Wenn es um den Datenschutz bei Microsoft 365 geht, wird neben Datentransfers in die USA häufig auch die Verarbeitung von Telemetrie- und Diagnosedaten kritisiert. Gelegentlich wird dabei sogar behauptet, dass das Datenschutzrecht Microsoft verbiete, Daten zu eigenen Geschäftszwecken zu nutzen. Dieses FAQ soll mit solchen Mythen aufräumen und Verantwortliche, die Microsoft 365 nutzen oder eine Einführung planen, bei einem datenschutzkonformen Einsatz unterstützen.
- Was sind Telemetrie- und Diagnosedaten?Telemetriedaten sind alle Daten, die per Fernmessung erhoben werden und trotz einer Pseudonymisierung Informationen enthalten können, die einen einzelnen Nutzer identifizieren. Daher handelt es sich zumindest teilweise um personenbezogene Daten. Ein Teil der Telemetriedaten sind Diagnosedaten, die Informationen über die eingesetzten Geräte und die Perfomance der genutzten Anwendungen enthalten. Zu unterscheiden ist zwischen optionalen und wesentlichen Diagnosedaten. Während die Verarbeitung von optionalen Diagnosedaten durch den Kunden deaktiviert werden kann, ist dies bei notwendigen Diagnosedaten für wesentliche Dienste („Essential Services“) nicht möglich. Insbesondere die notwendigen Diagnosedaten stehen daher im Fokus der datenschutzrechtlichen Kritik.
- Zu welchen Zwecken verarbeitet Microsoft diese Daten?Nach dem Data Protection Addendum (DPA) verarbeitet Microsoft die Daten für eigene Geschäftstätigkeiten. Hierunter fallen insbesondere die Abrechnungs- und Kontoverwaltung, die Vergütung, die interne Berichterstattung und Geschäftsmodellierung, sowie die Finanzberichterstattung. In einer Stellungnahme vom 11. August 2022 stellt Microsoft explizit klar: „Diagnosedaten sind notwendig, um Produkte und Dienste sicher und stabil zu betreiben.“
- Verstößt Microsoft mit der Datenverarbeitung gegen den Vertrag zur Auftragsverarbeitung?Nein. Die Datenverarbeitung bei Einsatz von Microsoft 365 sowie die Datenverarbeitung zu eigenen Geschäftstätigkeiten sind getrennte Verarbeitungsvorgänge, die nach der Rechtsprechung des EuGH einzeln zu betrachten sind. Mit dem DPA stellen die Parteien klar, dass Microsoft bezüglich der Verarbeitung zu eigenen Geschäftstätigkeiten als Verantwortlicher tätig wird und dieser Verarbeitungsvorgang kein Gegenstand der Auftragsverarbeitung ist. Das DPA ist kein reiner Auftragsverarbeitungsvertrag, sondern enthält darüber hinaus weitere Informationen und Erklärungen zum Datenschutz. Unserer Ansicht nach trägt Microsoft damit auch der Kritik der Datenschutzkonferenz (DSK) an unklaren datenschutzrechtlichen Verantwortlichkeiten Rechnung und beugt möglichen Missverständnissen vor.
- Ist Microsoft allein verantwortlich oder liegt eine gemeinsame Verantwortlichkeit vor?Voraussetzung einer gemeinsamen Verantwortlichkeit ist die gemeinsame Festlegung der Zwecke und Mittel einer Verarbeitung, was zum Teil aufgrund der Vereinbarung des DPA bejaht wird. Öffentlich wurde diese Ansicht bisher nur in der Datenschutzfolgenabschätzung (DSFA) zu Office 365 ProPlus des niederländischen Justizministeriums von Juni 2019 bezüglich der alten Microsoft-Verträge angenommen. In der DSFA zu Microsoft Teams, OneDrive, SharePoint und Azure AD von 2022 vertritt das niederländische Justizministerium die Auffassung jedoch nur noch in deutlich abgeschwächter Form. Die DSK hingegen bejaht in ihrem Positionspapier von 2020 eine Alleinverantwortlichkeit von Microsoft. Für eine alleinige Verantwortlichkeit von Microsoft spricht außerdem eine Handreichung der Datenschutzaufsicht Nordrhein-Westfalen zu Online-Prüfungen an Hochschulen. Darin vertritt die Behörde, dass die Verarbeitung von Transport- und Metadaten bei sogenannten Misch-Diensten (z.B. Videokonferenzdiensten mit einem Dokumentenverwaltungssystem) keine Auftragsverarbeitung ist, sondern der alleinigen Verantwortlichkeit des Diensteanbieters und dem Fernmeldegeheimnis unterfällt. In einem Muster-Schreiben der Datenschutzaufsicht Baden-Württemberg zu Microsoft Office 365 lässt die Behörde die Frage der Verantwortlichkeiten ausdrücklich offen. Eine einheitliche Linie der deutschen und europäischen Datenschutzaufsichtsbehörden ist derzeit nicht wahrnehmbar.
- Erfolgt eine Offenlegung der Daten gegenüber Microsoft?Dies ist ebenfalls umstritten. Teilweise wird jedoch vertreten, dass eine Offenlegung bereits vorliegen soll, weil der Kunde die Datenverarbeitung durch Microsoft nicht unterbindet und damit passiv eine Gelegenheit zur Datenerhebung durch Microsoft eröffnet. Dieser Argumentation scheint, wenn auch ohne weitere Begründung das Musterschreiben der Datenschutzaufsicht Baden-Württemberg sowie das Positionspapier der DSK zu folgen. Nach vorzugswürdiger Ansicht ist für eine Offenlegung jedoch ein aktives Tun des Verantwortlichen erforderlich, sodass die bloße Gelegenheit für eine Datenerhebung durch Microsoft noch keine Offenlegung durch Kunden begründet. Das Konzept einer Datenverarbeitung durch Unterlassen ist der DSGVO fremd und als systemwidrig abzulehnen.
- Wenn man eine Offenlegung annimmt, was ist die Rechtsgrundlage?Während Unternehmen und andere nichtöffentliche Stellen eine Offenlegung auf ein berechtigtes Interesse stützen könnten, ist dies öffentlichen Stellen verwehrt. Letztere könnten sich allenfalls auf die erforderliche Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt, berufen. Die Aufsichtsbehörden tendieren dazu, dies mit einem pauschalen Verweis auf alle in dem DPA genannten Geschäftstätigkeiten von Microsoft abzulehnen. Richtigerweise muss jedoch eine differenzierte Beratung im Hinblick auf die einzelnen Geschäftstätigkeiten erfolgen.
Praxisempfehlung
Microsoft 365 ist technisch äußerst komplex und bietet vielfältige Möglichkeiten zur Verarbeitung von personenbezogenen Daten. Eine pauschale Aussage zur Datenschutzkonformität ist daher nicht möglich. Es ist vielmehr abhängig von der individuellen Nutzung zu prüfen, zu welchen Zwecken personenbezogene Daten mit Microsoft 365 verarbeitet werden und welche Rechtsgrundlagen jeweils für die Verarbeitung herangezogen werden können. Ausgehend von der individuellen Nutzung sollten außerdem mögliche Risiken für den Datenschutz und geeignete Abhilfemaßnahmen identifiziert und umgesetzt werden. Wir haben mit diesem Vorgehen in zahlreichen Umsetzungsprojekten sehr gute Erfahrungen gemacht.