US-Datentransfers bei Micro­soft 365

Tor­schluss­pa­nik bei der Datenschutzaufsicht?

Der daten­schutz­kon­for­me Ein­satz von Micro­soft 365 ist ein Ever­green der deut­schen Daten­schutz­auf­sichts­be­hör­den. Wäh­rend es um das hier­zu ein­ge­lei­te­te Prüf­ver­fah­ren der Daten­schutz­kon­fe­renz still gewor­den ist, schei­nen die Daten­über­mitt­lun­gen in die USA erneut in den Fokus der Behör­den zu rücken. So hat zuletzt bei­spiels­wei­se die rheinland-pfälzische Daten­schutz­auf­sichts­be­hör­de einen Ein­satz von Micro­soft 365 an Schu­len unter Beru­fung auf unzu­läs­si­ge Daten­über­mitt­lun­gen in die USA abge­lehnt. Obwohl die­se Bewer­tung mit Blick auf die aktu­el­le Rechts­la­ge und die ergrif­fe­nen Maß­nah­men von Micro­soft ver­wun­der­lich ist, han­delt es sich – wie unse­re Gesprä­che mit Behör­den­ver­tre­tern zei­gen – kei­nes­wegs um eine Einzelposition.

Micro­soft ist Datenexporteur!

Bei der Nut­zung von Micro­soft 365 ver­ar­bei­tet Micro­soft die Daten ent­spre­chend dem Auf­trags­ver­ar­bei­tungs­ver­trag. Wer­den Daten in die USA über­mit­telt, wird danach seit Sep­tem­ber 2021 jedoch nicht der Ver­ant­wort­li­che, son­dern Micro­soft Irland als Daten­ex­por­teur tätig. Ermög­licht wird die­ses daten­schutz­recht­li­che Kon­strukt durch die neu­en Stan­dard­ver­trags­klau­seln der EU-Kommission, die expli­zit die Mög­lich­keit einer Dritt­lands­über­mitt­lung zwi­schen Auf­trags­ver­ar­bei­tern vor­se­hen. Der Auf­trags­ver­ar­bei­tungs­ver­trag und die Stan­dard­ver­trags­klau­seln ver­pflich­ten Micro­soft, ein Trans­fer Impact Assess­ment (TIA) durch­zu­füh­ren und die Daten­schutz­kon­for­mi­tät der Dritt­lands­über­mitt­lung sicherzustellen.

Sekun­dä­re Prüf­pflicht beim Verantwortlichen

Ver­ant­wort­li­che, die Micro­soft 365 ein­set­zen, müs­sen eine sekun­dä­re Prüf­pflicht aus Art. 28 Abs. 1 DSGVO erfül­len. Die­ser ver­pflich­tet Ver­ant­wort­li­che, nur mit Auf­trags­ver­ar­bei­tern zusam­men­zu­ar­bei­ten, die hin­rei­chend Garan­tien dafür bie­ten, dass die DSGVO ein­ge­hal­ten wird. Als hin­rei­chen­de Garan­tien stellt Micro­soft zahl­rei­che Doku­men­te, wie z.B. ein White­pa­per zur Com­pli­an­ce bei Dritt­lands­über­mitt­lun­gen, einen Trans­pa­renz­be­richt und zahl­rei­che wei­te­re Infor­ma­tio­nen zur Ver­fü­gung. Dar­über hin­aus ver­fügt Micro­soft über prak­tisch alle rele­van­ten Zer­ti­fi­zie­run­gen für Cyber­si­cher­heit und Daten­schutz. Inso­weit kön­nen Ver­ant­wort­li­che grund­sätz­lich auf die Rich­tig­keit der Anga­ben von Micro­soft und die Ein­hal­tung der ver­trag­li­chen Ver­ein­ba­run­gen ver­trau­en. Eine Ein­sicht in das TIA von Micro­soft ist eben­so wenig erfor­der­lich wie die Vor­la­ge des TIA gegen­über einer deut­schen Daten­schutz­auf­sichts­be­hör­de. Letz­te­res wird von Behör­den­ver­tre­tern unse­rer Erfah­rung nach zwar immer wie­der ver­langt, ist jedoch nicht mit der Kom­pe­tenz­re­ge­lung der Stan­dard­ver­trags­klau­seln ver­ein­bar. Die Pflicht zur Vor­la­ge des TIA gegen­über der zustän­di­gen Auf­sichts­be­hör­de nach Klau­sel 14 lit. d) der SCC besteht für Micro­soft nur gegen­über der iri­schen Daten­schutz­auf­sichts­be­hör­de, die nach Klau­sel 13 lit. a) der SCC zustän­dig für die Über­wa­chung der Daten­schutz­kon­for­mi­tät der Dritt­lands­über­mitt­lung ist.

Tor­schluss­pa­nik?

Unab­hän­gig von der aus unse­rer Sicht kla­ren Rechts­la­ge ver­wun­dert es uns sehr, dass eini­ge Daten­schutz­auf­sichts­be­hör­den ihre Kri­tik aktu­ell so stark auf die Dritt­lands­über­mitt­lung bei Micro­soft 365 aus­rich­ten. Mit dem ange­kün­dig­ten “Trans-Atlantic Data Pri­va­cy Frame­work” als neu­em Ange­mes­sen­heits­be­schluss für Daten­über­mitt­lun­gen in die USA oder dem “EU Data Bounda­ry”, mit dem Micro­soft sei­ne Diens­te als aus­schließ­lich euro­päi­sche Lösung anbie­ten wird, hat sich das The­ma näm­lich vor­aus­sicht­lich Ende des Jah­res auf die eine oder ande­re Wei­se erledigt.

Was Ver­ant­wort­li­che tun sollten

Auch wenn die aktu­el­le Kri­tik eini­ger deut­scher Daten­schutz­auf­sichts­be­hör­den eher nach Tor­schluss­pa­nik klingt, soll­ten ins­be­son­de­re öffent­li­che Stel­len die Datenschutz-Compliance bei Micro­soft 365 und die damit ver­bun­de­ne Prü­fung der Dritt­lands­über­mitt­lung nicht auf die leich­te Schul­ter neh­men. Ver­ant­wort­li­che sind zwar nicht selbst Daten­ex­por­teu­re, müs­sen aber ihren Pflich­ten aus dem Auf­trags­ver­ar­bei­tungs­ver­hält­nis genü­gen und dies nach­wei­sen kön­nen. Wir emp­feh­len Ver­ant­wort­li­chen daher,

  • die Ver­trags­do­ku­men­te hin­rei­chend zu prüfen,
  • das aktu­el­le DPA zu unter­zeich­nen und
  • sich von den Garan­tien von Micro­soft zu über­zeu­gen und dies zu dokumentieren.
zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.