Microsoft 365 bei der EU-Kommission

Der Europäische Datenschutzbeauftragte (nachfolgend auch: EU-DSB) untersuchte für ungefähr zwei Jahre seit Mai 2021 den Einsatz von Microsoft 365 bei der Europäischen Kommission (nachfolgend auch: EU-Kommission). – Die Pressemitteilung des EU-DSB zum Einsatz von Microsoft 365 bei der EU-Kommission können Interessenten gern hier lesen. –

Inwiefern die Hinweise die Veröffentlichung des EU-DSB für Verantwortliche hilfreich sein können, erläutern wir im Folgenden.

Zweckbindung gemäß Art. 5 Abs. 1 lit. b) DSGVO

In einem Kritikpunkt führt der EU-DSB aus, dass die EU-Kommission bei der Nutzung von Microsoft 365 zu ungenau erläuterte, welche personenbezogene Daten sie für welche Zwecke verarbeitete.

Hinweis für Verantwortliche

Natürlich können Verantwortliche dies auch für andere Verarbeitungstätigkeiten als Hinweis für eventuelle Verbesserungen heranziehen. Wichtig ist also, zu wissen, weshalb ein Verantwortlicher personenbezogene Daten mit Einbezug von beispielsweise Microsoft 365 verarbeitet. Er muss also den Zweck dokumentieren und dann die personenbezogene Daten auch nur zu diesem Zweck verarbeiten.

Drittlandübermittlung

Des Weiteren kritisierte der EU-DSB die unzureichenden Maßnahmen und Garantien bei der Verarbeitung personenbezogener Daten außerhalb der Europäischen Union/dem Europäischen Wirtschaftsraum.

Es war ja die EU-Kommission selbst, die das EU-U. S. Data Privacy Framework Mitte 2023 beschloss. – In unserem Beitrag hier können Sie sich gern dazu informieren. – Somit ist ein Austausch personenbezogener Daten zwischen der EU und den Vereinigten Staaten von Amerika bzw. dem dort ansässigen Unternehmen, welches sich selbst zertifiziert hat, wieder möglich, ohne weitere Maßnahmen ergreifen zu müssen. Wir erinnern uns aber an das EuGH-Urteil vom 16.07.2020 (Rechtssache: C-311/18) zur Ungültigkeit des EU-U. S. Privacy Shield. Folglich hätte die EU-Kommission innerhalb dieser Zeit zusätzliche Maßnahmen gemäß Artt. 46, 47 DSGVO ergreifen müssen. Da der EU-DSB die Übermittlung personenbezogener Daten bemängelt, ist anzunehmen, dass diese fehlten.

Hinweis für Verantwortliche

Zumeist denken wir bei der Verarbeitung von personenbezogenen Daten in ein Land außerhalb der EU an die Vereinigten Staaten von Amerika. Wie schon erwähnt, können wir bei der Übermittlung personenbezogener Daten in dieses Land das EU-U. S. Data Privacy Framework heranziehen. Es gibt allerdings auch Anbieter in anderen Ländern, für die es keinen Angemessenheitsbeschluss gibt. Übermitteln Verantwortliche also personenbezogene Daten in solche Länder müssen sie zusätzliche Maßnahmen ergreifen, wie beispielsweise den Abschluss von Standarddatenschutzklauseln und die Durchführung von Transfer Impact Assessments. Sind diese nicht gegeben, kann der jeweilige Dienstleister in dem sogenannten unsicheren Drittland nicht in Anspruch genommen werden.

Unerlaubte Übermittlung

Weiterführend fand der EU-DSB, dass es zu einer unerlaubten Weitergabe personenbezogener Daten kam, da die EU-Kommission nicht ausreichend beachtete, dass nur das Recht der EU oder der Mitgliedsstaaten erlaubt, personenbezogene Daten ohne Weisung der EU-Kommission in ein Drittland zu übermitteln.

Hinweis für Verantwortliche

Es ist unabdingbar, zu vermeiden, dass personenbezogene Daten unrechtmäßig verarbeitet werden. Liegt eine Auftragsverarbeitung, wie bei vielen Diensten von Microsoft 365 (bspw. nicht bei reinen Telekommunikationsdiensten), vor, ist ein Auftragsverarbeitungsvertrag gemäß Art. 28 Abs. 3 DSGVO abzuschließen. Dieser regelt dann auch, die Verarbeitung – und somit auch Weitergabe – personenbezogener Daten ausschließlich auf Weisung des Verantwortlichen (Artt. 28 Abs. 3 lit. a), 29 DSGVO).

Weitere Maßnahmen zur Nutzung von Microsoft 365

Aus den speziell durch den EU-DSB erwähnten Kritikpunkten lassen sich weitere Maßnahmen ableiten.

Verzeichnis von Verarbeitungstätigkeiten

Eine ideale Grundlage bietet das Verzeichnis von Verarbeitungstätigkeiten. Schließlich listet es genau die Tätigkeiten, während derer ein Verantwortlicher personenbezogene Daten von welchen Personengruppen für wie lange, für welche Zwecke, aufgrund welcher Rechtsgrundlage verarbeitet. Dabei wird dann auch ersichtlich, inwiefern diese ggf. in ein Drittland übermittelt werden und welche zusätzlichen Maßnahmen demnach zu ergreifen sind.

Datenschutzinformation

Dementsprechend kann der Verantwortliche dann auch die betroffenen Personen über die Verarbeitung informieren (Datenschutzinformation) und auch etwaige Auskunftsanfragen gemäß Art. 15 DSGVO beantworten.

Technische und organisatorische Maßnahmen

Natürlich ist es trotz des Angemessenheitsbeschlusses wichtig, beim Einsatz von Microsoft 365 – oder sonstigen Verarbeitungstätigkeiten – technische und organisatorische Maßnahmen zu ergreifen. Wo es möglich ist, sollte ein Verantwortlicher prüfen, ob die Verschlüsselung von personenbezogenen Daten vor Übermittlung dieser an den Dienstleister möglich ist. Der Entschlüsselungsschlüssel verbleibt dabei natürlich beim Verantwortlichen. So ist ein Verantwortlicher auch schon darauf vorbereitet, sollte die Gültigkeit des EU-U. S. Data Privacy Framework beispielsweise aufgrund politischer Ereignisse oder eines Urteils zu einem plötzlichen Ende kommen.

Richtlinien

Des Weiteren muss es für die Mitarbeiter Richtlinien geben, wie sie Microsoft 365 nutzen dürfen und sollen. Nutzen sie Microsoft Teams ist festzulegen, dass Videokonferenzen nur unter bestimmten Voraussetzungen aufgenommen werden dürfen – beispielsweise mit Einwilligung aller Teilnehmer (mehr zur Gültigkeit von Einwilligungen finden Sie hier). Legt ein Verantwortlicher fest, dass er die private Nutzung der dienstlichen Microsoft 365-Dienste untersagt, muss er auch dies in den Richtlinien kommunizieren.

Bewertung des EU-DSB

Kommen wir auf das anfängliche Thema, nämlich die Aussagen des EU-DSB zum Microsoft 365-Einsatz bei der EU-Kommission, zurück: Die Folge dieser Defizite bei der Verarbeitung personenbezogener Daten durch die EU-Kommission beim Einsatz von Microsoft 365 ist nun, dass der EU-DSB der EU-Kommission vorgibt, bis zum 09.12.2024 alle unzureichend gesicherten Datenübermittlungen auszusetzen. Des Weiteren ist die EU-Kommission angewiesen worden, alle Datenverarbeitungen bei der Nutzung von Microsoft 365 in Einklang mit dem Datenschutzrecht zu bringen.

Fazit

Natürlich hat auch die für einen jeweiligen Verantwortlichen zuständige Datenschutzaufsichtsbehörde die Befugnis, eine Verarbeitungstätigkeit zu verbieten. – Auf u. a. die Befugnisse von Datenschutzaufsichtsbehörden gehen wir in diesem Beitrag ein. – Um dies zu vermeiden, ist es empfehlenswert, vor Einsatz oder Nutzung einer Software, einer Cloud-Lösung etc. zu prüfen, wie die Verarbeitung personenbezogener Daten datenschutzkonform zu gestalten ist. Dabei unterstützen und dazu beraten können wir Sie gern. Kontaktieren Sie uns für ein kostenfreies Erstgespräch und ein unverbindliches Angebot.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.