„Die Verantwortung liegt beim Nutzer“

Tobias Hase ©

---

Was der Streit um die Datensicherheit von Microsoft 365 für Firmen bedeutet, erläutert Michael Will, Präsident des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA)

Von Martin Armbruster, IHK-Magazin 05-06/2023

Bislang war das Gremium nur Insidern bekannt: Im Unterschied zu anderen EU-Ländern gibt es im föderalen Deutschland eine nationale Datenschutzkonferenz (DSK), besetzt mit Vertretern der Datenschutzaufsichtsbehörden des Bundes und der Länder. Mit einem Beschluss zu Microsoft 365 Ende November 2022 sorgte die DSK gleichsam für Schockwellen in der Wirtschaft.

Herr Will, in vielen Beiträgen heißt es, laut DSK-Beschluss verstoße Microsoft 365 gegen den Datenschutz. Aus Ihrem Papier kann ich diese Pauschalaussage aber nicht herauslesen. Was gilt denn nun?
Mit Ihrer Einschätzung liegen Sie schon richtig. Unser Beschluss lässt sich eigentlich nicht missverstehen. Von einer Produktwarnung oder einem Produktverbot ist überhaupt nicht die Rede. Ich habe keinen einzigen Experten gesprochen, der das nicht verstanden hätte. Leider tragen solche Behauptungen dazu bei, dass in der Öffentlichkeit ein falsches Bild entsteht.

Kritiker werfen Ihnen Haarspalterei vor. Wenn die DSK zum Ergebnis komme, Microsoft-Kunden könnten den rechtmäßigen Einsatz der Software nicht nachweisen, bedeute das ein „Microsoft-Verbot“.
Der DSK-Beschluss sagt nicht, dass der Nachweis schlechterdings nicht zu führen ist. Wir sagen lediglich, dass der globale Datenschutzvertrag, den Microsoft zum Zeitpunkt der Beschlussfassung allen Kunden weltweit anbietet, der Datenschutznachtrag vom 5. September 2022, nicht als Grundlage genügt für den Nachweis als Verantwortlicher: Ich betreibe Microsoft 365 datenschutzkonform. Das ist ganz entscheidend.

„Blindes Vertrauen ist leider nicht berechtigt“

Was will denn die Datenschutzkonferenz mit ihrem Beschluss erreichen?
Wir wollen für ein Grundproblem sensibilisieren. Viele gehen davon aus: Microsoft 365 ist ein Standardprodukt, alle nutzen es, deshalb wird das auch datenschutzrechtlich schon in Ordnung sein. Dieses blinde Vertrauen ist leider nicht berechtigt. Es spiegelt eine Gutgläubigkeit und Naivität wider, mit der weder Datenschutz noch Digitalisierung funktionieren können.

Welche Risiken sehen Sie?
Der Ausgangsbefund ist: Es gibt keine Verpflichtung für einen Hersteller, einen Datenschutz-TÜV für seine Software zu machen, bevor er das Produkt auf den Markt bringt. Wir Aufsichtsbehörden dürfen und können auch nicht pauschal ein Produkt oder einen bestimmten Dienst „als solchen“ bewerten. Was wir stattdessen tun: Wir prüfen die Verantwortlichen und ihre sehr unterschiedlichen Verarbeitungstätigkeiten im konkreten Fall.

Es kommt also darauf an, wie der Verantwortliche seinen Job macht?
Ja, die Untersuchung der DSK verweist grundlegend auf Unterlagen und Fragestellungen, die wir nicht untersuchen konnten, die aber jedem Verantwortlichen zur Verfügung stehen und die dieser für seine jeweiligen Zwecke zu prüfen hat: Dabei geht es vor allem um zusätzliche Dokumentationen von Microsoft. Das ergibt sich aus der Langfassung des Berichts.

Hersteller des Produkts außen vor

Das Gesetz weist die datenschutzrechtliche Verantwortung – jedenfalls bei Nutzung eines Produkts in Unternehmen oder Behörden – dem nutzenden Unternehmen oder der nutzenden Behörde zu, nicht dem Hersteller des Produkts. Dies ist möglicherweise noch nicht allen bewusst – knapp fünf Jahre nach Geltungsbeginn der DSGVO, der Datenschutzgrundverordnung, ist es aber dringend notwendig, sich damit auseinanderzusetzen.

Microsoft versichert, die Vorgaben der DSGVO würden „übererfüllt“. Der Konzern hat auch Punkte nachgebessert. Warum reicht das der DSK nicht aus?
Wir haben trotz mancher Fortschritte an einigen Stellen tatsächlich immer noch Zweifel, ob das, was von Microsoft bislang Verantwortlichen – also nutzenden Unternehmen oder Behörden – zur Verfügung gestellt wurde, wirklich ausreicht oder ausreichen kann, um beurteilen zu können, ob sie ihre konkreten Verarbeitungen datenschutzkonform gestalten können. Deshalb ist dieser Beschluss auch ein Impuls in Richtung Microsoft: Werdet da besser! Das ist nötig, damit Kundinnen und Kunden ihre datenschutzrechtlichen Pflichtaufgaben auch erfüllen können.

Aufwand ist individuell verschieden

Halten wir fest: Microsoft 365 lässt sich datenschutzkonform betreiben – wenn es der Verantwortliche klug macht. Wie viel Aufwand ist dafür notwendig?
Es hängt sehr viel davon ab, ob wir etwa über ein Übersetzungsbüro, einen medizintechnischen Betrieb oder einen Anbieter von Fortbildungsmaßnahmen reden. Aus den verschiedenen Geschäftsmodellen ergeben sich auch die unterschiedlichsten Datenschutz-Anforderungen. Den Handlungsbedarf können wir immer nur Typus für Typus bewerten.

Gilt dann die Faustregel, Microsoft 365 niemals in der Standardinstallation zu verwenden?
Aufgrund der Vielfalt der Dienste kann es von uns keine Installationsempfehlung geben – egal, ob man den Videokonferenzdienst Teams oder das Mitarbeiter-Social-Media-Produkt Yammer einsetzt. Wichtig ist, als Verantwortlicher zu prüfen, ob und wie ich die DSGVO bei meinen Verarbeitungstätigkeiten berücksichtigt habe. Man sollte sich die Datenflüsse und -empfänger genau anschauen, kritisch die jeweiligen Rechtsgrundlagen und Einzelheiten der Verarbeitungen, etwa im Blick auf Datenexporte, prüfen. Mehr ist es nicht. Wenn man diese Hausaufgaben erledigt hat, ist man schon sehr weit gekommen.

Kernaussage: „Vertrag mit Microsoft reicht nicht“

Auf die Zusagen von Microsoft kann man also nicht bauen?
Die Kernaussage bleibt: Der Vertrag mit Microsoft reicht nicht. Man muss sich insbesondere mithilfe der Dokumentation von Microsoft anschauen, was im Detail bei den einzelnen Services mit den Daten passiert. Wenn Unklarheiten bestehen, sollte man etwa mit dem Vertriebsberater von Microsoft Kontakt aufnehmen und ihn bitten, zur Klärung der Fragen beizutragen. Wichtig ist, dass der Verantwortliche am Ende den Betroffenen, also insbesondere Kunden und Mitarbeitenden, genau erklären kann, was mit ihren Daten passiert.

Was ist mit den Bußgeldern, vor denen Anwälte und Berater warnen?
Das wird dramatisiert und verkürzt. Das vollständige Bild zeigt doch, dass wir als Datenschutzaufsichtsbehörde zuerst prüfen, ob bei dem jeweiligen Verantwortlichen ein Defizit vorliegt. Falls ja, werden wir den Verantwortlichen auf diese Defizite aufmerksam machen und ihm Gelegenheit geben, seine Datenverarbeitung mit den Anforderungen der DSGVO in Einklang zu bringen. Auch unter dem Gesichtspunkt der Verhältnismäßigkeit sind Bußgeldbescheide deshalb regelmäßig nicht die erste Maßnahme, die Aufsichtsbehörden ergreifen.     

Zur Person: Michael Will

Michael Will, Jahrgang 1968, ist Jurist und seit Februar 2020 Präsident des Bayerischen Landesamts für Datenschutzaufsicht.

IHK-Service: Langfassung des Interviews M. Will und Infos für Firmen zu MS365

Das Interview mit Michael Will in voller Länge gibt es auf der IHK-Website. Dort hält die IHK auch weitere Infos zum Thema M365 und Datenschutz bereit

IHK-Service: Forderungen zu Cloud-Dienstleistern

Die IHK-Forderungen zur benötigten Rechtssicherheit beim Einsatz von Cloud-Diensten

Unternehmen benötigen Rechtssicherheit, wenn sie Cloud-Dienstleister einsetzen. Daher müssen im Zuge der jetzt laufenden Evaluierung der DSGVO die Regeln zur Auftragsverarbeitung geprüft werden. Rechtssicherheit könnte gewonnen werden, wenn es für industrielle Multi-Tenant-Lösungen (eine Software bedient mehrere Nutzer gleichzeitig, ohne dass diese gegenseitig Daten einsehen können) punktuell gesonderte Spielregeln geben würde.
Die IHK fordert daher:

• EU-weit einheitliche Rechtsvorgaben, möglichst in den Erwägungsgründen oder praxiskonform abgestimmt durch die europäischen Datenschutzaufsichtsbehörden
• die Einführung einer Herstellerhaftung für große Cloud-Dienstleister
• eine praktikable Datenschutzdokumentation; es sollte zum Beispiel möglich sein, auf Onlinedokumentationen des Cloud-Dienstleisters zur Beschreibung von Geschäftsgegenstand, Arten und Kategorien von Daten zu verweisen
• sichere Rechtsgrundlagen für die vom Vertrag ausgelöste Datenverarbeitung eines Cloud-Dienstleisters, zum Beispiel bei Abrechnungen, Bekämpfung von Betrug oder Financial Reporting.