Die EU Kommission konnte sich unter Unterstützung und Hilfe von Microsoft mit dem Europäischen Datenschutzbeauftragten einigen und Microsoft 365 nun in Einhaltung der DSGVO einsetzen. Dies ist die erste Meldung dieser Art, dass eine Behörde, dies öffentlich bekannt gibt und es eine öffentliche Meldung der Nutzung für Microsoft 365 in Europa gibt. Daher ein großer Paukenschlag, nach den einigen Rückschläge, die der Aussage in Frankreich.
Basisdaten
| Gilt für | EU Kommission |
| Gilt nicht für |
|
| Einhaltung welcher Vorschriften geprüft? | Verordnung (EU) 2018/1725 (DSGVO) Es wurde keinen anderen Vorschriften geprüft. |
| zusätzliche Regelungen für die EU Kommission | Microsoft hat über Zusatzverträge zusätzliche Regelungen getroffen. Dies kennen wir schon vom Land Niedersachsen. |
| technische Maßnahmen für die EU Kommission | Microsoft hat die EU Kommission dabei unterstützt. |
Einsatz von Microsoft 365 bei der EU Kommission
Die EU Kommission hat folgende zentrale Punkte durch vertragliche und technische Maßnahmen die Risiken so reduziert, dass ein DSGVO konformer Einsatz möglich ist:
| Zweckbindung (Purpose Limitation) Artikel 5 DSGVO |
|
| Internationale Datenübermittlungen Einhaltung von Artikel 47 der Verordnung (EU) 2018/1725 |
|
| Offenlegung und Benachrichtigung |
|
| Verstoße in den AGB / DPA und dem EA Vertrag |
|
Wojciech Wiewiórowski, Datenschutzbeauftragter, erklärte: „Der EDSB begrüßt diesen proaktiven Ansatz der Kommission in ihrer Rolle als federführende Vergabebehörde zur Unterstützung anderer EU-Einrichtungen. Der EDSB fordert andere EU-Einrichtungen, die die Nutzung von Microsoft 365-Diensten in Erwägung ziehen oder bereits nutzen, auf, ähnliche Bewertungen durchzuführen und technische und organisatorische Maßnahmen zu ergreifen, die mit denen der Kommission vergleichbar sind. Solche Maßnahmen sind erforderlich, um die Einhaltung der Verordnung (EU) 2018/1725 sicherzustellen.“
Wirkung für andere EU Kommissionen
Die Kommission will ihre Vertragsänderungen und technischen Maßnahmen auch anderen EU-Institutionen zur Verfügung gestellt. Der Europäische Datenschutzbeauftragte ruft in der Pressemitteilung alle EU Einrichtungen und Institutionen aufrufen es der EU Kommission gleich zu tun.
Fragestellungen in dem Bereich der DSGVO Konformität
// Danke an meinen DSB Kollegen, die hier bestimmte Fragestellungen aufgeworfen haben, die ich direkt für diesen Bereich aufgenommen hab. ///
1. Es handelt sich um spezifische DPT / DPA eines IILA (Vereinbarung zwischen den EU Institutionen) für EUI (EU-Institutionen).
Es handelt sich um eine Vertragsanpassung, wie wir es auch schon beim Land Niedersachsen gesehen haben. Diese Anpassungen laufen bei Microsoft über Zusatzverträge, wie den öffentlichen Zusatzvertrag für Berufsgeheimnisträger. Diese Zusatzverträge und damit spezielleren Verträge gehen dem EA/MCA-E und den AGB vor und modifizieren diese. Im Rahmen dessen ist es dann in Folge so, dass nach 6-12 Monaten diese dann auch den Weg in die DPA (aka.ms/DPA) finden oder zumindest diese Zusatzverträge auch für Unternehmen und in den Bundesrahmenverträgen verfügbar sind.
2. Wer kann beweisen, wie ähnlich diese Grundlagen denen sind, die z.B. M365 E3 oder E5 Lizenznehmer aus der freien Wirtschaft angeboten werden?
Diese Frage kann ich schnell beantworten. Es gibt keine speziellen Tenants für die EU. Microsoft besitzt nur diese verschiedenen Umgebungen:
- US Government
- DE Government aka Delos Cloud
- FRA Government aka BLUE Cloud
- China Cloud
- Microsoft Public Cloud in den jeweiligen Regionen. Spezielle Region: Europa mit EU Boundary (nur in der EU)
Die Lizenzpakete bestehen in den folgenden Varianten:
- Consumer
- Business und Business Premium
- Enterprise (E1-E5) / Front F1-F5 sind auch Enterprise Lizenzen.
- Education (A1-A5) // Es sind Enterprise Lizenzen.
In Deutschland besteht in den Lizenzpaketen für Unternehmen Nr. 2 oder Nr.3. Die EU Kommission wie auch gut 70% der Unternehmen in Deutschland und auch wir nutzen ausschließlich die Enterprise Lizenzen.
Vorteil: Es ist nur in den Enterprise Lizenzen möglich, dass alle nötigen Konfigurationen, wie z.B. Begrenzung der Telemetriedaten besteht. Daher auch immer die Empfehlung Enterprise Lizenzen zu nutzen damit alle Konfigurationen, Policies und GPOs auch ziehen, dies ist wie bei Windows immer Pro oder Enterprise zu versenden.
3. Technisch-organisatorischen Maßnahmen
Es wurden im Rahmen der Pressemitteilung keine speziellen TOMs genannt. Dies ist auch aus meiner Sicht für eine Pressemitteilung nicht typisch. Die DSK hat dies auch erst in einem eigenen Bericht und hier im ausführlichen Bericht umgesetzt.
Weiterhin ist es so, dass auch die TOMs der EU Kommission eben nicht für alle Unternehmen oder für alle EU Einrichtungen gültig sind oder ausreichen. Die TOMs richten sich nach den speziellen Risiken der Datenverarbeitung innerhalb von Microsoft 365. Dies macht also einen großen Unterschied, ob z.B. eine andere EU Einrichtung, wie z.B. die Frontex Geheimdienstdaten in Microsoft 365 verarbeitet oder Teams für die Übertragung von Videos von Grenzkameras oder eine Teams Besprechung zum Mittagessen und dessen Gerichten innerhalb der EU Kommission. Genau dies gilt auch für Unternehmen, ein Malerbetrieb hat oftmals, aber auch nicht immer, weniger kritische Datenverarbeitungen, als ein Automobilkonzern, der auch Dual-Use Güter für die Rüstungsindustrie herstellt.
Was konkret helfen würde, wäre auch von der EU Kommission eine Begutachtung der TOMs mit Empfehlungen, wie die DSK dies auch getan hat. https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DSK/DSKBeschluessePositionspapiere/104DSK-Festlegung-Microsoft-Onlinedienste.html
Dies kann aber auch nur Hinweise zu einer Basiskonfiguration dienen, die immer eine Anpassung an Hand der Risiken bedarf.
WICHTIG: Eine Konfiguration oder Standardkonfiguration nach der EU Kommission, der DSK oder der niederländischen Justizministerium hilft nicht zur vollständigen DSGVO Konformität.
4. Datenschutzfolgenabschätzung der EU Kommission – Blanko Check?
Es besteht kein Blanko Scheck für alle EU Einrichtungen. Dies hat die EU Kommission auch nicht gesagt, man sollte sich an den Maßnahmen und der Risikoeinschätzung orientieren und kann die vertraglichen Änderungen übernehmen. Die DSFA ist eine individuelle Prüfung pro Verarbeitungen und Risiken.
Microsoft bietet Templates für DSFAs hier an: https://servicetrust.microsoft.com/ViewPage/HomePage und wird es auch in Zukunft weiter tun.
„Darüber hinaus hat Microsoft die Umsetzung der EU-Datengrenze abgeschlossen und sich kontinuierlich bemüht und verpflichtet, mehr Mitarbeiter und Rechenzentren, die an der Bereitstellung von Microsoft 365-Diensten beteiligt sind, innerhalb der EU anzusiedeln, um so die Möglichkeiten für Übermittlungen zu verringern. Darüber hinaus haben die Kommission und Microsoft Unterlagen vorgelegt, aus denen hervorgeht, dass die Übermittlungen in nicht angemessen geschätzte Länder seit dem 9. Dezember 2024 im Zusammenhang mit der Nutzung von Microsoft 365 durch die Kommission nur in begrenztem Umfang und in Ausnahmefällen erfolgt sind.“ (Übersetzung EU Kommission)
WICHTIG: Diese Mitteilung ist kein Blanko-Check für alle Unternehmen, Behörden und auch EU Einrichtungen! Eine Standard-DSFA und Standard TOMs sind nur ein Baustein, es muss weiterhin eine Risikoabwägung und damit pro Verarbeitung individuelle TOMs ergriffen werden.
5. Zero-Risk-Ansatz
Es besteht auch immer noch die Frage und Streitigkeiten in der Literatur und Gesetzgeber, ob überhaupt eine Einsatz mit Risiken möglich ist. Also erlaubt sei nur ein Zero-Risk-Ansatz bei der Datenübermittlung in unsichere Drittstaaten. Hier kann nur entgegnet werden, dass die USA auch nach der Überprüfung im Januar 2024 kein unsicherer Drittstaat ist. Es besteht ein EU Angemessenheitsbeschluss und damit ist es in die Riege der sicheren Drittstaaten wie Kanada oder UK aufgenommen worden. Streng genommen bleibt es aber ein unsicherer Drittstaat, da die USA es kein Mitgliedsstaat der EU ist.
Hierzu eine Empfehlung für den Aufsatz der beiden geschätzten Kollegen:
Heiko und Nina Aufsatz in der ZdiW schon lange (https://lnkd.in/eBuvuVYq). „Datenübermittlung in unsichere Drittstaaten – Relevanz des risiko basierten Ansatzes in Transfer Impact Assessments (TIA) nach den Standardvertragsklauseln“
6. (Kein) Backup für Standardvertragsklausen?
Microsoft Irland und Microsoft Corp haben EU Standardvertragsklauseln abgeschlossen, um eine Datenübertragung in die USA zu gewährleisten und auf rechtliche Füße der DSGVO zu stellen. Diese sind im Service Trust Center abrufbar und auch die Additional Safe Guards, die Microsoft nach dem Verfahren Safe Harbor auch abgegeben und eingebaut hat.
Der Ablauf auch nach der DSGVO ist dann:
- EU Angemessenheitsbeschluss DAPF
- Standardvertragsklauseln
Aktuell werden die folgenden Möglichkeiten nicht genutzt und diese könnten ein Backup darstellen (Art 45 ff. DSGVO) :
- Vereinbarungen und Zusicherungen zwischen den Unternehmen abgenommen vom Landesdatenschutz/Datenschutzaufsicht
7. US Nachrichtendienste – keine Erwähnung
Interessant finde ich es auch, dass kein Wort zu den US Geheimdiensten in er Pressemitteilung auftaucht.
8. fehlende und gelöste Themen aus der DSK 2022
hier eine Auflistung an Hand der DSK von 2022
| Weisungsbindung | gelöst |
| Offenlegung verarbeitender Daten | gelöst |
| Informationen über Unterauftragnehmer | gelöst |
| Datenübermittlung in Drittstaaten | gelöst |
| Löschung und Rückgabe personenbezogener Daten | nicht gelöst / erwähnt |
| eigene Verantwortung von Microsoft / Geschäftszwecke | nicht gelöst / erwähnt |
| Festlegung Art und Zweck der Verarbeitung | gelöst |
Es gibt für öffentliche Bereiche den: M1229 Zusatzvertrag. (EU Kommissions)
Einsatz von Microsoft 365 für Unternehmen und Behörden in Deutschland
Diese Entscheidung des Europäischen Datenschutzbeauftragten hat zunächst keinen unmittelbare Auswirkung für Unternehmen in Deutschland. Eine Microsoft 365 Umgebung wird aktuell dadurch weder DSGVO konform, noch ist diese nicht DSGVO konform im Einsatz. Alles dies entscheiden und das zeigt diese Entscheidung des Europäischen Datenschutzbeauftragten, eine Risikoabschätzung (DSFA) die Risiken offenlegt und dann entsprechende TOMs gesetzt werden, um dann zu einer DSGVO konformen Nutzung zu kommen.
Dennoch ist sehr positiv an dieser Rückmeldung, dass die EU Kommission einen DSGVO konformen Einsatz (von dem Europäischen Datenschutzbeauftragten bewertet) erhalten hat. Es steht nun aus, wie sich die LDSBs in Deutschland dazu positionieren.
Empfehlung weiterhin:
- Erstellung einer DSFA
- TOMs nach Risiken und Verarbeitungen
- Verträge mit Zusatzverträgen nach Risiken und Verarbeitungen
- Datenschutzinformationen nach Art 13 DSGVO
- Nutzungsbedingungen
Unterstützung?
Sie benötigen Unterstützung bei den TOMs, Verträgen und der Konfiguration, können Sie sich gerne bei uns melden. Wir haben bereits über 1250 DSFAs für den öffentlichen und privaten Sektor erfolgreich abgeschlossen.
vertrieb@koellnservice.de
Blogbeitrag zu der Meldung