Nachdem das KatholischeDatenschutzzentrum Frankfurt (KDSZ-FFM) sich bereits im Februar 2019 mit einer „Datenschutzrechtlichen Bewertung eines Einsatzes von Office 365 auf der Plattform der Microsoft Cloud“ auseinander setzte (HIER geht es zur Arbeitshilfe auf der Homepage des Katholischen Datenschutzzentrums Frankfurt), folgte nun im Mai 2022 die von vielen Datenschutzbeauftragten und Verantwortlichen im kirchlichen Umfeld dringend erwartete Überarbeitung des Dokuments. Bringt die Arbeitshilfe neue Erkenntnisse oder die erhoffte Rechtssicherheit? Wie steht die katholische Kirche zum Einsatz von M365 und ist M365 mit dem KDG vereinbar?
Während das KDSZ-FFM im Februar 2019 die datenschutzkonforme Nutzung der Microsoft-Cloud-Angebote zumindest als „aktuell zwar möglich“ bezeichnete, geht sie inzwischen davon aus, dass ein datenschutzkonformer Betrieb von N365 „erwartungsgemäß“ nur in Ausnahmefällen möglich ist. – Matthias Herkert
Microsoft Office ist für viele Anwender aus der täglichen Arbeit nicht wegzudenken. Aber während die Offline-Produkte in den vergangenen Jahren zunehmend von den Cloud-Diensten in Microsoft 365 ersetzt wurden, bleiben für Verantwortliche die Fragen rund um einen datenschutzrechtkonformen Einsatz von M365 oft unbeantwortet oder nebulös. Mit ihrer neuen Arbeitshilfe „Datenschutzrechtliche Aspekte von Microsoft 365“ gibt das Katholische Datenschutzzentrum Frankfurt nun eine überarbeitete Hilfestellung für den Einsatz von M365. Was hat sich geändert?
Nehmen wir es gleich vorweg – die Datenschutztaufsicht sieht die Hürden zum Einsatz von M365 Mitte 2022 wohl eher höher als Anfang 2019. Während das KDSZ-FFM im Februar 2019 die datenschutzkonforme Nutzung der Microsoft-Cloud-Angebote zumindest als „aktuell zwar möglich“ bezeichnete und Verantwortliche lediglich darauf hinwies, dass diese „ein hohes Risiko“ eingingen, dass die Konformität zu KDG und DSGVO kurzfristig entfallen könne, geht sie inzwischen davon aus, dass ein datenschutzkonformer Betrieb von Microsoft 365 „erwartungsgemäß“ nur in Ausnahmefällen möglich sei.
Welche datenschutzrechtlichen Probleme gibt es beim Einsatz von M365?
Über die rechtlichen Probleme beim Einsatz von M365 haben wir in unserem Blog bereits mehrfach berichtet (u.a. im Beitrag „Office 365 – Noch immer ist alles im Fluss“). Die Kritikpunkte, die auch in der neuen Arbeitshilfe vom Katholischen Datenschutzzentrum aufgegriffen werden, sind somit nicht neu.
So greift auch die Katholische Datenschutzaufsicht erneut die umfangreiche und an vielen Stellen nach wie vor undurchsichtige Verarbeitung von Diagnosedaten und Funktionsdaten durch Microsoft bei der Nutzung seiner Cloud-Dienste auf. Hier bleiben die Art der Verarbeitung, deren Zweck und der genaue Umfang in vielen Fällen unklar, und gehen über das erkennbare Maß der Erforderlichkeit hinaus. Das Microsoft dabei nach eigenen Angaben personenbezogene Daten auch für eigene Zwecke und damit unter eigener Verantwortung verarbeitet, führt zu einer weiteren Intransparenz bei der Abgrenzung der datenschutzrechtlichen Rollen von Microsoft.
Neben den Funktionsdaten zur Bereitstellung der Cloud-Services und den Telemetrie- und Diagnosedaten, verarbeitete Microsoft über die angebotenen Dienste in seiner Rolle als Auftragsverarbeiter selbstverständlich auch eine sehr große Menge an Inhaltsdaten, welche die Nutzer mit den M365 Produkten erstellen und übermitteln. Das auch in diesen Fällen die genaue Art, der Umfang und die Zwecke der Verarbeitung durch Microsoft auch gegenüber den Datenschutzaufsichtsbehörden bislang nicht geklärt werden konnte, lasse aus Sicht der Datenschutzaufsicht daran zweifeln, „dass Verantwortliche sich ausreichend über die tatsächlichen Verarbeitungen personenbezogener Daten beim Einsatz von Microsoft 365 informieren können“.
Als weiteren Aspekt weist das Katholische Datenschutzzentrum Frankfurt nochmals darauf hin, dass mit dem „Schrems II“ Urteil des Europäischen Gerichtshofes (EuGH) das Datenschutzniveau in den USA als unzureichend befunden wurde (einen ausführlichen Hintergrund finden Sie in unserem Beitrag „EuGH kippt EU-US-Privacy Shield“). Damit ist zum einen der direkten Datenübermittlungen in die USA über die dortigen Rechenzentren von Microsoft die regelmäßige Rechtsgrundlage entzogen, zum anderen drohen aber auch bei indirekten Übermittlungen wie sie etwa im Rahmen von Anfragen der US-Behörden aufgrund des US-CLOUD-Acts erfolgen könnten Datenschutzrechtsverstöße.
Empfehlungen der Datenschutzaufsicht zum Einsatz von Microsoft 365
Die aktuelle Arbeitshilfe des Datenschutzzentrums macht sehr deutlich, dass ein umfänglicher Einsatz der Microsoft 365 Cloud-Dienste aus datenschutzrechtlicher Sicht kaum zu erreichen ist. Wenn und soweit eine Verwendung insbesondere der klassischen Office-Funktionalitäten erfolgen soll, wird dies weiterhin nur unter weitreichenden technischen aber auch organisatorischen Einschränkungen möglich sein. In diesem Kontext weist das KDSZ-FFM mehrfach drauf hin, dass wegen der hohen Hürden und weitreichenden Restriktionen beim Einsatz von M365 dessen Vorteile gegenüber alternativen Office-Suiten zunehmend verschwinden könnten.
Ob diese Einschätzung tatsächlich zutrifft, und ob sie die möglicherweise bestehenden Vorbehalte und jedenfalls notwendigen Schulungen der Nutzer in der Anwendung alternativer Produkte nicht zu sehr außeracht lässt, wird in jedem Einzelfall zu entscheiden sein. Problematischer wird für viele Entscheider in kirchlichen Einrichtungen die Erkenntnis sein, dass ein rechtskonformer Betrieb gerade auch der kollaborativen Dienste und Services aus der Microsoft-365-Coud, wie etwa Microsoft OneDrive oder Microsoft Teams, tatsächlich aus Sicht der Datenschutzaufsicht kaum möglich erscheint.
Die abschließenden Empfehlungen in der Arbeitshilfe, bei einem bereits bestehenden Einsatz von Microsoft 365 eine geeignete Exit-Strategie zu entwickeln und diese ZÜGIG UMZUSETZEN, gewinnen vor diesem Hintergrund eine für die Praxis wohl nicht zu unterschätzende Bedeutung.
Was Sie noch interessieren könnte:
Die Erstellung eines Löschkonzepts – das gilt es zu beachten!
In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in […]
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]
AI-Act – ein Überblick
Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. […]