(aktualisiert am 8.5.2023)
Ein spannendes Thema, bei dem man sich endlos in Details vertiefen kann und wo es keine einfachen Antworten gibt.
Die Frage, ob Office 365 DSGVO konform ist ist schon mal die falsche Frage – ob Microsoft mit Office 365 ein Datenverarbeiter ist, der alle Anforderungen, die die DSGVO an Datenverarbeiter stellt, erfüllt, ist da schon die bessere Frage.
Eine Antwort darauf werde ich hier nicht geben. Aus einem simplen Grund: Fragen Sie 3 Juristen diese Frage und Sie bekommen 5 Antworten. Wichtig ist auch nicht, was ich darüber denke.
Sie müssen das Risiko als Geschäftsführer bzw. Datenschutzverantwortlicher im Unternehmen bewerten, wenn Sie Office 365 einsetzen und die Entscheidung darüber treffen. Die Datenschutzbehörde wird sich mit dem “Der Decker hat gsagt, das geht eh” nicht wirklich abspeisen lassen (Gerüchteweise…)
Das, was ich liefern kann, sind Fakten und Links, die für diese Entscheidung hilfreich sein können.
Zuerst mal,
wo sind die rechtlich bindenden Vertragsgrundlagen zu finden, auf deren Basis Sie diese Entscheidung treffen müssen ?
Hier gibt es die Product Terms – hier sind Lizenz Bedingungen und Ähnliches zu finden.
Und dann die Online Services Terms (OST) – das ist die rechtliche Grundlage zur Nutzung der Online-Dienste. Die OST sind mittlerweile in die Product Terms integriert worden.
Und als Anhang zu den Online Service Terms gibt es die Datenschutzbestimmungen für Onlinedienste (Data Protection Addendum, DPA) die die Datenschutzbestimmungen beinhalten – einfach zu finden unter https://aka.ms/dpa .
Letztere sind für die DSGVO-Belange wesentlich.
Die aktuellen und archivierten Dokumente sind hier zu finden: https://rebrand.ly/derdecker-ost
Welche nationalen und internationalen Zertifizierungen hat Office 365 eigentlich ?
Eine Übersicht, die ich immer wieder stundenlang suchen muss…
Dabei ist sie so beeindruckend…
Hier der Link zum schneller finden:
https://rebrand.ly/derdecker-o365zertifizierungen
Wo liegen meine Daten ?
Auch eine Frage, die immer wieder kommt – hier die genaue Beschreibung
Datenspeicherorte für die Europäische Union – Microsoft 365 Enterprise | Microsoft Docs
Kann die (amerikanische) Regierung auf meine Daten in Office 365 zugreifen ?
Grundsätzlich können staatliche Institutionen durch Strafverfolgungsanfragen Daten bei einem Datenverarbeiter anfragen. Dies trifft grundsätzlich auf jeden Datenverarbeiter zu, egal in welchem Land er sich befindet und widerspricht nicht der DSGVO.
Microsoft veröffentlicht regelmäßig einen Bericht über die Anzahl und Art dieser Anfragen und aus welchen Ländern diese Anfragen gestellt werden.
Der Bericht ist hier zu finden: https://rebrand.ly/derdecker-law-enforcement
In Amerika gibt es die spezielle Situation, die es dem U.S. Government erlaubt, auf Basis der „Section 702 of the Foreign Intelligence Surveillance Act (FISA) (50 U.S.C. § 1881a)“ Daten von einem amerikanischen Datenverarbeiter anzufordern, ohne das es dafür ein Rechtshilfeabkommen mit der EU gibt bzw. eine rechtliche Einspruchsmöglichkeit durch den Kunden.
Diesen Umstand hat der EuGH in seinem letzten Urteil auch dediziert erwähnt und als nicht im Einklang mit der DSGVO gesehen. Microsoft hat hier das grundsätzliche Problem, das sie sich aussuchen können, welche Gesetze sie brechen – erteilt Microsoft die Auskunft, brechen sie EU-Gesetze, verweigern sie die Auskunft, brechen sie amerikanische Gesetze.
Über die Bemühungen Microsofts, diesem Dilemma zu entgehen, wurde schon viel geschrieben und könnte man noch viel mehr schreiben – nachdem ich weder Datenschutzexperte noch Jurist bin, erspare ich mir das.
In der letzten DPA verpflichtet sich Microsoft allerdings vertraglich (im Anhang C), dieses Risiko mit allen Mitteln, die Microsoft zur Verfügung stehen, zu minimieren. Dh MS verpflichtet sich, Anordnungen zur Offenlegung von Daten anzufechten und sollte ein Kunde einen materiellen oder immateriellen Schaden durch diese Offenlegung erleiden, diesen zu ersetzen.
Beides sind wichtige organisatorische Maßnahmen des Datenverarbeiters, diese Risken zu minimieren.
Auf Kundenseite kann das Risiko dieses Zugriffes auch bewertet werden. Hierzu gibt es von Microsoft Reports, die diese 2 x im Jahr veröffentlichen dürfen, die die Anzahl und Art der Anforderungen durch die US Behörden nach FISA und NSL darlegen.
Zu finden hier: https://rebrand.ly/derdecker-fisareport
Schauen wir uns die Zahlen kurz mal an:
Diese Reports gibt es immer 1 Jahr nach dem betroffenen 6 Monaten.
Im zweiten Halbjahr 2021 gab es bei den FISA – Orders unter 500 Anfragen auf Kundendaten, die zwischen 12.500 und 12.999 Accounts betroffen haben.
Die Anfragen unter dem National Security Letters (NSL) betreffen gar keine Inhaltsdaten, sondern nur Verbindungsdaten – und hier waren es ebenfalls in den 6 Monaten unter 500 und mit weniger als 1000 betroffenen Accounts.
Das bedeutet auf den Monat runtergerechnet 84 Anfragen an Daten, die 2.167 Accounts betroffen haben. Weltweit. Account bedeutet hier Betroffene – dh identifizierbare Personen. Microsoft hat ca. 382 Millionen „daily active Users“ in Office 365 (Quelle)
Dh es werden pro Halbjahr Daten von 0,0034 % der User angefordert. (Falls ich mich nicht verrechnet habe: 12.999 betroffene Accounts / 382.000.000 )
Wie hoch damit das Risiko ist, das personenbezogene Daten aus ihrem Tenant DSGVO-widrig übermittelt werden, müssen Sie beurteilen.
Ist das Risiko aus ihrer Sicht zu hoch, gibt es keinen Plan B für die Nutzung von Office 365.
Fazit und wichtiger Disclaimer
Zuerst der Disclaimer:
Ich bin, wie schon erwähnt, kein Jurist, kein Datenschutzexperte und keine offizielle Stelle. Meine Aufgabe ist es, diesen Personen Informationen und Fakten zur Verfügung zu stellen, damit diese qualifizierte Entscheidungen treffen können.
Freue mich auch über Feedback zu Dingen, die ich übersehen habe oder hier falsch dargelegt habe.
(und eigentlich habe ich diesen Blogartikel nur geschrieben, weil ich diese Informationen in meinen Beratungsgesprächen immer wieder suche )
Direkter Link zu den Datenschutzbestimmungen: https://aka.ms/DPA
Auf „German“ umstellen und das neueste Dokument ist es dann.
Hallo Christian,
hier spricht jetzt mal ein Datenschutzbeauftragter … und als solcher kann ich zu deinen Ausführungen nur sagen „100% d’accord“.
Meine Datenschutzkollegen machen häufig einen von zwei Fehlern:
(1) Sie machen gar keine Risikobetrachtung
Ich halte meinen Kollegen mal zu Gute, das sie nicht wissen, wo sie Daten für eine solche herbekommen sollen … oder den Aufwand scheuen, sich diese verlässlichen Daten vom MS zu beschaffen.
(2) Sie machen eine Risikobetrachtung für den einzelnen Betroffenen …
… und ignorieren die Wahrscheinlichkeit, dass es diesen einzelnen Betroffenen überhaupt treffen kann. Abhängig davon, welche Daten tatsächlich im MS365 gespeichert werden, kann für den einzelnen Betroffenen natürlich ein hohes Risiko herauskommen.
Beide Herangehensweise führen dann fast zwangsläufig zu der Einschätzung „M$ ist böösäää!“