Welche Probleme gibt es beim Datenschutz?

Ich habe auf der ersten Seite zu Office 365 behauptet, dass es kaum möglich sei, Office 365 DSGVO-konform zu betreiben. Das will ich an dieser Stelle begründen.

Telemetriedaten

Wie bereits hier dargestellt erzeugt Office 365 Telemetriedaten. Der Kunde kann zwar inzwischen den Umfang bei der Verwendung der Desktop-Anwendungen einschränken, aber selbst wenn er dies tut, werden Daten erzeugt, die Benutzer voneinander unterscheiden, denn es wird für jeden Benutzer eine eindeutige ID erzeugt. Mithilfe dieser ID ist der Benutzer selbst (lt. Microsoft) nicht identifizierbar. Aber die Daten verschiedener Aktivitäten können anhand dieser ID zusammengefügt werden. In vielen Fällen wird es möglich sein, dass der Benutzer anhand dieser Aktivitäten identifiziert wird.

In den mobilen Apps und den Webanwendungen von O365 werden aber auch jetzt noch Telemetriedaten erzeugt, ohne dass der Arbeitgeber oder der Anwender dies verhindern kann.

Die Telemetriedaten verstoßen gegen mehrere wesentliche Grundsätze der DSGVO:

  • Die Zwecke sind nicht konkret bestimmt – Microsoft gibt nur an, die Informationen zu verwenden, um die Produkte von O365 bereitzustellen, zu verbessern und die Sicherheit zu gewährleisten. Diese Zweckbestimmungen sind aber ausgesprochen vage, denn es wird nicht deutlich, inwiefern diese Daten dafür verwendet werden sollen. Zusätzlich kann es sein, dass auch US-amerikanische Behörden im Rahmen des US-Cloud-Acts auf diese Daten zugreifen. Zweckbestimmungen in diesem Zusammenhang sind überhaupt nicht bekannt. Damit verstößt die Verarbeitung gegen Art. 5 Abs. 1 lit b DSGVO.
  • Die Anwender werden nicht über den Umfang und die Zwecke unterrichtet, haben auch keine Möglichkeit, von Microsoft Auskunft über Umfang, Zwecke etc. zu erfahren. Damit verstößt die Verarbeitung gegen Art. 5 Abs. 1 lit a und Art. 12 bis 15 DSGVO.
  • Eine Rechtsgrundlage für die Verarbeitung ist nicht zu erkennen. Zwar wird Microsoft angeben, dass die Zwecke „Produkte von O365 bereitzustellen, zu verbessern und die Sicherheit zu gewährleisten“ berechtigte Interessen von Microsoft repräsentieren, was eine Rechtsgrundlage nach Art. 6 Abs. 1 lit f DSGVO sein könnte. Inwiefern aber die Verarbeitung dieser Daten – wie es in lit f verlangt wird – „erforderlich“ ist, um diese Zwecke zu erfüllen und es nicht auch möglich wäre, die Zwecke ohne die Verarbeitung dieser Daten zu verwirklichen, ist nicht nachvollziehbar. Personenbezogene Daten ohne Rechtsgrundlage zu verarbeiten wäre aber ein Verstoß gegen Art. 5 Abs. 1 lit a DSGVO.
  • Art. 5 Abs. 1 lit e verlangt, dass personenbezogene Daten nur so lange verarbeitet werden dürfen, wie dies für die Erfüllung der Zwecke jeweils erforderlich ist. Fraglich ist, wie lange die Daten gespeichert werden – Microsoft hat darüber nichts veröffentlicht.

Im Ergebnis ist es also zumindest fraglich, ob die Verarbeitung der Telemetriedaten durch Microsoft DSGVO-konform erfolgt.

Der Office Graph und Delve

Über den Office Graph und Delve sowie andere Nutzungsmöglichkeiten habe ich schon etwas geschrieben. Eine wesentliche Frage ist: Was geschieht, wenn ein Benutzer für sich entscheidet, die Nutzung von Delve nicht zuzulassen? Verarbeitet der Office Graph dann immer noch die „Signale“ über die Benutzung von O365, oder wird die Verarbeitung dann eingestellt? Wie erwähnt wird dies von Microsoft nicht dokumentiert, aber es gibt zumindest die begründete Vermutung, dass dann dennoch personenbezogene Daten erzeugt werden. Das wäre aber ein Verstoß gegen Art. 5 Abs. 1 lit a, b und e der DSGVO.

Das Gleiche gilt, wenn die Benutzung von Delve für den gesamten Tenant deaktiviert wird. Der Umstand, dass nach der Aktivierung dieser Funktion innerhalb kurzer Zeit wieder sämtliche Daten auch aus der Zeit der Deaktivierung verfügbar sind, deutet zumindest darauf hin, dass der Office Graph dennoch Signale, also personenbezogene Daten verarbeitet, sie nur nicht mehr zur Verfügung stellt.

Überwachungsprotokoll

Das Überwachungsprotokoll wird (jedenfalls lt. Microsoft) nicht von Microsoft genutzt, sondern vom Kunden. Es gibt durchaus Zwecke, für deren Erfüllung diese Daten erforderlich sind. Also alles in Ordnung?

Nein, nicht alles in Ordnung. Es gibt hier ein rechtliches Problem: Microsoft erzeugt und speichert (also verarbeitet) diese Daten in jedem Fall, ohne dass der Kunde darauf einen Einfluss hat. Auch die Löschung nach 90 Tagen erfolgt in jedem Fall – unabhängig davon, was der Kunde wünscht. Ein Auftragsverarbeiter hat gem. Art. 28 Abs. 3 lit a DSGVO die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten. Der Kunde kann aber anweisen was immer er will – an der Erzeugung und Löschung kann er nichts ändern. Damit ist der Kunde gegenüber Microsoft nicht in der Lage, eine Weisung zu erteilen – ein Verstoß gegen Art. 28 Abs. 3 lit a DSGVO.

Man löst das zwar in der Praxis so, dass die Kunden Microsoft eben „anweisen“, die Daten 90 Tage lang aufzubewahren und dann zu löschen – etwas anderes kann gar nicht in den Vertrag mit Microsoft geschrieben werden. Das eine „Weisung“ zu nennen ist aber ein Euphemismus.

„Verbundene Dienste“

Microsoft bietet in den verschiedenen Anwendungen zusätzliche Dienste an, die sog. „verbundenen Dienste“. Dazu gehören z. B. eine Online-Übersetzung von Texten in Word (sog. „Recherchedienste“), Spracherkennung für das Diktieren von Texten, Freihandeffekte und etliche andere. Diese Dienste übermitteln Daten über die Benutzung und den Benutzer an Microsoft in den USA. Auch hier werden von Microsoft Daten für die eigenen Zwecke von Microsoft verarbeitet. In der Datenschutzerklärung von Microsoft werden die Betroffenen allerdings nicht umfassend darüber aufgeklärt, welche personenbezogenen Daten für welche Zwecke auf welche Weise dafür verarbeitet werden.

Der Cloud-Act

Der Cloud Act („Clarifying Lawful Overseas Use of Data Act“) verpflichtet in den USA ansässige Unternehmen, Daten an US-Behörden herauszugeben, auch wenn sie auf Servern gespeichert sind, die sich nicht im Bereich des US-Rechts befinden. Die Rechtsvorschriften der Staaten, in denen die Server betrieben werden, sollen nach diesem Gesetz grundsätzlich nicht beachtet werden.

Der Cloud Act unterscheidet zwischen solchen Personen, die sich in den USA aufhalten und Bürgern der USA einerseits und Bürgern anderer Staaten, die sich nicht in den USA aufhalten, andererseits. Daten von Bürgern der USA und von Personen, die sich in den USA aufhalten, müssen unter allen Umständen herausgegeben werden. Bei personenbezogenen Daten von Menschen, die keine US-Bürger sind und sich nicht in den USA aufhalten, kann der Provider Einspruch erheben. Ein US-Gericht kann allerdings entscheiden, den Provider zur Herausgabe zu zwingen, wenn dies im Interesse der USA ist.

Gem. der DSGVO wäre das unzulässig, und Microsoft (wie auch die anderen Cloud-Provider wie Google, Amazon etc.) muss sich im Zweifel entscheiden, ob es gegen US-Recht oder EU-Recht verstößt. Weil der Arbeitgeber als Auftraggeber aber sicherstellen muss, dass personenbezogene Daten ausschließlich nach seinen Weisungen verarbeitet werden, kann er unter diesen Umständen grundsätzlich nicht verantworten, personenbezogene Daten auf Cloud-Servern von Microsoft zu speichern, weil er nicht garantieren kann, dass die Daten nicht an Behörden in den USA weitergegeben werden.

Die DSGVO verbietet in Art. 48 ausdrücklich, personenbezogene Daten an Behörden in Drittstaaten wie die USA zu übermitteln. Dort ist aber auch eine die Möglichkeit vorgesehen, wie solch eine Übermittlung legal gehandhabt werden könnte. In einem Rechtshilfeabkommen oder einer vergleichbaren Übereinkunft zwischen der USA und der EU könnten Modalitäten für solch eine Übermittlung vereinbart werden. Auch der „Cloud Act“ sieht diese Möglichkeit vor, und in diesem Fall wären die Möglichkeiten des Durchgriffs auf Daten in der EU auch eingeschränkt. Solch eine Übereinkunft gibt es aber derzeit nicht, und es sind momentan (Stand: September 2019) auch keine Bestrebungen zu erkennen, solch eine Übereinkunft zu treffen.

Ist Microsoft wirklich „Auftragsverarbeiter“?

Daraus ergibt sich die Frage: Ist Microsoft wirklich ein Auftragsverarbeiter? Ein Auftragsverarbeiter darf die Daten wie oben gesehen lt. Art. 28 Abs. 3 lit a DSGVO ausschließlich auf Weisung und gemäß der Weisung des Auftraggebers verarbeiten.

Zum einen verfolgt Microsoft mit der Verarbeitung der Telemetriedaten ja eigene Zwecke, was einem Auftragsverarbeiter keinesfalls zusteht. Selbst wenn der Kunde dies vollständig verhindern könnte (was er nicht kann), würde Microsoft jedenfalls dann für eigene Zwecke personenbezogene Daten der Benutzer verarbeiten, solange der Kunde dies nicht verhindert.

Außerdem entzieht sich Microsoft einer Weisung des Kunden über die Verarbeitung der personenbezogenen Daten im Überwachungsprotokoll. Das allerdings widerspricht der Rolle des Auftragsverarbeiters.

Und schließlich ist Microsoft aufgrund des „Cloud Acts“ ja sogar nach US-Recht daran gehindert, personenbezogene Daten ausschließlich gemäß der Weisung des Auftraggebers zu verarbeiten.

Richtig wäre, den Kunden und Microsoft als „gemeinsam Verantwortliche“ zu verstehen und zu behandeln. Microsoft entzieht sich dem jedoch in seinen Vertragsbedingungen, indem es strikt darauf besteht, nur Auftragsverarbeiter zu sein und die Rolle des Verantwortlichen allein seinen jeweiligen Kunden zuweist. Es ist auch nicht möglich, einen anderen Vertrag mit Microsoft abzuschließen, in dem eine gemeinsame Verantwortung geregelt wäre.

Fazit

Mit meiner Einschätzung, dass eine DSGVO-konforme Nutzung von Office 365 kaum möglich ist, stehe ich nicht allein. Verschiedene andere Stellen teilen diese Auffassung. Auch hier findet sich eine entsprechend kritische Beurteilung. Der Hessische Beauftragte für den Datenschutz kommt zum Ergebnis, dass die Verwendung von Office 365 in Schulen nicht zulässig sei.

Letztlich muss der Arbeitgeber entscheiden, ob er Office 365 einsetzen will. Er geht aber in jedem Fall das Risiko ein, nicht datenschutzkonform zu handeln. Und weil die DSGVO bestimmt, dass der Verantwortliche alle Risiken zu tragen hat, riskiert er Schadensersatzforderungen und vor allem erhebliche Bußgelder.

Erfahren Sie mehr!

Das passende Seminar zu diesem Thema:

Office® 365 in der Cloud

Vorheriges Thema Nächstes Thema