Welche Probleme gibt es beim Datenschutz?
Ich habe auf der ersten Seite zu Office 365 behauptet, dass es kaum möglich sei, Office 365 DSGVO-konform zu betreiben. Das will ich an dieser Stelle begründen.
Telemetriedaten
Wie bereits hier dargestellt, erzeugt Office 365 Telemetriedaten. Der Kunde kann inzwischen den Umfang bei der Verwendung der Desktop-Anwendungen einschränken. Doch selbst dann werden Daten erzeugt, die Benutzer voneinander unterscheiden, denn es wird für jeden Benutzer eine eindeutige ID erzeugt. Mithilfe dieser ID ist der Benutzer selbst (lt. Microsoft) nicht identifizierbar. Aber die Daten verschiedener Aktivitäten können anhand dieser ID zusammengefügt werden. In vielen Fällen wird es möglich sein, anhand der Aktivitäten den Benutzer zu identifizieren.
Telemetriedaten verstoßen gegen DSGVO
In den mobilen Apps und den Webanwendungen von O365 werden aber Telemetriedaten erzeugt, ohne dass der Arbeitgeber oder der Anwender dies verhindern kann.
Die Telemetriedaten verstoßen gegen mehrere wesentliche Grundsätze der DSGVO:
- Die Zwecke sind nicht konkret bestimmt. Microsoft gibt an, die Informationen für die Bereitstellung, Verbesserung und Gewährleistung der Sicherheit der Produkte von O365 zu verwenden. Diese Zweckbestimmungen sind aber ausgesprochen vage. Es wird nicht deutlich, inwiefern die Daten dafür verwendet werden. Zusätzlich kann es sein, dass auch US-amerikanische Behörden im Rahmen des US-Cloud-Acts auf diese Daten zugreifen. Zweckbestimmungen in diesem Zusammenhang sind überhaupt nicht bekannt. Damit verstößt die Verarbeitung gegen Art. 5 Abs. 1 lit b DSGVO.
- Die Anwender werden nicht über den Umfang und die Zwecke unterrichtet. Sie haben auch keine Möglichkeit, von Microsoft Auskunft über Umfang, Zwecke etc. zu erfahren. Damit verstößt die Verarbeitung gegen Art. 5 Abs. 1 lit a und Art. 12 bis 15 DSGVO.
- Eine Rechtsgrundlage für die Verarbeitung ist nicht zu erkennen. Microsoft wird angeben, dass die Zwecke „Produkte von O365 bereitzustellen, zu verbessern und die Sicherheit zu gewährleisten“ berechtigte Interessen repräsentieren, was eine Rechtsgrundlage nach Art. 6 Abs. 1 lit f DSGVO sein könnte. Inwiefern aber die Verarbeitung dieser Daten – wie es in lit f verlangt wird – „erforderlich“ ist, um diese Zwecke zu erfüllen und es nicht auch möglich wäre, die Zwecke ohne die Verarbeitung dieser Daten zu verwirklichen, ist nicht nachvollziehbar. Personenbezogene Daten ohne Rechtsgrundlage zu verarbeiten, wäre ein Verstoß gegen Art. 5 Abs. 1 lit a DSGVO.
- Art. 5 Abs. 1 lit e verlangt, dass personenbezogene Daten nur so lange verarbeitet werden dürfen, wie dies für die Erfüllung der Zwecke jeweils erforderlich ist. Fraglich ist, wie lange die Daten gespeichert werden – Microsoft hat darüber nichts veröffentlicht.
Im Ergebnis ist es also zumindest fraglich, ob die Verarbeitung der Telemetriedaten durch Microsoft DSGVO-konform erfolgt.
Graph und Delve
Über Graph und Delve sowie andere Nutzungsmöglichkeiten habe ich hier schon etwas geschrieben. Eine wesentliche Frage ist: Was geschieht, wenn ein Benutzer für sich entscheidet, die Nutzung von Delve nicht zuzulassen? Verarbeitet Graph dann immer noch die „Signale“ über die Benutzung von O365, oder wird die Verarbeitung dann eingestellt? Wie erwähnt wird dies von Microsoft nicht dokumentiert. Es gibt aber die begründete Vermutung, dass dennoch personenbezogene Daten erzeugt werden. Das wäre ein Verstoß gegen Art. 5 Abs. 1 lit a, b und e der DSGVO.
Das Gleiche gilt, wenn die Benutzung von Delve für den gesamten Tenant deaktiviert wird. Nach der Aktivierung dieser Funktion sind innerhalb kurzer Zeit sämtliche Daten aus der Zeit der Deaktivierung wieder verfügbar. Dies deutet darauf hin, dass Graph dennoch Signale, also personenbezogene Daten verarbeitet, sie nur nicht mehr zur Verfügung stellt.
Überwachungsprotokoll
Das Überwachungsprotokoll wird (jedenfalls lt. Microsoft) nicht von Microsoft genutzt, sondern vom Kunden. Es gibt durchaus Zwecke, für deren Erfüllung diese Daten erforderlich sind. Also alles in Ordnung?
Nein, nicht alles in Ordnung. Es gibt hier ein rechtliches Problem: Microsoft erzeugt und speichert (also verarbeitet) diese Daten in jedem Fall, ohne dass der Kunde darauf einen Einfluss hat. Auch die Löschung nach 90 Tagen erfolgt in jedem Fall – unabhängig davon, was der Kunde wünscht. Ein Auftragsverarbeiter hat gem. Art. 28 Abs. 3 lit a DSGVO die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten. Der Kunde kann aber anweisen was immer er will – an der Erzeugung und Löschung kann er nichts ändern. Damit ist der Kunde gegenüber Microsoft nicht in der Lage, eine Weisung zu erteilen – ein Verstoß gegen Art. 28 Abs. 3 lit a DSGVO.
In der Praxis wird es so gelöst, dass die Kunden Microsoft „anweisen“, die Daten 90 Tage lang aufzubewahren und dann zu löschen – etwas anderes kann gar nicht in den Vertrag mit Microsoft geschrieben werden. Das eine „Weisung“ zu nennen ist aber ein Euphemismus.
„Verbundene Dienste“
Microsoft bietet in den verschiedenen Anwendungen zusätzliche Dienste an, die sog. „verbundenen Dienste“. Dazu gehören z. B. eine Online-Übersetzung von Texten in Word (sog. „Recherchedienste“), Spracherkennung für das Diktieren von Texten, Freihandeffekte und etliche andere. Diese Dienste übermitteln Daten über die Benutzung und den Benutzer an Microsoft in den USA. Auch hier werden von Microsoft Daten für die eigenen Zwecke von Microsoft verarbeitet. In der Datenschutzerklärung von Microsoft werden die Betroffenen allerdings nicht umfassend darüber aufgeklärt, welche personenbezogenen Daten für welche Zwecke auf welche Weise dafür verarbeitet werden.
Der Cloud-Act
Der Cloud Act („Clarifying Lawful Overseas Use of Data Act“) verpflichtet in den USA ansässige Unternehmen, Daten an US-Behörden herauszugeben. Dies gilt auch für Daten, die auf Servern gespeichert sind, die sich nicht im Bereich des US-Rechts befinden. Die Rechtsvorschriften der Staaten, in denen die Server betrieben werden, sollen nach diesem Gesetz grundsätzlich nicht beachtet werden.
Der Cloud Act unterscheidet zwischen solchen Personen, die sich in den USA aufhalten und Bürgern der USA einerseits und Bürgern anderer Staaten, die sich nicht in den USA aufhalten, andererseits. Daten von Personen der ersten Gruppe, müssen unter allen Umständen herausgegeben werden. Bei personenbezogenen Daten von Menschen, die
keine US-Bürger sind und sich nicht in den USA aufhalten, kann der Provider Einspruch erheben. Ein US-Gericht kann allerdings entscheiden, den Provider zur Herausgabe zu zwingen, wenn dies im Interesse der USA ist.
US-Recht vs. EU-Recht
Gem. der DSGVO wäre das unzulässig, und Microsoft (wie auch die anderen Cloud-Provider wie Google, Amazon etc.) muss sich im Zweifel entscheiden, ob es gegen US-Recht oder EU-Recht verstößt. Weil der Arbeitgeber als Auftraggeber aber sicherstellen muss, dass personenbezogene Daten ausschließlich nach seinen Weisungen verarbeitet werden, kann er unter diesen Umständen grundsätzlich nicht verantworten, personenbezogene Daten auf Cloud-Servern von Microsoft zu speichern. Da er nicht garantieren kann, dass die Daten nicht an Behörden in den USA weitergegeben werden.
DSGVO Art. 48
Die DSGVO verbietet in Art. 48 ausdrücklich, personenbezogene Daten an Behörden in Drittstaaten wie die USA zu übermitteln. Dort ist aber auch eine Möglichkeit vorgesehen, wie solch eine Übermittlung legal gehandhabt werden könnte. In einem Rechtshilfeabkommen oder einer vergleichbaren Übereinkunft zwischen der USA und der EU könnten dafür Modalitäten vereinbart werden. Auch der „Cloud Act“ sieht diese Möglichkeit vor, und in diesem Fall wären die Möglichkeiten des Durchgriffs auf Daten in der EU auch eingeschränkt. Solch eine Übereinkunft gibt es aber derzeit nicht, und es sind momentan (Stand: September 2019) auch keine Bestrebungen zu erkennen, solch eine Übereinkunft zu treffen.
Ist Microsoft wirklich „Auftragsverarbeiter“?
Daraus ergibt sich die Frage: Ist Microsoft wirklich ein Auftragsverarbeiter? Ein Auftragsverarbeiter darf die Daten wie oben gesehen lt. Art. 28 Abs. 3 lit a DSGVO ausschließlich auf Weisung und gemäß der Weisung des Auftraggebers verarbeiten.
Zum einen verfolgt Microsoft mit der Verarbeitung der Telemetriedaten ja eigene Zwecke, was einem Auftragsverarbeiter keinesfalls zusteht. Selbst wenn der Kunde dies vollständig verhindern könnte (was er nicht kann), würde Microsoft jedenfalls dann für eigene Zwecke personenbezogene Daten der Benutzer verarbeiten, solange der Kunde dies nicht verhindert.
Außerdem entzieht sich Microsoft einer Weisung des Kunden über die Verarbeitung der personenbezogenen Daten im Überwachungsprotokoll. Das allerdings widerspricht auch der Rolle des Auftragsverarbeiters.
Und schließlich ist Microsoft aufgrund des „Cloud Acts“ ja sogar nach US-Recht daran gehindert, personenbezogene Daten ausschließlich gemäß der Weisung des Auftraggebers zu verarbeiten.
Richtig wäre, den Kunden und Microsoft als „gemeinsam Verantwortliche“ zu verstehen und zu behandeln. Microsoft entzieht sich dem jedoch in seinen Vertragsbedingungen, indem es strikt darauf besteht, nur Auftragsverarbeiter zu sein und die Rolle des Verantwortlichen allein seinen jeweiligen Kunden zuweist. Es ist auch nicht möglich, einen anderen Vertrag mit Microsoft abzuschließen, in dem eine gemeinsame Verantwortung geregelt wäre.
Eine Neuerung macht es noch schwieriger
Microsoft bietet seit Anfang 2020 eine neue Funktion an: Es soll allen Benutzern ermöglicht sein, sich selbst bestimmte Apps (nämlich PowerBI Pro, Power Automate und PowerApps) kaufen und im Tenant des Unternehmens installieren zu können. Sie sollen sogar die Möglichkeit haben, die so erworbenen und bereitgestellten Lizenzen anderen Benutzern zuzuweisen.
Diese drei Produkte mögen längst nicht so kritisch sein wie z. B. Graph und Delve. Aber nichtsdestotrotz ermöglichen sie sowohl Verhaltens- bzw. Leistungskontrollen als auch die Verarbeitung personenbezogener Daten (ob von Arbeitnehmern oder von anderen Personen).
Administratoren sollen nur relativ beschränkten Zugriff darauf haben, diese „Self-Service-Käufe“ zu verwalten oder zu verhindern – noch ist aber nicht genau absehbar, wie dieses Instrument im Tenant gesteuert werden wird.
Wer ist datenschutzrechtlich verantwortlich?
Das Problem, das sich aus datenschutzrechtlicher Sicht ergibt, ist: Wenn der Arbeitgeber nicht mehr in vollem Umfang entscheiden und steuern kann, welche Instrumente zur Verarbeitung personenbezogener Daten bereitgestellt werden, ist er dann noch selbst allein Verantwortlicher? Oder entsteht eine gemeinsame Verantwortung von Arbeitgeber und den jeweiligen Anwendern, die darüber entscheiden, ob und welche dieser Produkte sie im Self-Service kaufen? Das wird sich kaum handhaben lassen.
Und aus mitbestimmungsrechtlicher Sicht ergibt sich die Frage, wie denn eine Regelung mit dem Arbeitgeber getroffen werden soll, wenn jeder Anwender selbst kurzerhand eine mitbestimmungspflichtige technische Einrichtung installieren und bereitstellen kann. Auch keine erfreuliche Vorstellung.
Andererseits kann aber ja jeder Anwender ohnehin selbst ein Mittel der Verarbeitung personenbezogener Daten schaffen – dazu genügt ja, dass er eine Excel-Tabelle anlegt und mit personenbezogenen Daten befüllt. Nicht (das vom Arbeitgeber bereitgestellte) Excel ist dann das Mittel der Verarbeitung, sondern die Tabelle. Sie könnte ja auch mit einem anderen Programm (Google Tabellen, Libre Office etc.) geöffnet werden, und das wäre dann immer noch eine Verarbeitung personenbezogener Daten, nur nicht mit Excel.
Ein Arbeitgeber muss also ohnehin Regelungen schaffen, mit denen sichergestellt wird, dass solche Verarbeitungen regelkonform erfolgen. Man muss jetzt allerdings diese neue Möglichkeit, dass Anwender sich selbst Lizenzen beschaffen und freischalten, bei diesen Regelungen berücksichtigen.
Microsoft hat mit diesem neuen Modell jedenfalls nicht gerade dafür gesorgt, dass man entspannter mit den Themen Datenschutz und Mitbestimmung bei Office 365 umgehen kann.
Fazit
Mit meiner Einschätzung, dass eine DSGVO-konforme Nutzung von Office 365 kaum möglich ist, stehe ich nicht allein. Verschiedene andere Stellen teilen diese Auffassung. Auch hier findet sich eine entsprechend kritische Beurteilung. Der Hessische Beauftragte für den Datenschutz kommt zum Ergebnis, dass die Verwendung von Office 365 in Schulen nicht zulässig sei.
Letztlich muss der Arbeitgeber entscheiden, ob er Office 365 einsetzen will. Er geht aber in jedem Fall das Risiko ein, nicht datenschutzkonform zu handeln. Und weil die DSGVO bestimmt, dass der Verantwortliche alle Risiken zu tragen hat, riskiert er Schadensersatzforderungen und vor allem erhebliche Bußgelder.
Erfahren Sie mehr!
Das passende Seminar zu diesem Thema: