US-Datentransfers bei Microsoft 365

Stefan Hessel

Torschlusspanik bei der Datenschutzaufsicht?

Der datenschutzkonforme Einsatz von Microsoft 365 ist ein Evergreen der deutschen Datenschutzaufsichtsbehörden. Während es um das hierzu eingeleitete Prüfverfahren der Datenschutzkonferenz still geworden ist, scheinen die Datenübermittlungen in die USA erneut in den Fokus der Behörden zu rücken. So hat zuletzt beispielsweise die rheinland-pfälzische Datenschutzaufsichtsbehörde einen Einsatz von Microsoft 365 an Schulen unter Berufung auf unzulässige Datenübermittlungen in die USA abgelehnt. Obwohl diese Bewertung mit Blick auf die aktuelle Rechtslage und die ergriffenen Maßnahmen von Microsoft verwunderlich ist, handelt es sich – wie unsere Gespräche mit Behördenvertretern zeigen – keineswegs um eine Einzelposition.

Microsoft ist Datenexporteur!

Bei der Nutzung von Microsoft 365 verarbeitet Microsoft die Daten entsprechend dem Auftragsverarbeitungsvertrag. Werden Daten in die USA übermittelt, wird danach seit September 2021 jedoch nicht der Verantwortliche, sondern Microsoft Irland als Datenexporteur tätig. Ermöglicht wird dieses datenschutzrechtliche Konstrukt durch die neuen Standardvertragsklauseln der EU-Kommission, die explizit die Möglichkeit einer Drittlandsübermittlung zwischen Auftragsverarbeitern vorsehen. Der Auftragsverarbeitungsvertrag und die Standardvertragsklauseln verpflichten Microsoft, ein Transfer Impact Assessment (TIA) durchzuführen und die Datenschutzkonformität der Drittlandsübermittlung sicherzustellen.

Sekundäre Prüfpflicht beim Verantwortlichen

Verantwortliche, die Microsoft 365 einsetzen, müssen eine sekundäre Prüfpflicht aus Art. 28 Abs. 1 DSGVO erfüllen. Dieser verpflichtet Verantwortliche, nur mit Auftragsverarbeitern zusammenzuarbeiten, die hinreichend Garantien dafür bieten, dass die DSGVO eingehalten wird. Als hinreichende Garantien stellt Microsoft zahlreiche Dokumente, wie z.B. ein Whitepaper zur Compliance bei Drittlandsübermittlungen, einen Transparenzbericht und zahlreiche weitere Informationen zur Verfügung. Darüber hinaus verfügt Microsoft über praktisch alle relevanten Zertifizierungen für Cybersicherheit und Datenschutz. Insoweit können Verantwortliche grundsätzlich auf die Richtigkeit der Angaben von Microsoft und die Einhaltung der vertraglichen Vereinbarungen vertrauen. Eine Einsicht in das TIA von Microsoft ist ebenso wenig erforderlich wie die Vorlage des TIA gegenüber einer deutschen Datenschutzaufsichtsbehörde. Letzteres wird von Behördenvertretern unserer Erfahrung nach zwar immer wieder verlangt, ist jedoch nicht mit der Kompetenzregelung der Standardvertragsklauseln vereinbar. Die Pflicht zur Vorlage des TIA gegenüber der zuständigen Aufsichtsbehörde nach Klausel 14 lit. d) der SCC besteht für Microsoft nur gegenüber der irischen Datenschutzaufsichtsbehörde, die nach Klausel 13 lit. a) der SCC zuständig für die Überwachung der Datenschutzkonformität der Drittlandsübermittlung ist.

Torschlusspanik?

Unabhängig von der aus unserer Sicht klaren Rechtslage verwundert es uns sehr, dass einige Datenschutzaufsichtsbehörden ihre Kritik aktuell so stark auf die Drittlandsübermittlung bei Microsoft 365 ausrichten. Mit dem angekündigten "Trans-Atlantic Data Privacy Framework" als neuem Angemessenheitsbeschluss für Datenübermittlungen in die USA oder dem "EU Data Boundary", mit dem Microsoft seine Dienste als ausschließlich europäische Lösung anbieten wird, hat sich das Thema nämlich voraussichtlich Ende des Jahres auf die eine oder andere Weise erledigt.

Was Verantwortliche tun sollten

Auch wenn die aktuelle Kritik einiger deutscher Datenschutzaufsichtsbehörden eher nach Torschlusspanik klingt, sollten insbesondere öffentliche Stellen die Datenschutz-Compliance bei Microsoft 365 und die damit verbundene Prüfung der Drittlandsübermittlung nicht auf die leichte Schulter nehmen. Verantwortliche sind zwar nicht selbst Datenexporteure, müssen aber ihren Pflichten aus dem Auftragsverarbeitungsverhältnis genügen und dies nachweisen können. Wir empfehlen Verantwortlichen daher,

  • die Vertragsdokumente hinreichend zu prüfen,
  • das aktuelle DPA zu unterzeichnen und
  • sich von den Garantien von Microsoft zu überzeugen und dies zu dokumentieren.

[Juli 2022]