Koester Econsulting Datenschutzaufsichtsbehoerde Microsoft

Microsoft vs. Berliner Datenschutzaufsichtsbehörde

Eigentlich sollte ich mich im Urlaub entspannen. Gestern lag ich an einem schönen Badesee in Kärnten und der Schlagabtausch zwischen der Berliner Datenschutzaufsichtsbehörde und Microsoft ließ mir keine Ruhe. Auch weil mich einige Kunden zur Bewertung dieser Situation gefragt hatten und es mir natürlich auf allen sozialen Kanälen entgegenkam.

Die letzten Tage habe ich die beiden relevanten Veröffentlichungen von der Berliner Aufsichtsbehörde immer wieder überflogen. Heute habe ich beide Stellungnahmen detaillierter gelesen und versucht für mich einzuordnen.

Wobei ich an dieser Stelle nochmal verdeutlichen möchte, dass ich KEIN Rechtsanwalt bin, die meisten meiner Kunden aber eben auch nicht.

Fangen wir mit der Bewertung von Video-Konferenzlösungen durch die Berliner Datenschutzaufsichtsbehörde an.

Auf der ersten Seite geht es um eine Bewertung von verschiedenen Videokonferenz-Lösungen in Zeiten von Corona: Am Ende des zweiten Absatzes erfolgt die Bewertung, dass bis auf einen Dienst, keiner der geprüften Dienste für die Verarbeitung von Informationen mit hohem Schutzbedarf geeignet ist. Selbst wenn ein Unternehmen keine Schutzbedarfsfeststellung seiner Daten nach dem BSI-Standard durchführt, so kann ich doch für 99 % meiner Kunden feststellen, dass diese keinen hohen Schutzbedarf bei der Verarbeitung ihrer Daten haben, da es sich um klassische B2B-Daten handelt, die zur Erfüllung von Verträgen verarbeitet werden.

Dann lese ich weiter in der Bewertung der Diensteanbieter und stelle fest, dass eigentlich alle Lösungsanbieter eine rote Ampel aufweisen – mit Ausnahme von: Jitsi und BigBlueButton und einigen Anbietern, deren Namen ich noch nie gehört habe.

Hier kommt mir wieder die Empfehlung der Landesdatenschutzbehörde Baden-Württemberg in den Sinn, die im Mai 2020 eine völlig weltfremde Meinung zur Nutzung von Videokonferenztools veröffentlicht hatte: „Prüfen Sie doch, ob eine Telefonkonferenz auch ausreichend ist“. Das klingt für mich gleichbedeutend mit „Und bitte prüfen Sie vor dem Versand einer E-Mail, ob nicht eine Brieftaube ausreichend wäre.“.

Bitte liebe Datenschutzaufsichtsbehörden: Kommt im Jahr 2020 an – auch in Hinblick auf die besonderen Bedingungen, die alle Unternehmen in den letzten vier Monaten zu stemmen hatten und auch noch in Zukunft haben werden.

Denn z. B. für mich als Soloselbständigen würde das ja bedeuten, dass ich US-Clouddienste nicht nutzen dürfte und mir zu Hause einen Jitsi-Server installieren müsste (den würde ich dann gleich neben meinen Matomo-Server stellen, weil ich Google Analytics ja auch nicht nutzen darf). Meine Frau freut sich sicherlich, wenn ich ein 19″-Rack mit entsprechenden Servern bei uns im Schlafzimmer installiere. Dann mache ich diverse Schulungen, wie ich diese Systeme sicher konfiguriere und welche technischen Schutzmaßnahmen ich umsetzen muss – also werde ich zu einem IT-Securityexperten im Bereich on-premises-Systeme. Dieses Problem haben kleine und mittelständische Unternehmen dann im ähnlichen Umfang.

Kommen wir zurück zum Fall Microsoft.

Die inhaltliche Bewertung, der im DPA verwendeten EU-Standardvertragsklauseln und deren mögliche Änderungen in unterschiedlichen anderen Absätzen des DPA überlasse ich den Anwälten.

Ich erinnere mich aber mal an die typischen Kritikpunkte bei der Nutzung von Microsoft Cloud-Produkten, die ich in den letzten zwei Jahren immer wieder mit den Teilnehmern meiner Vorträge diskutiert habe.

Diagnosedaten

Microsoft übermittelt bei der Nutzung von deren Produkten Diagnosedaten zu eigenen Zwecken!

Ja, natürlich, und darüber bin ich als Benutzer wirklich froh. Somit hat nicht nur Microsoft ein berechtigtes Interesse an der Auswertung dieser Daten, sondern ich auch. Ich kann die von Microsoft im DPA aufgeführten legitimen Geschäftszwecke absolut nachvollziehen und unterstütze diese auf ganzer Linie. Unternehmen, die die Diagnosedaten komplett abstellen, schießen sich selbst ins Bein.

Nur durch die Diagnosedaten kann Microsoft die Produkte verbessern, Fehler beheben, die bei der Entwicklung so komplexer Produkte nicht mehr im Labor im Vorwege geprüft werden können und mehr IT-Sicherheit in die Produkte bringen, als ich es jemals bei einer selbstgehosteten Lösung schaffen würde. Nicht umsonst hat Microsoft 3.500 Mitarbeiter, die den ganzen Tag IT-Security betreiben.

Warum werden die Diagnosedaten eigentlich so kritisch betrachtet?

Ich vermute, dass es daran liegt, dass bei jedem Fehler die eindeutige ID des Endgeräts übermittelt wird (ich denke, dass die Aufsichtsbehörden diese mit der IP-Adresse eines Endgeräts gleichsetzen). Auch hier ist für mich nachvollziehbar, dass diese Information notwendig ist, um zu sehen ob der Fehler auf einem Gerät 1.000 Mal oder auf 1.000 unterschiedlichen Geräten auftritt und somit ein Produktproblem ist.

Ganz im Ernst: Microsoft interessiert sich doch nicht für die einzelne Person und welche Funktionen diese in den Microsoftprodukten verwendet.

Tipp: Verwenden Sie mal den Diagnostic Data Viewer und prüfen Sie welche Diagnosedaten Microsoft wirklich übermittelt.

Übermittlung der Diagnosedaten in die USA

Oh, welch Wunder: Microsoft übermittelt diese Diagnosedaten in die USA. Ja, Microsoft ist ein amerikanisches Unternehmen, ein Großteil der Produktentwicklung wird wohl auch in den USA sitzen.

  • Unter welchen Umständen darf ein Verantwortlicher nach der DSGVO Daten in ein unsicheres Drittland übermitteln? Wenn der Anbieter durch angemessene Garantien ein vernünftiges Datenschutzniveau gewährleistet.
  • Welche angemessenen Garantien sind aktuell vorhanden? EU-Standardvertragsklauseln und die Zertifizierung nach dem EU-US Privacy Shield-Abkommen (Am 21.7.2020 bearbeitet: Seit dem Urteil des EuGH vom 16.7.2020 (Schrems II) ist Privacy Shield keine angemessene Garantie mehr).

Beide Anforderungen erfüllt Microsoft. Nun sind sowohl die Standardvertragsklauseln und Privacy Shield immer wieder in der Kritik, teilweise auch Inhalt laufender Verfahren vor dem Europäischen Gerichtshof. Mag alles sein, aber aktuell sind es nun mal gültige Garantien. Also darf ich einen Auftragsverarbeiter auswählen, der eine dieser Garantien erfüllt. Bis es anders lautende Entscheidungen gibt, muss ich mir da keine Gedanken machen. Und überhaupt: die gesamten Inhaltsdaten werden in deutschen oder europäischen Rechenzentren gespeichert.

Schutzbedarfsfeststellung der Daten

Als Verantwortlicher sollte ich prüfen welchen Schutzbedarf meine Daten haben. Verarbeitet ein Unternehmen kritische Daten nach Art 9 DSGVO oder führt es umfangreiche Profilingmaßnahmen durch oder verarbeitet es vielleicht doch nur die typischen Businessdaten zu Mitarbeitern des Unternehmens sowie deren Geschäftspartner? Egal welche Risikobewertungsmethode ein Unternehmen hier verwendet, es wird bei normalen B2B-Daten wohl immer auf einen geringen Schutzbedarf hinauslaufen. Und dann könnte ein Unternehmen ja doch Microsoft Teams und andere Provider einsetzen.

Microsofts unkommentierte Anpassungen am DPA (Data Protection Addendum)

Microsoft hat Übersetzungsfehler am DPA bereinigt und diese nicht öffentlich kenntlich gemacht oder die Kunden informiert.

Hey Microsoft, das könnt ihr besser! Das finde ich auch kritisch und gehört sich einfach nicht. Wenn ich auch nur ein Komma an einem Vertrag ändere, informiere ich meinen Vertragspartner darüber. Kleine Hilfestellung zur Selektion der richtigen Ansprechpartner: Alle Unternehmen in Deutschland oder die als Administrationssprache „Deutsch“ eingestellt haben und dann eine E-Mail ins Administrationscenter schicken, die in etwa folgenden Wortlaut beinhalten könnte: „Wir haben eine neue Version (z. B. 1.01) des DPA zur Verfügung gestellt. Hier wurden Übersetzungsfehler korrigiert. Und hier ist der Link zum Download der aktualisierten Version.“.

Mittlerweile ist das DPA als neue Dokumentenversion gekennzeichnet (DPA vom Juli 2020): https://aka.ms/DPA

Fazit

Der Schutz personenbezogener ist ein Grundrecht aus der EU-Grundrechtecharta und ich finde Datenschutz wichtig, sonst würde ich die Aufgabe als Datenschutzbeauftragter nicht übernehmen. Aber Datenschutz darf kein Selbstzweck sein und sollte Unternehmen bei der Digitalisierung ihrer Prozesse nicht ausbremsen. Bitte liebe Aufsichtsbehörden unterstützt die Verantwortlichen, anstatt ihnen immer nur aufzuzeigen was sie alles nicht dürfen. Wenn ihr der Meinung seid, dass amerikanische Anbieter Optimierungsbedarf bei den Verträgen haben, besprecht das mit den Anbietern direkt und wirkt auf eine Verbesserung hin. Aber lasst das medienwirksame Verbieten aller Lösungen, die heute als „Stand der Technik“ anzusehen sind. Und on-premises-Lösungen sind eben nicht mehr Stand der Technik. Nur durch sinnvolle Orientierungshilfen und zeitgemäße Umsetzungen wird Datenschutz den Stellenwert erhalten, den wir uns alle (Aufsichtsbehörden und Datenschutzbeauftragte) wünschen.

Zum Schluss verweise ich noch auf einen Artikel aus dem Handelsblatt (https://www.handelsblatt.com/politik/deutschland/dsgvo-bremsklotz-fuer-digitalwirtschaft-union-will-neuorganisation-der-datenschutzaufsicht/25989768.html?share=twitter), der die evtl. anstehende Neuorganisation der bundeslandspezifischen Datenschutzaufsichtsbehörden zu einer zentralen Aufsichtsbehörde für den nichtöffentlichen Bereich andenkt.

Ich werde Microsoft 365 weiterhin nutzen, da ich trotz allem Hin und Her noch eine ganz andere Komponente bei der Auswahl meiner Auftragsverarbeiter heranziehe: Vertrauen!

Ich vertraue Microsoft, dass sie meine Daten so behandeln wie es ich es aus den Verträgen herauslese und Microsoft in den Marketingaussagen immer wieder hervorhebt: „Deine Daten sind Deine Daten“!

Microsofts sechs Datenschutzprinzipien

  • Kontrolle: Mithilfe einfacher Tools und eindeutiger Auswahlmöglichkeiten ermöglichen wir Ihnen volle Kontrolle über Ihre Daten.
  • Transparenz: Dank der Transparenz in Bezug auf die Erfassung und Verwendung von Daten können Sie informierte Entscheidungen treffen.
  • Sicherheit: Wir schützen die Daten, die Sie uns anvertrauen, mit hohen Sicherheits- und Verschlüsselungsmaßnahmen.
  • Starker rechtlicher Schutz: Wir respektieren die jeweils gültige Datenschutzgesetzgebung und setzen uns für den Schutz Ihrer Privatsphäre als fundamentales Menschenrecht ein.
  • Keine inhaltsbezogene Werbung: Wir nutzen die Inhalte Ihrer E-Mails, Chatprotokolle, Dateien oder sonstigen persönlichen Inhalte nicht für gezielte Werbung.
  • Vorteile für Sie: Wenn wir Daten erfassen, nutzen wir diese in Ihrem Interesse zur Verbesserung unseres Angebots.

Aber vielleicht fehlt mir auch einfach nur die Phantasie, dass Microsoft meine Daten inhaltlich auswerten könnte.

Erleben Sie mich in einem gemeinsamen Workshop zur Einhaltung von „Security & Compliance in Microsoft 365„.

10. Juli 2020

Das könnte Sie auch interessieren