Hintergrund
Durch das am 16.07.2020 verkündete Urteil des EuGH wurden die Grundlagen der Übermittlung auf den Prüfstand gestellt.
Hintergrund für die Kritik des EuGH bei der Übermittlung von personenbezogenen Daten an Unternehmen in die Vereinigten Staten bzw. durch US-Dienstleister, sind die Erhebungsbefugnisse der US-Behörden. Diese Befugnisse gelten auch für personenbezogene Daten von EU-Bürgern – so können US-amerikanische Strafverfolgungsbehörden US-amerikanische Dienstleister dazu auffordern personenbezogene Daten von EU-Bürgern zur Verfügung zustellen. Ferner haben EU-Bürger in den USA schlechte Rechtsschutzmöglichkeiten, da der „Vierte Zusatzartikel zur Verfassung der USA“ nicht für Unionsbürger gelte.
Die Übermittlungen von personenbezogenen Daten von Unionsbürgern in Drittländer müssen auf Grundlagen gestützt werden. Dabei ist die geläufigste Grundlage, die Verarbeitung im Auftrag eines Verantwortlichen gem. Art. 28 DSGVO. Im Datenschutzrecht bestehen allerdings noch weitere dieser Grundlagen. Eine dieser Grundalgen sind die sogenannten Angemessenheitsbeschlüsse der Europäischen Kommission. Für die im EU-U.S. Privacy Shield Framework zertifizierten Unternehmen bestand bislang ein solcher Angemessenheitsbeschluss. Dieses Privacy Shield ist allerdings nun durch die Richterinnen und Richter in der Rechtssache C‑311/18 für ungültig erklärt worden.
Die Grundlage der Standardvertragsklauseln (Standard Contractual Clauses (SCC)) sind durch die Rechtsprechung der Großen Kammer des EuGH nicht grundsätzlich unwirksam. Hier sind allerdings die Anforderungen relativ hoch, da es zu einer Einzelfallprüfung kommen muss. Verantwortliche müssen nun prüfen, ob der Dienstleister ein angemessenes Schutzniveau bieten kann.
Grundlagen bei Microsoft 365
Das für die Verarbeitungen von personenbezogenen Daten durch Microsoft relevante Dokument sind die sogenannten Online Service Terms (OST), in denen das Data Processing Agreement (DPA) und die Standardvertragsklauseln enthalten sind. Vereinfacht gesagt, handelt es sich hierbei um die AGB inklusive einer Auftragsverarbeitungsvereinbarung und den Standardvertragsklauseln. Dabei ist hier allerdings die Besonderheit, dass Microsoft spezifiziert, dass jede Übermittlung von personenbezogenen Daten ausserhalb der EU bzw. der EWR auf Grundlage der Standardvertragsklauseln beruht. Die Verarbeitungen innerhalb der EU werden auf Grundlage der Auftragsverarbeitungsvereinbarung übermittelt. Zu Microsoft 365 (bislang Office 365) zählen Tools wie Teams, SharePoint Online, Onedrive und weitere Cloud-basierte Lösungen.
Was nun unternommen werden sollte
Bei der Umsetzung der Verbesserung des Datenschutzes, können Sie sich an der Checkliste des LfDI Baden-Württemberg orientieren. Diese Checkpunkte sind:
- Bestandsaufname der Übermittlungen erstellen
- Information an Dienstleisters bzgl. des Urteils senden
- Datenschutzerklärung prüfen und anpassen.
- Verzeichnis der Verarbeitungstätigkeiten prüfen und anpassen
- sich selbst über die Rechtslage im Drittland informieren
- Evaluierung der Vermeidung von Transfer in Drittländer
- nur noch Dienste nutzen, die keine Daten in ein Drittland übertragen oder
- die vertragliche Vereinbarung treffen, dass keine Datenübertragung in ein Drittland vorgenommen wird
- die Daten vor einer Übermittlung verschlüsseln und den Zugriff zum Schlüssel in eigener Hoheit halten
- Kontakt mit dem jeweiligen Empfänger der Daten aufnehmen und sich auf eine Erweiterung von Standardvertragsklauseln verständigen
1. Datenschutzerklärung prüfen und apassen
Eine Bestandsaufnahme von Übermittlungen sollte in Ihrem Unternehmen, auch unabhängig des Urteils, existieren. Falls dies noch nicht der Fall ist, sollten Sie diese erstellen.
2. Dienstleister informieren
Wie Sie der Microsoft-Kundeninformation entnehmen können, ist Microsoft bereits über das EuGH-Urteil und deren Folgen informiert. Eine Information wäre daher unseres Erachtens vernachlässigbar.
3. Datenschutzerklärung prüfen und anpassen
Ihre Datenschutzerklärung bzw. Ihr Dokument zur Wahrung der Informationspflicht gem. Art. 13 DSGVO sollte angepasst werden, wenn in diesen Dokumenten nicht die Transfermechanismen dokumentiert sind. Fener sollten diese Dokumente bezüglich des Urteils angepasst werden, z. B. Streichung des Privacy Shields als Grundlage der Übermittlung.
4. Anpassungen des VVTs
Wie auch das Bestandsdokument der Übermittlungen, sollte auch das Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 Abs. 1 DSGVO angepasst werden.
5. Information über die Rechtslage im Drittland
Hintergrund ist, dass Sie sich darüber informieren sollten, in welches Drittland personenbezogene Daten übermitelt werden und ob dieses Drittland Erhebungsbefugnisse für deren Behörden einräumt, so wie es in den USA der Fall ist.
6.1. Nur noch Dienste nutzen, die keine Daten in ein Drittland übertragen
Dies ist eine Abwägung, die Sie durchführen müssten. Für Informationen welche Dienste von Microsoft bzw. welche Datenarten Microsoft in Drittländer verarbeitet, schauen Sie sich gerne hier um.
6.2. Vertragliche Vereinbarung treffen, dass keine Datenübertragung in ein Drittland vorgenommen wird
Eine Möglichkeit laut LfDI Baden-Württemberg ist es, dass sich Dienstleister dahingehend vertraglich verpflichten, Übermittlungen in Drittländer zu unterbinden. Wie die Erfolgschancen bezogen auf Microsoft sind, konnten wir nicht recherchieren.
6.3. Verschlüsselung
Bei der im Punkt 4.3 beschriebenen Verschlüsselung sollten Sie sich die von Microsoft angebotene Verschlüsselung mit Kundenschlüssel anschauen. Hierbei verschlüsseln Sie die von Microsoft gehosteten Daten mit einer Verschlüsselung auf dessen Schlüssel nur Sie Zugriff haben. Des Weiteren können Sie mittels der Microsoft Information Protection ebenfalls Dateien und Dokumente automatisiert verschlüsseln lassen. Dadurch werden Dokumente oder E-Mails im Ruhezustand und auch während der Übertragung (z. B. eine E-Mail während der Übertragung über das Internet) verschlüsselt werden.
Auch eine Verschlüsselung mit Tools von Dritt-Dienstleistern – die sogar als Freeware angeboten werden – ist durchaus ein gangbarer Weg. Nach einer erfolgreichen Implementierung hat der Dienstleister Microsoft keine Möglichkeit die Daten einsehen zu können.
6.4. Kontakt mit dem jeweiligen Empfänger. Erweiterung der SCCs
Ähnlich wie im Punkt 6.2 können auch die Standardvertragsklauseln (SCCs) vertraglich erweitert werden. Je nach Ausgestaltung könnte so ein höhere Datenschutzniveau geschaffen werden. Auch hier ist bezüglich der Erfolgschancen für Microsoft 365 noch nichts bekannt.
Datenschutz-Folgenabschätzung
Um potentielle Gefährdungen von Rechten und Freiheiten der Betroffenen umfassend einschätzen zu können, ist unseres Erachtens eine Datenschutz-Folgenabschätzung gemäß Artikel 35 DSGVO unerlässlich. Nur durch dieses Werkzeug können Risiken, die für den Betroffenen durch den Einsatz einer bestimmten Technologie oder eines Systems durch eine Organisation entsteht effektiv erkannt und bewertet werden. Ziel der Datenschutzfolgenabschätzung ist es, Kriterien des Grundrechtsschutzes zu definieren, die Folgen von Datenverarbeitungspraktiken möglichst umfassend zu erfassen sowie objektiv und nachvollziehbar zu bewerten.
Bei der Umsetzung einer Datenschutzfolgenabschätzung sprechen Sie uns gerne an.
Weitere Schritte, um den Datenschutz bei Microsoft zu verbessern
- Erstellung und Übermittlung von Telemetriedaten für Office-Produkte und Windows deaktivieren
- Office-Einstellungen z. B. per Gruppenrichtlinieneditor datenschutzgerechter einstellen. Hierzu auch ein Link vom BSI, welche Einstellungen dies sein könnten.
- Adminseitiges Deaktivieren von MyAnalytics bzw. Workplace Analytics. Hierzu auch ein Link von Microsoft.
- Verzicht von „Office 365 online“ (Office im Browser), Office 365 Mobile und Connected Service von Microsoft. Die Datenschutzfolgenabschätzung des niederländischen Justizministeriums kam zu einem hohen Risiko bei diesen Diensten.
- Verzicht der Smartphone/Tablet-App „Outlook“ (ehem. OWA). Hier werden alle E-Mail-Passwörter an die Microsoft-Server gesendet.
- Verbundene Office-Erfahrungen deaktiveren. Hierbei werden Inhalte analysiert.
- Abwägung, ob als Benutzername im Microsoft-365-Konto nicht auch ein Pseudonym ausreichen würde.