass Daten nur ausschließlich in der EU verarbeitet und gespeichert werden. Die obigen Herausforderungen sind damit nicht durch eine Speicherung in der EU alleine beendet.
Lösungen
Streng genommen gibt es zu der Diskussion nur folgende Lösungen, wenn man keinen risikobasierten Ansatz nutzt:
- kein Einsatz von Microsoft Clouddiensten, sondern europäischen Clouddienstanbietern
- OnPremises Dienste:
- Exchange Server
- SharePoint Server inkl. Office Apps Server
- Skype for Business Server
Links zum Thema
Unsere neue EU-Datengrenze für die Microsoft Cloud
Speicherung und Verarbeitung von Daten ausschließlich in der EU | News Center Microsoft
Answering Europe’s Call: Storing and Processing EU Data in the EU – EU Policy Blog (microsoft.com)
It’s time to make tech fit for Europe – EU Policy Blog (microsoft.com)
(1) Posten | Feed | LinkedIn Lennart Wetzel
Kultusministerium BW / Mitarbeiter Ralf Armbruster
Spannende Entwicklung! Damit ist die Diskussion um o365 in Schulen erneut eröffnet. #twlz
Datenschutz: Microsoft bietet Datenverarbeitung in Europa an – Digital – Stuttgarter Nachrichten https://t.co/nZ6WkcOHgp
— Ralf Armbruster (@ArmbrusterRalf) May 6, 2021