Hessische Aufsichtsbehörde: Microsoft 365 kann datenschutzrechtskonform verwendet werden

In 2020 und 2022 hat die Datenschutzkonferenz (DSK) zwei ausführliche Untersuchungsberichte veröffentlicht und kam zum Ergebnis, dass Verantwortliche auf Basis des Datenschutz-Dokumentes von Microsoft (dem DPA) nicht in der Lage sei, seinen Pflichten aus der DSGVO nachzukommen. Die DSK machte dies vor allem an der Generalklausel der Rechenschaftspflicht fest.

Der HBDI hat die Rechtslage, an der sich durch neue DPA-Fassungen und viele andere Umstände viel geändert hat, ausführlich analysiert, und kommt nun zu einem positiven Ergebnis:

"Microsoft 365 kann datenschutzkonform genutzt werden"

Ein großer Teil der Ausarbeitung (pdf) besteht darin, die Hauptkritikpunkte der DSK-Kritik aus 2022 aufzunehmen und mit der aktuellen Sach- und Rechtslage abzugleichen. Alle Punkte müssen nach Auffassung des HBDI heute anders bewertet werden als vor zwei Jahren, so dass die Begutachtung zu einem gänzlich anderen Ergebnis kommt als seinerzeit die DSK.

Relevant ist bei der Neubewertung auch, dass eine ergänzte DPA-Variante für öffentliche Kunden berücksichtigt wurde.

Frühere Kritikpunkte der DSK und Neubewertung:

Schon in der Pressemitteilung des HBDI wurden die sieben Kritikpunkte der DSK und die neue Bewertung des HBDI knapp und klar zusammengefasst (Zitat; Hervorhebung durch LegalCheck):

"Erstens fehlten klare Angaben zu Art und Zweck der Datenverarbeitung sowie zur Art der personenbezogenen Daten und betroffener Kategorien. MS hat unterschiedliche Materialien erstellt, um besser über die Datenverarbeitung zu informieren, und für öffentliche Stellen den DPA überarbeitet, so dass Verantwortliche ausreichende Informationen über die Datenverarbeitung durch MS erlangen und diese in ihr Verarbeitungsverzeichnis einbinden können.

Zweitens lasse sich MS unzureichend konkretisierte Rechte für Datenverarbeitungen für eigene Geschäftstätigkeiten einräumen. MS hat klargestellt, dass sie nur Log- und Diagnose-Daten, nicht aber Inhaltsdaten, in anonymisierter und aggregierter Form für Zwecke des Auftraggebers (des verantwortlichen Kunden) verarbeite. Diese Datenverarbeitung unterfällt entweder nicht der DS-GVO oder ist datenschutzrechtlich vertretbar.

Drittens behalte sich MS im DPA im Ergebnis umfangreiche Befugnisse vor, Daten ohne Weisung des Auftraggebers zu verarbeiten und Daten – auch gegenüber Drittstaaten – offenzulegen. MS hat sich im DPA verpflichtet, personenbezogene Daten nur auf dokumentierte Anweisung des Kunden zu verarbeiten und hinsichtlich Offenlegungen sich der DS-GVO zu unterwerfen.

Viertens verpflichte sich MS nicht, die von der DS-GVO geforderten technischen und organisatorischen Sicherheitsmaßnahmen einzuhalten. MS hat sich im DPA verpflichtet, die Vorgaben der DS-GVO ohne Abstriche einzuhalten.

Fünftens genügte die Ausgestaltung der Rückgabe- und Löschverpflichtung im DPA nicht den gesetzlichen Anforderungen. MS bietet einen Löschprozess an und ermöglicht allen Kunden, Daten auch selbst zu löschen oder löschen zu lassen, wenn diese schneller gelöscht werden müssen.

Sechstens informiere MS nach dem DPA nicht über jede beabsichtigte Änderung in Bezug auf Unterauftragnehmer. MS hält dagegen sechs Monate bzw. einen Monat im Voraus in seinem Service Trust Portal detaillierte Informationen über jeden Unterauftragnehmer bereit und informiert darüber alle Kunden, sodass diese die Informationen problemlos zur Kenntnis nehmen können.

Siebtens übermittle MS für den Betrieb von M365 personenbezogene Daten unzulässiger Weise in die USA und in andere Staaten. Inzwischen verarbeitet MS die Daten fast vollständig im Europäischen Wirtschaftsraum. Die verbleibenden Datenübermittlungen in die USA und andere Staaten sind durch Angemessenheitsbeschlüsse der Europäischen Kommission und Standardvertragsklauseln gedeckt."

Bedeutung für die Praxis

Die Entscheidung bringt - nach den Positionierungen der niedersächsischen Aufsichtsbehörde und des Europäischen Datenschutzbeauftragten - große Entlastung.

Besonders erfreulich ist, dass fast zeitgleich eine Ergänzung des sog. "Toolkits" herausgegeben wurde. Herausgeber ist Microsoft, aber die Dokumente wurden in Abstimmung mit dem HBDI und dem BayLDA erstellt. Enthalten sind nun auch Muster für Datenschutz-Folgenabschätzungen.

Aber: Es sind Muster. Sie müssen natürlich mit Inhalt gefüllt werden - sowohl mit konkreten Angaben und Risikobewertungen zu dem Verantwortlichen, also ob es sich zum Beispiel um ein Krankenhaus handelt und Gesundheitsdaten verarbeitet werden, oder ob nur "normale Bürodaten" verarbeitet werden.

Und es müssen konkrete TOMs und Maßnahmen festgelegt werden, darunter Festlegungen zu den Einstellungen in den Admin-Centern von M365. Hierbei helfen die Vorlagen und Empfehlungen von LegalCheck - umfangreiche Checklisten, Referenzen zu kostenlosen best practices zu den M365-Einstellungen und ein umfangreiches Tool zur Bewertung von Risiken und Maßnahmen, das auch entsprechende Risikomatrixen erstellt:

Beispiel: Risikomatrix vor / nach Maßnahmen im Rahmen der DSFA zu Copilot

Was darf nicht vergessen werden?

Zwei Dinge sind aber noch wichtiger als jedes Template und jede Dokumentation:

1. Die geplanten Maßnahmen müssen auch nachverfolgt und umgesetzt werden.

2. Der Umfang der Datenverarbeitung in und die rechtliche Bewertung zu M365 wird sich fortlaufend ändern. Etablieren Sie Zuständigkeiten und einen Prozess, mit dem Sie alle Änderungen erfassen und bewerten.

Den zweiten Punkt benennt der HBDI explizit auf S. 94 seines Berichts:

Auch die weiteren Hinweise entsprechen recht genau dem, was LegalCheck und Dr. Olaf Koglin regelmäßig im Hinblick auf den Plan-Do-Check-Act - Zyklus bei Software as a Service empfehlen (Monitoring rechtlicher Entwicklungen, Sicherstellung der Einbindung von Stakeholdern wie DSB und Betriebs- bzw. Personalrat, Sicherstellung eines definierten Prüfprozesses).

Mehr Informationen zu dem Thema

Die Bewertung des HBDI und das Toolkit werden natürlich das Top-Thema im M365-Club sein, unserer Webinarreihe mit zwei Sessions und vielen weiteren Informationen zu Datenschutz bei M365 und Copilot - jeden 1. und 3. Mittwoch im Monat von 10 bis 11 Uhr.

Wir behandeln es in den Sessions am Mi 19.11. sowie am Mi 03.12., dann voraussichtlich mit einem Special Guest zu dem Thema.

Außerdem gibt es am Mo (!) 08.12. von 10-11 Uhr eine Sonderausgabe mit Dr. Linda Bienemann, der persönlichen Referentin der Bundesdatenschutzbeauftragten Prof. Dr. Louisa Specht-Riemenschneider. Alle Termine und Informationen zum M365-Club finden Sie hier: https://legalcheck.de/m365-club.

Ein weiteres Webinar-Highlight wird es am 04.12. geben: Zusammen mit dem dfv Verlag und der Zeitschrift Datenschutz-Berater machen Wiebke Löck (Die Autobahn GmbH), Carolin Loy (BayLDA), Raphael Köllner (Kölln Compliance) und Olaf Koglin (LegalCheck 365 GmbH) wieder ein halbtätiges Webinar zu Datenschutz bei Microsoft 365 und Copilot. Jetzt hier anmelden!