Die Diskussionen über Herausforderungen im Themengebiet Datenschutz und Microsoft 365 sind älter als viele vermuten. Es begann schon mit Windows und wird nun bei Microsoft 365 als SaaS Applikation und einer Produktsuite bestehende aus mehr als 20 Produkten und tausenden von Features und Funktionen, die im Evergreenansatz immer weiter angepasst und erweitert werden.
Historie zum DSK Beschluss – Die Prüfung
Die DSK und genauer eine Arbeitsgruppe bestehend aus MitarbeiterInnen der jeweiligen Landesdatenschützer und des Bundesdatenschützer beschäftigten sich mit dem Thema Microsoft 365. Im Rahmen dessen traf sich diese Arbeitsgruppe auch mit Vertretern von Microsoft Deutschland und sogar Microsoft Corp. Ich konnte selber mit beiden Seiten sprechen und kenne die Vertreter von Microsoft und Microsoft Corp sogar persönlich und traf einige erst vor wenigen Wochen.
Informationen und Material findet ihr hier:
Produktwarnung durch die DSK/ LDSBs?
Eine sehr heiße Diskussion ist die Frage, ob LDSBs und der BDSB Produktwarnungen oder Einschätzungen öffentlich bekannt geben dürfen. Sie sprechen damit direkt und auch indirekt Produktwarnungen aus. Dies ist so jedoch nicht direkt in der DSGVO regelt. Microsoft ist in diesem Bezug schon mal gegen Äußerungen des Berliner Landesdatenschutzes vorgegangen. Die Meinung der LDSBs, die auch in Köln in einer schönen Diskussion mit Stefan Brink aufgestellt wurde, ist es erlaubt und wird gemacht, wenn ein Risiko über die Bürger des eigenen Bundeslandes unmittelbar besteht. Wir werden hier noch einige spannende Verfahren in den nächsten Jahren sehen.
Einschätzung für Unternehmen
Unternehmen, öffentliche Stellen und auch NGOs, aber auch Privatpersonen mit Business M365 Tenants müssen nach der DSK Entscheidung über die Nutzung nachdenken und eine Entscheidung treffen.
Das Dilemma liegt in dem Punkt, dass man als klassisches Unternehmen und dort als ITler oder Datenschützerin oder auch als KonzernDSB kaum eine einfache Lösung finden, als das nun feststehende Risiko zu akzeptieren, Microsoft vertrauen oder die Nutzung von Microsoft 365 einstellen.
Was kann ich als Unternehmen tun, wenn schon die DSK die Informationen nicht bekommen hat?
In Deutschland gibt es, ich sitze gerade im Airlift von Microsoft zu dem Thema, nur zwei Personen bei Microsoft Deutschland und drei Personen bei Microsoft Partnern mit mir zusammen, die hier eine Lösung ganz konkret lösen und alle Fragen beantworten können. Dabei geht es darüber hinaus, was Microsoft an die DSK geliefert hat.
So habe ich erfahren, dass Microsoft leider nicht mit diesen Personen die Informationen an die DSK Arbeitsgruppe geliefert hat. Aus diversen Quellen wurde bestätigt, dass z.B. keine Datenflussdiagramme übergeben wurden. Diese und viele andere Informationen liegen mir persönlich jedoch vor.
Aufgaben nach der DSK Entscheidung
Was muss man nun tun:
- Prüfung der Qualität des Paperworks (DSFA, TIA, DSE) / Prio 1: Datenschutzerklärung und ggf. Verbesserung dieser
- Prüfung der aktuellen TOMs / technischen und organisatorischen Maßnahmen (z.B. Feedback abgestellt, Datenklassifikation vorhanden?, Prozesse für Betroffenenanfragen vorhanden?)
- Risikoübernahme durch den Vorstand/Geschäftsführung vorhanden? Wiederholen nach der DSK Entscheidung. Dem Vorstand müssen die Risiken bewusste sein und das Risiko bekannt und der Einsatz von Microsoft 365 freigegeben.
- Prozesse prüfen und anpassen. (z.B. Umgang mit dem Evergreenansatz)
- Vorlage beim GPR, Betriebsrat / transparenter Umgang
- Code of Conduct , Empfehlung des LDSB BW
Hauptpunkt: Entscheidung auf Vorstandsebene zur Nutzung von Microsoft 365
Kommentar / Raphael Köllner
Der vorliegende DSK Beschluss hat die vorliegende Situation nicht großartig verändert. Es gab vor dem DSK Beschluss und danach Kritikpunkte der DatenschützerInnen. Für Microsoft stellt es sich aktuell wie ein “Moving-Taget”, also ein sich bewegendes Ziel dar. Zunächst waren die Verträge und die Auftragsdatenverarbeitung schon mangelhaft, nun ist es die eigene Verarbeitung zu eigenen Geschäftszwecken und immer noch die Datenübertragung von personenbezogenen Daten in die USA, welche in Q1 2023 schon technisch beendet wird, wie die DSK auch selber anmerkt.
Im Grunde stellt sich aus meiner Sicht hier mehrere grundsätzliche Fragen des Verhältnisses, der ADV und auch der Transparenz. Diese entladen sich nun auch in der DSK Entscheidung zu Microsoft 365. Wie nun aber das nun richtige Verhältnis aussieht, das der DSK, das von Microsoft oder das Eigene bei Sichtung der Unterlagen, wird sich hoffentlich in den nächsten Jahren zeigen.
Ein Verbot gibt es aktuell nicht! Ich suche seit 4 Jahren alle 6 Monate und die aktuelle Umfrage läuft gerade, aber es gab seit 7 Tagen noch einen Eintrag. Umfrage Dez 2022- Bußgelder oder Verfahren zu Azure und Microsoft 365 – RaKöllner (rakoellner.de)
Wenn es den LDSBs so wichtig ist, dann sollten Sie Microsoft Deutschland über den LDSB Bayern prüfen lassen und sich bei Microsoft Deutschland als Verantwortlichen stellen und im Bußgeldverfahren es vor Gericht klären lassen und es bitte nicht auf alle Verantwortlichen abwälzen. Auch den LDSBs sollte es klar, sein, dass wenn Sie sich einen anderes Unternehmen, wie Siemens oder BMW oder Continental suchen, dass Sie ebenfalls bei diesen Unternehmen Microsoft im Hintergrund haben.
Empfehlung: Ruhe bewahren, Dokumente und Prozesse sauber halten (Datenschutz-SDM)