Office 365 / MS365
Die datenschutzrechtliche Bewertung von Office 365, das inzwischen unter dem Namen Microsoft 365 vertrieben wird, beschäftigt die deutschen Datenschutzaufsichtsbehörden seit Jahren. Eine abschließende Bewertung durch die Behörden ist jedoch bisher nicht erfolgt. Zuletzt hatte die Datenschutzkonferenz (DSK) jedoch im September 2020 mit knapper Mehrheit (9 zu 8 Stimmen) entschieden, dass auf Basis der Online Service Terms (OST) sowie den Datenschutzbestimmungen für Microsoft-Onlinedienste (Data Processing Addendum/DPA) jeweils mit Stand Januar 2020 kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich war. Das Papier berücksichtigte jedoch weder die „Schrems II“-Entscheidung des EuGH (EuGH, Urt. v. 16.6.2020 – C-311/18), noch sollten auf seiner Grundlage aussichtsbehördliche Maßnahmen gegenüber Verantwortlichen getroffen werden. Ziel des DSK-Beschlusses und der zugrundeliegenden Bewertungen des AK Verwaltung der DSK sollten vielmehr Gespräche mit dem Hersteller über notwendige Anpassungen und Verbesserungen sein. Im Kontext möglicher Datenübermittlungen in die USA beim Einsatz von Office 365 hatte die hessische Datenschutzaufsicht Microsoft zuletzt für die Ergänzung der Standardvertragsklauseln in einer Pressemitteilung vom 22.11.2020 gelobt. Vor diesem Hintergrund ist der nunmehr öffentliche Fragebogen des HmbBfDI nicht als Trendwende bei der Bewertung von Office 365 durch die Datenschutzaufsichtsbehörden zu verstehen, sondern eher als Überprüfung der Umsetzung der „Schrems II“-Entscheidung durch einen einzelnen Verantwortlichen aufgrund einer Beschwerde durch einen Betroffenen.
Der Inhalt des Fragebogens
Inhaltlich konzentriert sich der Fragebogen nahezu ausschließlich auf den Einsatz von Office 365 und damit in Zusammenhang stehende Datenübermittlungen in die USA. Auf die Abfrage von Angaben, wie z.B. die Kontaktdaten des Datenschutzbeauftragten, Muster für Datenschutzinformationen oder die getroffenen technischen und organisatorischen Maßnahmen verzichtet die Behörde. Stattdessen beziehen sich die Fragen eins bis fünf auf die allgemeine Nutzung von Office 365 und damit in Zusammenhang stehende datenschutzrechtliche Anforderungen. Die Fragen sechs bis zehn beziehen sich auf mögliche Datenübermittlungen in die USA oder andere Drittstaaten. Hierbei wird deutlich, dass die Behörde vom Verantwortlichen insbesondere wissen möchte welche Schritte er zur Umsetzung der „Schrems II“-Entscheidung des EuGH ergriffen hat. Die gestellten Fragen orientieren sich insoweit an den aktuellen Vorgaben der Aufsichtsbehörden. Der enge Fokus des Fragebogens zeigt sich schließlich auch bei der Abfrage des Verzeichnisses der Verarbeitungstätigkeiten in Frage 11. Hier verlangt die Behörde nämlich lediglich die den Einsatz von Office 365 betreffenden Teile des Verzeichnisses.
Empfehlungen für Verantwortliche
Ausgehend von seinem inhaltlichen Schwerpunkt ist der Fragebogen für Verantwortliche vor allem mit Blick auf aufsichtsbehördliche Maßnahmen zur Umsetzung der „Schrems II“-Entscheidung von Interesse. Insoweit belegt der Fragebogen, dass die Aufsichtsbehörden – zumindest im Fall von Beschwerden – bereits jetzt tätig werden und an Verantwortliche mit konkreten Fragen zu Datenübermittlungen in Drittstaaten herantreten. Damit ist der Fragebogen auch über den Einsatz von Office 365 hinaus für Verantwortliche vor Interesse.
Beruhigend ist allerdings, dass die Behörde vom Verantwortlichen – soweit es sich den Fragen entnehmen lässt – lediglich das verlangt, was den aktuellen Empfehlungen der Aufsichtsbehörden zu Datenübermittlungen in Drittstaaten entspricht. Verantwortliche müssen demnach insbesondere prüfen, ob und auf welcher Grundlage sie personenbezogene Daten in Drittstaaten übermitteln und das Datenschutzniveau des Drittlands prüfen, wenn kein Angemessenheitsbeschluss besteht. Fehlt es an einem angemessenen Datenschutzniveau, was insbesondere bei Datenübermittlungen in die USA der Fall sein kann, sind zusätzliche Maßnahmen notwendig. Wenn die aktuellen Anforderungen der Aufsichtsbehörden an Datenübermittlungen in Drittstaaten befolgt wurden, gibt der Fragebogen des HmbBfDI daher keinen Anlass zur Panik.
Sofern Sie Office 365 oder MS365 einsetzen, würde ich Sie bitten sich die Fragen durchzulesen und beantworten. Gerne können Sie mir dann die Antworten zukommen lassen. Denn so wird relativ schnell klar, ob Sie die Cloudprodukte datenschutzkonform einsetzen. Gerne beantworte ich auch weiter Fragen hierzu.
Der Fragebogen des HmbBfDI
[Briefkopf und Anrede]
Wir haben einen Hinweis darauf erhalten, dass in Ihrem Unternehmen Office 365 eingesetzt wird und dass dabei personenbezogene Daten in die USA übermittelt werden. Vor dem Hintergrund der Entscheidung des Europäischen Gerichtshofs vom 16.07.2020, Rs. C-311/18 – Schrems II – bitten wir Ihr Unternehmen um Mitteilung, wie Sie diese Praktik mit den unionsrechtlichen Vorgaben in Einklang bringen. Bitte nehmen Sie bzw. das Unternehmen Stellung zu dem uns zugetragenen Hinweis und gehen Sie dabei insbesondere auf die folgenden Punkte ein:
- Nutzt Ihr Unternehmen Office 365?
- Welche personenbezogenen Daten werden dort eingefügt?
- Zu welchen Zwecken geschieht die Nutzung von Office 365?
- Aufgrund welcher Rechtsgrundlage (erster Stufe) geschieht die Nutzung von Office 365?
- Seit wann werden diese Verarbeitungen vorgenommen?
- Werden die Daten nach Ziff. 2 in die USA oder andere Staaten außerhalb des Europäischen Wirtschaftsraums übermittelt?
- Auf welche rechtlichen Vorkehrungen im Sinne des Kapitel V der DSGVO werden die Drittstaatenübermittlungen nach Ziff. 5 [sic] gestützt?
- Für den Fall, dass die Standardvertragsklauseln der Europäischen Kommission genutzt werden: Welche zusätzlichen Maßnahmen im Sinne der o.g. Entscheidung des Europäischen Gerichtshofs haben SIe [sic] unternommen?
- Bitte nennen Sie auch vorbereitende Schritte im Hinblick auf ggfs. noch nicht vollständig umgesetzte Maßnahmen nach Ziff. 7.
- Für den Fall, dass die Umstellung auf andere Systeme geplant ist, teilen Sie uns bitte die erwogenen Lösungen und den Stand der Umsetzung mit.
- Bitte lassen Sie uns die den Einsatz von Office 365 betreffenden Teile Ihres Verzeichnisses der Verarbeitungstätigkeiten zukommen.
Der Stellungnahme Ihres Unternehmens sehen wir entgegen bis zum [Monatsfrist].
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit kontrolliert als Aufsichtsbehörde über die nicht-öffentlichen Stellen gemäß § 40 des Bundesdatenschutzgesetzes (BDSG) die Ausführung der Vorschriften über den Datenschutz im Bereich der Privatwirtschaft. Alle der Kontrolle unterliegenden Stellen haben dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit auf Verlangen die für die Erfüllung seiner Aufgaben erforderlichen Auskünfte unverzüglich zu erteilen. Der Auskunftspflichtige kann die Auskunft auf solche Fragen verweigern, deren Beantwortung ihn selbst oder einen Angehörigen der Gefahr strafgerichtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde. Für Amtshandlungen, die der Kontrolle durch den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit nach § 40 BDSG dienen, werden nach § 34 des Hamburgischen Datenschutzgesetzes (HmbDSG) Gebühren erhoben.
Liebe Mandantinnen,
Liebe Mandaten,
nach längerer Zeit schreibe ich mal wieder nur zum Thema Datenschutz und diesmal mit ganz wichtigen Informationen. Bitte lesen Sie unbedingt die ersten beiden Titel, denn die haben weitreichende Folgen (und Sie wissen ja, wenn was in rot geschrieben ist, dann ist es wirklich wichtig). Ich versuche es möglichst kompakt und verkürzt darzustellen, damit es noch lesbar und verständlich ist – die Juristen unter Ihnen mögen mir also verzeihen, wenn es an manchen Stellen juristisch nicht ganz Präzise ist.