Microsoft 365: Datenschützer geben Tipps zu potenziell rechtskonformem Einsatz

Die Datenschutzkonferenz von Bund und Ländern (DSK) hat wiederholt festgestellt, dass Einrichtungen wie Behörden, Schulen und Unternehmen Microsoft Office 365 ohne Weiteres "nicht rechtskonform einsetzen" können. Zuständige müssen demnach vor allem bei den Vorgaben zur Auftragsverarbeitung rund um das Paket für Büroanwendungen mit Cloud-Anschluss auf jeden Fall zusätzliche Schutzvorkehrungen treffen. Der Mitte September neu ins Amt gekommene niedersächsische Datenschutzbeauftragte Denis Lehmkemper hat dazu nun gemeinsam mit sechs weiteren Aufsichtsbehörden eine Handreichung veröffentlicht. Die Kontrolleure wollen die zuständigen Stellen damit vor allem dabei unterstützen, gegenüber Microsoft auf vertragliche Änderungen im Sinne des "Problemaufrisses" durch die DSK hinzuwirken.

"Spezifische Maßnahmen"

Die datenschutzrechtlichen Anforderungen für MS 365 richteten sich "nicht nur an Microsoft als Hersteller und Vertreiber der Software", sondern auch an die diese nutzenden öffentlichen und privaten Stellen "als datenschutzrechtlich Verantwortliche", erläutern die Praktiker auf den 21 Seiten zunächst. Änderungen oder Ergänzungen der Vertragsbedingungen mit Microsoft seien naturgemäß zwar davon abhängig, dass der Softwarekonzern diesen als Vertragspartner zustimme. Trotzdem obliege es den Verantwortlichen, "alle ihnen zur Verfügung stehenden Möglichkeiten zu nutzen", auf datenschutzkonforme Vereinbarungen bei dem umstrittenen "Microsoft Products and Services Data Protection Addendum" (DPA) zu drängen.

Konkret müssen dem Papier zufolge etwa die Löschfristen vertraglich angepasst, also in der Regel gekürzt werden. Ausnahmen sollten "eingeschränkt und konkretisiert" werden. Gegebenenfalls sei es nötig, "spezifische Maßnahmen" in die eigenen Löschprozesse aufzunehmen. Ferner beschreiben die Kontrolleure nötige Ansprüche an die Information über den Einsatz von Unterauftragsverarbeitern. So müssten etwa deren Namen sowie Anschrift nebst Daten von Kontaktperson angeführt werden. Nötig seien ferner eine Beschreibung der betreffenden Verarbeitung und eine eindeutige Benennung des betroffenen Produkts beziehungsweise der Funktion einschließlich einer klaren Abgrenzung der Zuständigkeiten sowie der Verantwortungsanteile.

Umsetzung technischer und organisatorischer Maßnahmen

Ein weiterer wichtiger Aspekt ist der Umgang mit der Verarbeitung durch Microsoft zu eigenen Geschäftszwecken. Hier muss der Verantwortliche zunächst klären, welche personenbezogenen Daten in welchem Umfang der Hersteller dafür erhebt und möglicherweise auswertet. Anschließend sei zu beurteilen, ob eine Rechtsgrundlage für die Zurverfügungstellung dieser Informationen bestehe. Alle Verarbeitungszwecke, für die sich keine solche Basis finde, "sind vertraglich auszuschließen und technisch zu unterbinden". Alle auf einer Einwilligung basierenden Verarbeitungsvorgänge für Microsofts eigene Zwecke müssten "per Konfiguration aktivier- und deaktivierbar sein". Auf die potenziellen Auswirkungen des neuen transatlantischen Datenschutzrahmens gehen die Kontrolleure dabei noch nicht ein.

Ein Schwerpunkt ist auch die Umsetzung technischer und organisatorischer Maßnahmen nach Artikel 32 Datenschutz-Grundverordnung (DSGVO): Der Vertrag hat demnach zu spezifizieren, welche persönlichen Informationen neben den Nutzerdaten der Gewährleistung der Sicherheit dienen. Inhaltsdaten könne der Verantwortliche selbst benennen. Für die Auflistung etwa von Anmelde- oder Diagnosedaten werde er wohl Unterstützung von Microsoft benötigen. Ferner sollte geklärt werden, welche Informationen wie für die "Fehlerbehebung" und "Förderung der Sicherheit" genutzt werden. Generell sollten Verantwortliche prüfen, ob Lösungen in Betracht kommen, die einen Betrieb von Microsoft-Produkten auf eigenen IT-Strukturen vorsehen. Dringend empfehlen die Datenschützer die Verwendung pseudonymer Mailadressen sowie ein Verbot der Nutzung privater Microsoft-Accounts und des Konzepts "Bring your own device" (BYOD) im dienstlichen Bereich.

(bme)