NEWS 06.11.2020
Können Unternehmen MS Office 365 nach dem Urteil „Schrems II“ noch verwenden? Lässt sich die Cloud Lösung im Einklang mit der Datenschutz-Grundverordnung
verwenden?“
06. November 2020, secriso Consulting
Grundlegend war der Gegenstand der Prüfung die Einhaltung der vertraglichen Anforderungen gem Art 28 Abs 3 DSGVO durch Microsoft Office 365. Der Art 28 Abs 3 DSGVO enthält alle vertraglichen Anforderungen, die eine Auftragsverarbeitervereinbarung von einem Verantwortlichen und einem Auftragsverarbeiter enthalten muss. Beispielsweise zu welchem Zweck und in welchem Umfang der Auftragsverarbeiter verpflichtet wird - aufgrund der Weisungen des Verantwortlichen - dessen personenbezogene Daten zu verarbeiten. Bei der Datenübermittlung von personenbezogenen Daten an einen Auftragsverarbeiter handelt es sich um eine Offenlegung, die laut DSGVO unter den Begriff der „Verarbeitung“ (gem Art 4 Z 2 DSGVO) fällt und somit der datenschutzrechtliche Schutz der Betroffenen gewahrt werden muss.
In der Stellungnahme der DSK wird insbesondere darauf Bezug genommen, dass einerseits laut den Online Service Terms (OST) von Microsoft nicht klar ist, welche personenbezogene Daten verarbeitet werden, welche Löschfristen für die unterschiedlichen Datenschutzkategorien eingehalten werden und ob Sub-Auftragsverarbeiter herangezogen werden.
Der wohl aber bedeutendste Punkt der DSK ist, dass Microsoft nicht hinreichend konkretisiert, wann und aufgrund welcher Grundlage US-Behörden in bestimmten Fällen auf die personenbezogenen Daten von EU-Bürgen, die bei Office 365 gespeichert werden, Zugriff haben. In der allgemeinen Datenschutzerklärung wird lediglich darauf hingewiesen, dass das Weisungsrecht des Verantwortlichen ausgehebelt wird, wenn es nationale Gesetze gibt, die vorsehen, dass Behörden auf Daten zugreifen dürfen. Ein Beispiel dafür ist der Cloud-Act (Clarifying Lawful Overseas Use of Data Act) der USA. Der Grundsatz der “Transparenz” wird durch diese Erklärung von Microsoft wohl nicht den Anforderungen der DSGVO entsprechen.
Trotz alledem ist die Stellungnahme einigermaßen zahnlos. Einerseits weil die DSK veraltete Terms von Microsoft als Prüfungsdokumente herangezogenen hat (Vertragsbestimmungen aus dem Januar 2020, die schon wieder überarbeitet wurden) und andererseits, weil es keine eindeutige Aussage gibt, ob man aus datenschutzrechtlicher Sicht Office 365 bedenkenlos verwenden kann. Darüber hinaus wurde Microsoft zu den Vorwürfen nie gehört. Von Microsoft wurde auf diese Stellungnahme entgegnet, dass man bereit wäre mit der DSK in einen Dialog zu treten. Aber auch wenn diese Stellungnahme keine unmittelbaren Wirkungen für Behörden oder Gerichte hat, so muss man sich als Verantwortlicher mit den datenschutzrechtlichen Themen, insbesondere mit der Rechtmäßigkeit der Datenübermittlung ins Drittland im Zusammenhang mit MS Office 365 auseinandersetzen. Die Geldbußen, die in einem solchen Fall verhängt werden können, sind einfach sehr empfindlich, somit sollte jedes Unternehmen seiner Prüfpflicht unbedingt nachkommen und nur Dienstleister heranziehen, die die Schutzmaßnahmen für personenbezogene Daten auch DSGVO konform umsetzen.
Wenn Sie mehr über eine rechtskonforme Datenübermittlung ins Drittland erfahren wollen
und was das Urteil „Schrems II“ für Auswirkungen auf Dienstleister im Drittland hat,
lesen Sie unseren aktuellen Newsartikel „EuGH kippt EU-US Privacy Shield“ !
Bitte hervorheben und auf den entsprechenden Newsartikel verlinken.
Was muss vom Verantwortlichen bei einer Beauftragung von Auftragsverarbeitern beachtet werden?
-
Prüfung: Welche personenbezogenen Daten werden dem Auftragsverarbeiter offengelegt? Handelt es sich um besondere Kategorien personenbezogener Daten? Werden hinreichende technische und organisatorische Maßnahmen zum Schutz der Daten vom Auftragsverarbeiter sichergestellt? Kommen Sie ihrer PRÜFPFLICHT nach!
-
In welchem Land werden die personenbezogenen Daten vom Auftragsverarbeiter verarbeitet? Handelt es sich um ein Drittland?
-
Können geeignete Garantien für die Datenübermittlung ins Drittland vorgewiesen werden? ZB Standarddatenschutzklauseln, Angemessenheitsbeschluss, Verbindliche Verhaltensregeln etc.?
-
Stützen Sie sich auf das EU/US Privacy Shield? Oder verweist der Auftragsverarbeiter in seiner Datenschutzerklärung auf das EU/US Privacy Shield? ACHTUNG! Durch das Schrems II Urteil des EuGHs wurde das EU/US Privacy Shield für unzulässig erklärt. Eine Datenübermittlung die sich darauf beruft ist rechtswidrig! Prüfen Sie auch alle bestehenden Dienstleisterverträge.
-
Wollen Sie sich auf die Standarddatenschutzklauseln stützen und planen eine Datenübermittlung in die USA? ACHTUNG! Im Zusammenhang mit den USA sollte dies unbedingt vermieden werden, durch den nationalen Cloud-Act ist es US Sicherheitsbehörden erlaubt auf personenbezogene Daten von EU-Bürgern zuzugreifen. Der EuGH weist ausdrücklich im Urteil darauf hin, dass dies keine geeignete Garantie zum Schutz der Daten darstellt.
-
Wollen Sie sich auf einen Angemessenheitsbeschluss stützen? Prüfen Sie, welche Verarbeitung vom Angemessenheitsbeschluss umfasst ist. Möglicherweise ist die Datenübermittlung durch Offenlegung nicht davon ausgenommen.
-
Werden vom Auftragsverarbeiter weitere Sub-Auftragsverarbeiter herangezogen? Überprüfen Sie, ob der Auftragsverarbeiter die Zustimmung zu neuen Sub-Auftragsverarbeitern einholt und ob dieser den Sub-Auftragsverarbeitern die gleichen datenschutzrechtlichen Verpflichtungen auferlegt hat.
-
Passen Sie bestehende Verträge dementsprechend an und implementieren Sie ein dokumentiertes Auswahlverfahren im Hinblick auf Dienstleister im Drittland!
Stellen Sie sicher, dass Sie einen nachweislichen internen Prozess in Bezug auf Datenübermittlungen im Unternehmen umgesetzt haben. Sensibilisieren Sie Ihre Mitarbeiter und erarbeiten Sie entsprechende Richtlinien für den Umgang mit personenbezogenen Daten. Stellen Sie sicher, dass keine Cloud-Lösungen in Anspruch genommen werden, bei denen es zu Datenübermittlungen ins Drittland kommt, ohne das diese intern genauestens überprüft wurden und es eine entsprechende vertragliche Grundlage mit dem Cloud-Anbieter gibt. Überprüfen Sie externe Dienstleister hinsichtlich deren TOMs und dokumentieren Sie diese Überprüfung (ACCOUNTABILITY)!
Nehmen Sie externe Dienstleister in Anspruch, aber wissen nicht, wie Sie die datenschutzrechtlichen Anforderungen umsetzen sollen? Brauchen Sie Hilfe bei der Erstellung oder Aktualisierung von datenschutzrechtlichen Verträgen? Durch unsere jahrelange Erfahrung im Bereich Datenschutz, wissen wir genau, wie man datenschutzrechtliche Verpflichtungen praktikabel und rechtskonform umsetzt. Wir laden Sie herzlich für ein unverbindliches Erstgespräch ein. Wir würden uns freuen auch Sie unterstützen zu dürfen.
Sie erreichen uns:
-
per E-Mail unter office@secriso.com (rund um die Uhr) oder
-
telefonisch unter 0463/276376.