In letzter Zeit gab es viel Aufregung im Internet zum Thema „Datenschutzkonformität von Microsoft Office“. In der Tat haben hier in diesem Sommer verschiedene Behörden Stellungnahmen dazu veröffentlicht … Zuletzt Anfang Oktober 2020 die Datenschutzkonferenz (DSK) mit einer Mitteilung dazu, dass die Datenschutzkonferenz (mit knapper Mehrheit) der Aussage zugestimmt hat, dass „derzeit kein datenschutzkonformer Einsatz von Microsoft Office 365 möglich ist“. Diese Einschätzung kommt aus einem Bericht eines Arbeitskreises, der vielfach in den Medien zitiert wird.

Zuvor hatte es schon eine Einschätzung der europäischen Datenschutzbehörde gegeben, die zu etwa dem gleichen Ergebnis gekommen war.

Es ist kein Wunder, dass dies so viel Aufmerksamkeit erlangt hat – setzen doch sehr viele Unternehmen diese Office Lösung ein. An dieser Stelle ist jedoch wichtig, einmal herauszuarbeiten, was genau denn eigentlich festgestellt wurde, und welche Handlungen denn jetzt von Unternehmen gefordert werden und welche möglichen Folgen Unternehmen jetzt zu erwarten haben.

Die Microsoft Office Abo-Lösung (anscheinend war dies zur Zeit der Analyse noch Microsoft Office 365, und ist inzwischen Microsoft 365, bzw. Office 365. Die Begriffe werden hier synonym verwendet) wird in mehrfacher Hinsicht kritisiert. Diese verschiedenen Punkte mit in die Betrachtung einzubeziehen ist wichtig – auch um zu verstehen, was sich denn würde ändern müssen, damit die vielleicht im eigenen Unternehmen eingesetzte Lösung als datenschutzkonform bewertet werden kann.

Microsoft bietet eine Vielzahl von verschiedenen Abo-Lösungen an, die sich oftmals nur in Details unterscheiden, was es aber schwierig macht, allgemein gültige Aussagen zu machen (wie auch z. B. von RAin Diercks bemerkt). Manche der Kritikpunkte der Datenschutzbehörden sind aber auf sehr grundlegender Ebene angesiedelt und kaum von den Details der einzelnen Lösung abhängig.

Vertragsprobleme: Controller - Processor

Besonders von der europäischen Behörde wird kritisiert, dass der Vertrag mit Microsoft, es diesen möglich macht, die Datenverarbeitungsmodalitäten einseitig zu ändern. Sollten Sie sich je auf die Suche nach dem Auftragsverarbeitungs-Vertrag (AV-Vertrag) mit Microsoft gemacht haben, dann kennen Sie das Problem: dieser liegt u. U. in Form von „Online Service Terms“ oder ähnlichem vor, die regelmäßig von Microsoft geändert (upgedated) werden, und auch ohne erneute Zustimmung des Kunden zwischen den Vertragspartnern gültig sind. Ohne sich explizit auf die Suche gemacht zu haben, wissen manche Unternehmen überhaupt nicht, welche Vertragsbestimmungen für sie gelten – denn Microsoft unterrichtet Abonnementen auch nicht immer gut darüber, wenn es eine Vertragsänderung gab. Denn die Änderungen werden regelmäßig seitens Microsoft veröffentlicht, jedoch ist Transparenz hier eher Mangelware und der Nutzer muss proaktiv am Ball bleiben.

Dieses Recht, einseitig Bestimmungen im Vertrag zu ändern ist nun eine Situation, die von den Behörden kritisiert wird. Denn, wenn Microsoft einseitig den AV-Vertrag ändern kann – können sie dann nicht auch z. B. die Zwecke oder die Datenarten ändern? Und wenn das so wäre – dann wäre die Bestimmung, dass die Zwecke der Verarbeitung durch den verantwortlichen Kunden bestimmt werden, faktisch nicht mehr zutreffend. Als Resultat wäre nicht der Microsoft Kunde mehr verantwortliche Stelle, sondern Microsoft selbst, und die Speicherung von Daten auf im Microsoft Produkt eigentlich eine Weitergabe dieser Daten an Microsoft. Hierfür gäbe es dann aber wiederum wahrscheinlich keine Rechtsgrundlage.

Komplexität – Welche Daten fallen an?

Als zweites, grundlegendes Problem, wird angeführt, dass unklar bleibt, welche Daten eigentlich von Microsoft verarbeitet werden, und für welche Daten die verschiedenen Kunden-, Lizenz- und Auftragsverarbeitungsverträge gelten.

Bei der Nutzung von Office-Produkten fällt eine große Zahl an Zusatzinformationen an, diese werden „Metadaten“, „Nutzungsdaten“ oder auch „Telemetrie-Daten“ genannt. Obwohl jeder dieser Begriffe leicht unterschiedlich definiert ist, sind diese Unterschiede hier kaum relevant. Worum es geht, ist, dass Microsoft Informationen über die Art der Nutzung seiner Produkte sammelt. Als Beispiel können sich solche Informationen beziehen auf: in welcher Reihenfolge ein Text geschrieben wird, wie häufig die Rechtschreibhilfe verwendet wurde (und bei welchen Worten), wie häufig nach Schaltflächen gesucht wurde und nach welchen, wie viele Menschen an einem Dokument arbeiten und wie lange, ob das Dokument wiederhergestellt werden musste, und noch viele mehr.

Diese Informationen zu sammeln ist nicht an sich problematisch und schon gar nicht anrüchig. Solche Daten sind notwendig, um z. B. die Anordnung der Schaltflächen zu verbessern, oder die Rechtschreibhilfe oder die Stabilität der Anwendung bewerten zu können. Problematisch ist hier allein, dass es sehr komplex ist, zu verstehen, welche Daten (bei welcher Nutzung und welcher Einstellung, in welchem Unter-Produkt) anfallen, und wo diese verarbeitet werden.

Die Behörden kritisieren hier die große Komplexität der Informationen, zumal es anscheinend Informationen gibt, die überhaupt nicht unter den AV-Vertrag fallen. Der Europäische Datenschutzbeauftragte (EDPS) führt hier die Daten an, die etwa im Zuge eines Crash-Reports an Microsoft übermittelt werden.

Datenübertragung

Zusätzlich dazu ist der Speicherort der Daten, die erhoben werden, nicht geklärt. Hierbei ist in aller Regel nicht der Speicherort der vom Kunden erstellten Dokumente fraglich, sondern vielmehr die Verortung der Nutzungsdaten, sowie der Daten etwa aus Crash-Reports.

Die Behörden kritisieren hier, dass es aus den verfügbaren Dokumenten fast unmöglich ist, zu verstehen, welche Daten hier außerhalb Europas, und genauer: in den USA, verarbeitet werden. Dass überhaupt eine Datenübertragung in die USA stattfindet lässt sich Microsoft in seinen Kunden-Verträgen bestätigen, die Übertragung an sich ist also ziemlich sicher. Es ist aber unklar, welche Daten wohin übertragen werden.

Diese Tatsache ist mit dem Schrems II Urteil des EuGHs noch problematischer geworden. Seit diesem Urteil müssen die USA nämlich als unsicheres Drittland gelten, und die Übertragung von Daten dorthin muss mit besonderer Vorsicht betrachtet werden. Dafür wäre aber eben zuerst festzustellen, um welche Daten es denn genau geht – und hier liegt eben der Hund begraben.

Lösungen

Microsoft erneuert fast monatlich manche Vertragsbestandteile für die Vertragsbeziehungen mit Kunden. Insofern ist es möglich, dass, schon wenn diese Beschreibung online geht, sie veraltet ist. Genau das ist sicher auch ein Problem für die Behörden, die sich kontinuierlich mit dem Vorwurf konfrontiert sehen, dass sie ja nicht die neueste Version der Verträge als Grundlage ihrer Entscheidung genommen haben. Da die Bewertung von Anwendungen wie Microsoft 365 aber durchaus länger als ein Monat dauern kann, ist es fast unmöglich hier immer aktuell zu sein.

Die hier genannten Themen sind aber schon seit einiger Zeit stabil, und da sie auch sehr grundlegend sind, ist nicht davon auszugehen, dass sie durch eine kleinere Vertragsanpassungen behoben werden.

Alternativen?

Die übliche Lösung für eine nicht datenschutzkonforme Anwendung zur Verarbeitung personenbezogener Daten wäre, nach einer Alternative zu suchen.

In der Tat wird häufig vorgebracht, dass es doch kaum eine Alternative gäbe. Für das Office 2016 Paket läuft der Support in diesen Wochen aus… was dann Office 2019 als (fast) einzige Möglichkeit ließe, den Problemen mit der Office Abo Lösung des Office 365 zu entkommen. Anscheinend scheuen aber viele die Umstellung auf Office 2019, da dies nicht nur mit Kosten verbunden ist, sondern eben auch in absehbarer Zeit selbst wieder obsolet wird. Nur bei der Nutzung von Microsoft 365 wird dem Kunden stets der neueste Stand der Anwendung zugesichert.

Theoretisch gibt es natürlich noch weitere „Office“-Anwendungen. Allerdings haben sich die Konkurrenten von Microsoft hier nicht durchsetzen können. Uns ist keine Lösung bekannt, die nicht mindestens die gleichen Probleme hat (Google … ?), oder bei der starke Kompatibilitätsprobleme die Nutzung im Austausch von Dokumenten mit anderen Stellen stark behindern (z. B. Open Office).

Selbst die Behörden, die das Microsoft Office 365 und Nachfolgeprodukte als problematisch kennzeichnen, erwarten nicht, dass verantwortliche Stellen die Nutzung dieser Produkte einstellen. Der Europäischen Datenschutzbeauftragte wird hier am deutlichsten, indem er spezifische Empfehlungen ausspricht, die sich fast ausschließlich darauf beziehen, die Lage, bzw. die Verträge mit Microsoft zu klären. Hier ermutigt diese Behörde ausdrücklich auch ‚normale‘ Unternehmen, Microsoft um Aufklärung und Nachbesserung zu bitten.

Kontakt mit Microsoft

Insofern ist eine wichtige unmittelbare Handlungsempfehlung, diese Kommunikation mit Microsoft anzustrengen, und auf die Probleme, die auch hier aufgezählt wurden, hinzuweisen. Die Hoffnung wäre, dass die Summe der Nachfragen, Microsofts Suche nach einer Lösung etwas beflügelt.

In der Tat ist, nach Angaben des Microsoft Kundenservice, der Umzug aller Daten in die EU in der Mache ... Schriftliches ist uns hierzu aber nicht bekannt.

Datenschutzfolgenabschätzung (DSFA)

Inzwischen wird häufig davon ausgegangen, dass für die Nutzung von Microsoft Office 365 eine Datenschutzfolgenabschätzung notwendig ist. Dies liegt insofern nahe, als durch die bestehenden Einschätzungen von Behörden in der Tat von einem bestehenden Risiko für die Rechte und Freiheiten betroffener Personen ausgegangen werden muss. Wie hoch dies ist, ist schwer zu beurteilen – aber im Zweifel ist es sicher vorausschauender von einem hohen, als von einem niedrigen Risiko auszugehen.

Es ist allerdings nicht ganz klar, was genau das Ergebnis dieser Übung sein soll, falls es nicht doch eine Wahl zwischen Nutzung und Nicht-Nutzung von Microsoft Office 365 gibt.

Zu hoffen wäre möglicherweise, dass eine verantwortliche Stelle, die den Standpunkt der betroffenen Personen nach Art. 35 Abs 9 DSGVO einholt, dabei feststellt, dass diese betroffenen Personen eigentlich kein Problem mit der Datenverarbeitung haben – und insofern die Nutzung von Microsoft Office 365 durch die DSFA gestützt würde. Gerade in Betrieben, die eine Arbeitnehmervertretung haben, kann dies durchaus der Fall sein. Gerade die Nutzungsdaten wären ja Daten von Arbeitnehmern.

Datenschutzfreundliche Einstellungen

In jedem Fall, und nicht nur als Ergebnis einer DSFA, sollten die zur Verfügung stehenden Möglichkeiten genutzt werden, um die Office Anwendung so datenschutzfreundlich wie möglich zu gestalten. Hier gibt es durchaus Spielraum – auch wenn die besten Einstellungen immer noch nicht ganz datenschutzkonform sind, sind diese auf jeden Fall ‚schlechten‘ Einstellungen vorzuziehen.

Die dacuro unterstützt

Wir unterstützen gerne dabei, die notwendigen Anfragen, Dokumentation oder Einstellungen zu tätigen. Unsere Kunden werden in den nächsten Wochen von uns hierzu weitere Informationen erhalten. Sollten Sie auch Unterstützung benötigen, dann nehmen Sie gerne Kontakt zu uns auf.