Jeder kennt sie, jeder nutzt sie – Microsoft-Anwendungen. Doch wie lassen sie sich datenschutzkonform einsetzen?
Office, Windows, Teams und Co. – die Anwendungen von Microsoft sind in Unternehmen aufgrund ihrer Funktionalitäten weit verbreitet. Die Nutzung dieser Anwendungen wird jedoch insbesondere von deutschen Datenschutzaufsichtsbehörden immer wieder infrage gestellt. Wie Unternehmen hierauf reagieren können, zeigt dieser Beitrag auf.
Ob Arbeitnehmer, Kunden oder Geschäftspartner – in Microsofts Cloudlösungen werden jeden Tag eine Vielzahl von personenbezogenen Daten aller Art verarbeitet. Insbesondere die deutschen Behörden sind dabei aber der Ansicht, dass der Einsatz dieser Anwendungen kritisch sei. So mangele es u. a. an Transparenz: Microsoft informiere Nutzer nicht ausreichend über die einzelnen Datenverarbeitungen und datenschutzrechtlichen Verantwortlichkeiten. Auch der mögliche Datentransfer in die USA wird wiederholt bemängelt. Nicht zuletzt sei bei manchen Datenverarbeitungen nicht ersichtlich, warum diese überhaupt stattfänden. Die Aufsichtsbehörden fordern daher, dass Unternehmen und öffentliche Stellen die Datenverarbeitungen über Microsoft-Anwendungen hinsichtlich der datenschutzrechtlichen Anforderungen im Einzelfall genau prüfen.
Diese Prüfung erfolgt durch eine sogenannte Datenschutzfolgenabschätzung nach Art. 35 Datenschutzgrundverordnung (DSGVO). Dabei werden die relevanten Datenverarbeitungen sowie technische und organisatorische Maßnahmen erfasst, untersucht und hinsichtlich ihres Risikos eingeordnet. Besonders relevant ist die Abwägung der Interessen der Betroffenen mit den Interessen des Unternehmens an Durchführung bzw. Nichtdurchführung der Datenverarbeitung. Hierzu müssen u. a. die Risiken der Datenverarbeitungen für die Betroffenen und die Maßnahmen zur Minderung dieser Risiken geprüft werden.
Nur wenn eine solche Prüfung ergibt, dass ein niedriges Risiko für die personenbezogenen Daten von Betroffenen besteht, darf eine Microsoft-Anwendung genutzt werden. Verbleibt ein hohes Risiko für die Betroffenen, müssen weitere Maßnahmen zur Reduzierung der Risiken ergriffen werden. Können keine ausreichenden Maßnahmen ergriffen werden, darf die Datenverarbeitung nicht durchgeführt bzw. die Microsoft-Anwendung nicht genutzt werden. Die Datenschutzfolgenabschätzung dient somit der Einschätzung und Dokumentation der Zulässigkeit einer Datenverarbeitung – aufgrund der andauernden Kritik der Datenschutzaufsichtsbehörden ist es daher für Unternehmen in allen Größen und Branchen überaus ratsam, die Durchführung in Betracht zu ziehen.
Microsoft-Anwendungen verarbeiten große Datenmengen – Datenschutzfolgenabschätzungen helfen, dies zu erfassen und einzuordnen
Bei der Durchführung einer Datenschutzfolgenabschätzung sind im Zusammenhang mit Microsoft-Anwendungen u. a. folgende Themen zu beachten:
Die sogenannten Telemetriedaten sollten in der Datenschutzfolgenabschätzung besonders präzise untersucht werden. Dabei handelt es sich um Daten, die von Microsoft automatisch bei Nutzung der Anwendungen gesammelt und verarbeitet werden (z. B. zur Kompatibilität, Problemerkennung und -behebung u. Ä.). Dabei ist zu beachten, ob die Verarbeitung solcher Daten überhaupt aktiviert ist und, falls ja, in welchem Umfang – hier bestehen je nach Anwendung unterschiedliche Einstellungsmöglichkeiten. Darüber hinaus muss festgestellt werden, welche Verarbeitungen durch Microsoft als Auftragsverarbeiter oder in eigener Verantwortlichkeit erfolgen, da Microsoft sich vorbehält, bestimmte Daten für eigene Zwecke (z. B. zur Abrechnung) zu verarbeiten.
Ähnliches gilt für die (Optional) Connected Experiences (z. B. Rechtschreibkorrektur, Wetterdienste u. Ä.). Microsoft gibt hier ebenfalls an, für bestimmte Dienste nicht als Auftragsverarbeiter, sondern unmittelbar als eigener Verantwortlicher zuständig zu sein. Dies gilt insbesondere für die Optional Connected Experiences, deren Einsatz in einer Datenschutzfolgenabschätzung daher gesondert betrachtet werden sollte.
Ein weiterer kritischer Punkt ist die Möglichkeit von Drittlandtransfers, das heißt von Datenübermittlungen in Länder außerhalb des EWR, die nicht über ein angemessenes Datenschutzniveau verfügen, insbesondere in die USA. Denn dort würden u. a. Betroffenenrechte mangels Informationspflichten und Rechtsbehelfen nicht ausreichend beachtet. Microsoft bietet hier jedoch inzwischen u. a. eine sogenannte „EU Data Boundary“ an. Darüber soll sichergestellt werden, dass Microsoft bzw. US-Behörden tatsächlich keinen Zugriff auf in der EU gespeicherte Daten erhalten. Es dürfte für Unternehmen ratsam sein, diese Option mittelfristig umzusetzen, um Datentransfers weiter abzusichern. Daneben bestehen weitere vertragliche und tatsächliche Anhaltspunkte, die die mögliche Datenübermittlung in die USA weniger risikobehaftet erscheinen lassen.
Nicht nur bei den Telemetriedaten oder den (Optional) Connected Experiences, sondern auch in den einzelnen Microsoft-Anwendungen sowie den zentralen Konfigurationsplattformen sollten die Einstellungen überprüft, dokumentiert und möglichst datenschutzfreundlich ausgestaltet werden (z. B. durch Reduzierung/Deaktivierung der verarbeiteten Telemetriedaten). Insbesondere sollte bei einem Einsatz mehrerer ineinandergreifender Microsoft-Anwendungen darauf geachtet werden, dass die Berechtigungen und Konfigurationen sich nicht widersprechen und gegebenenfalls gegenseitig aufheben oder überschreiben. Aber auch aus organisatorischer Sicht besteht häufig Prüfungsbedarf: Datenschutzinformationen, Verarbeitungsverzeichnisse und Betriebsvereinbarungen sollten gesichtet und bei Bedarf angepasst, Prozesse zur Prüfung und Freigabe von Datenverarbeitungen und Microsoft-Anwendungen überprüft und ggf. aktualisiert bzw. eingeführt werden.
Bei Microsoft Teams ist noch eine weitere Besonderheit zu beachten: Telekommunikationsdaten. Auch hier muss festgestellt werden, welche Datenverarbeitungen und Kommunikationsvorgänge von Microsoft in eigener Verantwortlichkeit als Telekommunikations-Anbieter durchgeführt werden und in welchen Fällen das Unternehmen verantwortlich ist. Zu klären ist dann auch, inwiefern Unternehmen gegebenenfalls telekommunikationsrechtliche Vorgaben (z.B. Fernmeldegeheimnis) beachten müssen.
Die Einführung der Datenschutzgrundverordnung ist mittlerweile auch schon fünf Jahre her.
Zusammenfassend lässt sich festhalten, dass Unternehmen dringend zu empfehlen ist, eine Datenschutzfolgenabschätzung für Microsoft-Anwendungen durchzuführen, um den Einsatz dieser Anwendungen abzusichern. Erfolgt eine Prüfung der kritischen Aufsichtsbehörden oder eine Anfrage von Betroffenen oder Auftraggebern, lässt sich so unmittelbar demonstrieren, dass man Risiken erkannt, überprüft und idealerweise mit zusätzlichen technischen und organisatorischen Maßnahmen weiter reduziert hat.
Dabei können, abhängig von der Anzahl eingesetzter Dienste oder auch den Anforderungen der Branche (z. B. im Bereich kritischer Infrastrukturen), unterschiedliche Bereiche und/oder Dienste bei der Risikoabwägung priorisiert und der Aufwand kann entsprechend gesteuert werden. Gleichzeitig können durch die Datenschutzfolgenabschätzung Synergie-Effekte gehoben werden. Die regelmäßig sehr aufwendige Aufklärung des technischen Sachverhaltes, insbesondere der konkreten Datenverarbeitungsprozesse, sollte der Anlass für eine Aktualisierung bzw. Ergänzung des Verarbeitungsverzeichnisses sein.
Auch Beziehungen zu Subunternehmern, internationale Datentransfers sowie technische und organisatorische Maßnahmen (einschließlich der Konfiguration der Microsoft-Anwendungen) können so noch einmal auf den Prüfstand gestellt werden. Dies bietet sich umso mehr an, als die Einführung der DSGVO inzwischen fünf Jahre her ist und sich in der Zwischenzeit diverse neue Best Practices entwickelt haben.
Bei einer unzulässigen Nutzung von Microsoft-Anwendungen drohen neben den potenziell hohen Bußgeldern der DSGVO auch Untersagungsanordnungen der Aufsichtsbehörden. Eine Nutzung der jeweiligen Microsoft-Anwendung müsste dann eingestellt werden und würde höchstwahrscheinlich den gesamten Geschäftsbetrieb zum Erliegen bringen. Allerdings wurden diese strengen Maßnahmen bisher gegenüber Unternehmen im Zusammenhang mit Microsoft noch nicht angeordnet – es bleibt zu hoffen, dass die Aufsichtsbehörden diesbezüglich auch weiterhin mit Maß vorgehen. Um dem entgegenzuwirken, kann eine Datenschutzfolgenabschätzung helfen und gegenüber der Aufsicht und Dritten die Nutzung der Microsoft-Anwendungen rechtfertigen.
Gastautoren:
Luther Rechtsanwaltsgesellschaft mbH
Da die Stadt Köln mehr als 100.000 Einwohnerinnen und Einwohner hat, muss die Stadt laut…
Neben die digitalisierte Büroimmobilie The Ship und die Alte Wagenfabrik wird eine neue digitalisierte Büroimmobilie…
Der ehemalige Güterbahnhof, einst das industrielle Herz der Stadt Gütersloh, lag seit Ende der 90er…
Erfreuliche Nachrichten aus der Tourismusbranche, denn laut Statistischem Landesamt IT.NRW konnte Köln im Jahr 2023…
Köln hat ein neues Museumsquartier. Durch den Umzug des Kölnischen Stadtmuseums am 23. März 2024…
Im Wirtschaftsraum Köln ist der Digital Hub Cologne (DHC) ein guter Ansprechpartner für den Mittelstand…
Mit der Nutzung unseres Online-Angebotes erklären Sie sich damit einverstanden, dass wir Cookies verwenden. Informationen zum Datenschutz finden Sie auf unserem Impressum und in der Datenschutzerklärung.