Der BWK IT-Blog - damit Sie wissen was läuft!

Herzlich willkommen in unserem IT-Blog. Die Spezialisten aus unserem Haus informieren Sie hier regelmäßig über aktuelle Themen aus der IT-Sicherheit, IT-Service, IT-Lösungen, Cloud Lösungen und Digitalisierung. Aktuelles aus der Branche und Neuigkeiten von BWK sollen dabei auch nicht zu kurz kommen. Viel Spaß beim Stöbern und Lesen!

Microsoft Teams nicht datenschutzkonform einsetzbar: Was ist dran an der Stellungnahme der Berliner Aufsichtsbehörde?

Avatar of BWK Webmaster BWK Webmaster - 12. Juli 2020 - Datenschutz

Am 3. Juli 2020 veröffentlichte die Berliner Datenschutzaufsichtsbehörde BlnBDI (Berliner Beauftragte für Datenschutz und Informationsfreiheit) eine Stellungnahme zur Nutzung der bekanntesten Videokonferenzdienste. Das Ergebnis ist auf den ersten Blick deutlich und legt nahe, dass diese Dienste aus datenschutzrechtlicher Sicht nicht rechtskonform eingesetzt werden können. Wir werfen einen längeren Blick auf das Dokument und erläutern die Ergebnisse für den Dienst Teams von Microsoft näher.

ACHTUNG: Dieser Beitrag beschreibt lediglich ausgewählte Aspekte der Veröffentlichung und stellt u.a. die Ansicht der Behörde oder von Microsoft dar. Er ersetzt keine Rechtsberatung im Einzelfall. Wenn Sie in Ihrem Unternehmen Teams oder einen der anderen erwähnten Dienste betreiben, stimmen Sie sich bitte mit Ihrem Datenschutzbeauftragten ab oder nehmen Sie unsere Angebote zur Beratung im Datenschutz in Anspruch.

Kurzfassung: Wir fassen die Inhalte der Stellungnahme und die wichtigsten in ihr dargestellten Mängel bei Microsoft Teams zusammen und erläutern Microsofts Antworten dazu.

Was wurde bewertet?

Bei der Kurzprüfung wurde nicht die gesamte SaaS-Infrastruktur oder gar die gesamte Datenverarbeitung geprüft, der Schwerpunkt lag auf der Bewertung der Rechtskonformität der von den Anbietern angebotenen Auftragsverarbeitungsverträge. Diese selektive Prüfung hat somit einen wesentlichen Teil der im Datenschutzkontext geforderten Regelungen im Fokus. 

Was ist ein Auftragsverarbeitungsvertrag und war um spielt das hier eine Rolle? 

Die Auftragsverarbeitung ist in Art. 28 DSGVO geregelt: Sie ist bezeichnet Verarbeitungen von personenbezogenen Daten durch einen Dienstleister im Auftrag des Verantwortlichen. Im vorliegenden Fall ist ein Unternehmen, das Teams einsetzt, der Verantwortliche. Microsoft hingegen ist der Auftragsverarbeiter, da es die Infrastruktur und die Dienste zur Verfügung stellt, in denen Daten z.B. erfasst, gespeichert oder gelöscht werden. Der Auftragsverarbeiter handelt  immer nur im Auftrag des Verantwortlichen und darf dabei keine „eigenen Zwecke“ verfolgen, also die Daten nicht selber weiterverwenden. 

Die inhaltlichen Anforderungen an einen sog. „AV-Vertrag“ regelt Art. 28 DSGVO: Der Vertrag klärt Befugnisse und Weisungen sowie Gegenstand und Zweck der Verarbeitung. AV-Verträge sorgen auch dafür, dass Unternehmen eine gewisse Sicherheit bei der Weitergabe von Daten haben. Falls der Auftragsverarbeiter einen Datenschutzverstoss begeht, kann so jedenfalls nachgewiesen werden, dass die Verantwortung in seinem Aufgabenbereich lag. Gesamtverantwortlich bleibt allerdings immer der Verantwortliche selber.

Bei den geprüften AV-Verträgen handelt es sich immer um Verträge, die vom Anbieter an den Nutzer übermittelt werden, bei Microsoft z.B. im Rahmen des veröffentlichten „Anhangs zu den Datenschutzbestimmungen für Microsoft-Onlinedienste“, den sog. DPAs, die ein Unternehmen per Nutzung akzeptiert. 

Wie sind die Ergebnisse ausgefallen? 

Insgesamt wurden 17 Dienste von der BLnBDI geprüft, darunter so bekannte wie Zoom, Google Meet, GoToMeeting, Cisco WebEX oder Microsoft Teams. 

In einer Gesamtübersicht werden symbolische Ampeln in rot, gelb und grün als Ergebnis der Prüfung vergeben - von 17 geprüften Diensten erhalten 10 „rot“, darunter auch sämtliche oben genannten Anbieter. Es erstaunt nicht besonders, dass die mit „grün“ bewerteten Dienste fast ausschließlich europäische Anbieter sind.

Alleine schon durch die Fehler in den AV-Verträgen ist lt. Ansicht der Aufsichtsbehörde eine rechtskonforme Nutzung der Dienste nicht mehr möglich. 

Was wurde konkret bei Microsoft Teams bemängelt? 

Die Anmerkungen zu Teams beginnen in der Stellungnahme mit der Aufzählung der Kritikpunkte: 

  • Anbieter behält sich die Verarbeitung von Auftragsdaten zu eigenen Zwecken vor,
  • Mängel im AV-Vertrag, viele Unklarheiten und Widersprüche,
  • Unzulässige Datenexporte,
  • Anbieter hat veröffentlichten AV-Vertrag ohne Kennzeichnung umfangreich nachträglich geändert,
  • Version vom 3.1.2020 (lt. Metadaten) enthält unzulässige Einschränkungen des Weisungsrechts.

Wenn man diese Punkte zusammenfasst, kommt man zu drei Hauptmängeln, auf die wir im Folgenden näher eingehen: 

a) Die Verarbeitung der Daten erfolgt auch „zu eigenen Zwecken“ von Microsoft,

b) Die Anforderungen an einen Auftragsverarbeitungsvertrag werden nicht vollständig erfüllt,

c) Vertragsdokumente werden nach Abschluss ohne Information geändert.

a) Verarbeitung zu eigenen Zwecken: 

Die Behörde bemängelt in Ihrer Stellungnahme, dass Microsoft sich im AV-Vertrag die Nutzung der verarbeiteten Auftragsdaten zu eigenen Zwecken vorbehält. Abgesehen davon, dass das dem grundsätzlichen Sinn der Auftragsverarbeitung widerspreche, sieht die Behörde auch keine Rechtsgrundlage, nach der diese Vereinnahmung der Daten zulässig wäre. Es wird damit außerdem der Anwendungsbereich von Art. 26 DSGVO eröffnet, die sog. „gemeinsamen Verantwortlichkeit" oder "Joint Controllership“. Hierfür müsse eine eigene vertragliche Regelung getroffen werden, die jedoch im Vertragswerk nicht enthalten sei. Somit könne der Verantwortliche seiner Rechenschaftspflicht dem Betroffenen gegenüber nicht mehr nachkommen, da die Datenverarbeitung auf Microsoft-Seite nicht nachvollziehbar wäre. 

b) Mängel im AV-Vertrag:

Weiter werden formale und inhaltliche Mängel im Vertrag aufgezählt: Die Microsoft-DPA enthalte an vielen Stellen Regelungen, die den gesetzlichen Mindestanforderungen widersprächen.

So gäbe es z.B. im Abschnitt „Datenschutzbestimmungen – Verarbeitung personenbezogener Daten; DSGVO“ einen Verweis auf die Anlage 3, die dann auch Inhalte aus den Art. 28, 32 und 33 DS-GVO wiedergibt. Für den Verantwortlichen bliebe völlig unklar, ob und welche diese Regeln nun für Microsoft verpflichtend seien: Die des Anhangs oder die des eigentlichen Vertrags - es ergibt sich eine Art „Zirkelbezug“.  

An einer anderen Stelle werde die Weisungsbefugnis des Verantwortlichen eingeschränkt oder die Pflicht von Microsoft zur Meldung von Datenpannen auf „billiges Ermessen“ seitens des Verarbeiters abgestellt - sprich: Nur wenn Microsoft der Meinung ist, dass es sich um eine Panne handelt, muss gemeldet werden. Das widerspräche aber den Regelungen der DSGVO. 

Es sei ausserdem im Vertrag vereinbart, dass eine Rückgabe oder Löschung der Daten nach Zweckwegfall nur auf Wunsch des Verantwortlichen vorgesehen ist und nicht automatisch. 

Die Behörde bemängelt ferner, das im Punkt „Datensicherheit – Prüfung der Einhaltung“ Einschränkungen und Abwandlungen der sog. Standardvertragsklauseln (SCC) der EU-Kommision vorgenommen würden, obwohl der Grundsatz der Nutzung dieser Regelungen eben die Unveränderlichkeit und die Nicht-Einschränkbarkeit sei. Standardvertragsklauseln sollen den Export von Daten in sog. Drittländer regeln, die nicht im Geltungsbereich der DSGVO liegen und keine, der DSGVO angemessenen und von der EU-Kommission anerkannten Garantien für den Datenschutz bieten. Wenn nun die Standardvertragsklauseln unwirksam wären, könnte sie den Datenexport nicht mehr rechtfertigen. Microsoft weist zwar außerdem auf die Selbstzertifizierung nach dem US-EU-Privacy Schild hin, diese Garantie gilt aber nur für die USA, nicht alle anderen Drittländer, in die Daten exportiert werden. 

All diese Mängel würden es dem Verantwortlichen unmöglich machen, so die Aufsichtsbehörde, „seiner Rechenschaftspflicht nach Art. 5 Abs. 2 i. V. m. Art. 5 Abs. 1 lit. a DSGVO nachzukommen“.

c) Vertragsdokumente werden nach Abschluss ohne Information geändert:

Die Behörde bemängelt außerdem, dass Microsoft den „Anhang zu den Datenschutzbestimmungen für Microsoft-Onlinedienste (Deutsch, Januar 2020)“ (folgend: „DPA“) ohne Kennzeichnung nachträglich umfangreich geändert hätte. Anhand der Metadaten liesse sich feststellen, dass es ein Dokument gäbe, dass am 3.1.2020 erstellt wurde und ein Dokument, das am 9.6.2020 erstellt wurde. Die Bezeichnung der Dokumente sei gleich, das von Microsoft im Internet veröffentlichte Vertragsdokument wurde stillschweigend ersetzt. In der Versionsübersicht („Verdeutlichungen und Zusammenfassung der Änderungen“) stehe ausdrücklich „Keine“, obwohl weite Teile geändert wurden. Der überwiegende Teil der Änderungen sei „rein sprachlicher Art“. Insbesondere würde in der Version vom 9.6.2020 die Anlage Standardvertragsklauseln, die ursprünglich sehr umfangreiche Abweichungen vom Wortlaut der genehmigten Standardvertragsklauseln enthielt, im Wesentlichen dem genehmigten Text ange- passt. Allerdings gibt es auch relevante inhaltliche Änderungen. Die meisten Änderungen seien „positiv zu bewerten“. Dennoch bliebe das wichtigste Grundproblem des Vertrags besehen, dass er eben an vielen Stellen unklar und widersprüchlich sei. 

Die Behörde sagt in ihrem Bericht: „Wir weisen darauf hin, dass wir angesichts der nachträglichen nicht dokumentierten Änderung des veröffentlichten Auftragsverarbeitungsvertrags durch Microsoft bei Prüfungen beabsichtigen, auch die Einhaltung der Form des Auftragsverarbeitungsvertrags gemäß Art. 28 Abs. 9 DS-GVO und die entsprechende Nachweisbarkeit (Art. 5 Abs. 2 DS-GVO) zu prüfen.“ 

Das ist eine klare Ansage an alle Verantwortlichen, denn letztlich sind sie es, die für die Datenverarbeitung und die vereinbarten vertraglichen Regelungen haften.

Wie ist mit dieser Kritik umzugehen?

Wichtig ist es zu verstehen, dass diese Kritik von einer einzelnen Landes-Aufsichtsbehörde geübt wird. Folglich richten sich die Hinweise erst einmal nur an „Berliner Verantwortliche“. Wie die Aufsichtsbehörden anderer Länder damit umgehen werden, ist offen. Es gibt bisher, unseres Wissens nach, kein Bußgeld gegen einen Betreiber von Teams, außerdem fehlt eine klare Rechtsprechung dazu. Es ist aber davon auszugehen, dass die Situation sich laufend verändern wird. 

Microsoft hat bereits ausführlich zu allen Punkten Stellung genommen und legt dar, warum aus ihrer Sicht die Kritik nicht gerechtfertigt sei. Die komplette Stellungnahme findet man hier. Darin wird unter anderem gesagt: 

Die Verarbeitung zu eigenen Zwecken wird von Microsoft als „legitime Geschäftstätigkeit“ gesehen und auch so beschrieben. Es gehe vor allem um die mit der Erbringung der Services in Verbindung stehenden Tätigkeiten wie z.B.nutzungsbasierte Rechnungsstellung, Kapazitätsplanung und Bekämpfung von Cyberkriminalität. Eine Nutzung für Benutzerprofilerstellung, Werbung oder ähnliche kommerzielle Zwecke sei vertraglich jedoch immer ausgeschlossen. Microsoft sieht sich hier, da es keine gemeinsame Entscheidung über Zwecke und Mittel der Verarbeitung gäbe, nicht als gemeinsam sondern als alleinig Verantwortlicher. dadurch wäre eine Regelung zur „Joint Controllership“ nach Art. 26 DSGVO jedenfalls nicht notwendig, die Kritik der Aufsichtsbehörde sei ungerechtfertigt. 

Zu den Mängeln im AV-Vertrag sagt Microsoft, dass sehr wohl alle formalen und inhaltlichen Ansprüche des Art.28 erfüllt würden, man aber bei der Gestaltung darauf Rücksicht nehmen musste, dass diese DPA nicht nur auf die DSGVO fokussiert sei sondern auf alle internationalen Kunden abgestimmt sei, „wodurch gegebenenfalls auch weitere vertragliche Regelungen geboten sind“. Soll wohl heißen: Es ist alles drin, was drin sein muss - enthält aber auch Regelungen für andere Märkte. Tatsächlich schweigt sich der Art. 28 DSGVO zum konkreten Aufbau eines AV-Vertrags aus, es wird nur der Mindestinhalt festgelegt. Es ist daher durchaus anzunehmen, dass der Microsoft AV-Vertrag alle notwendigen Inhalte enthält, der Aufbau aber unstrukturiert ist und daher zumindest Mängel in der Übersichtlichkeit birgt. Ggfs. könnte daraus ein Verstoß gegen das, der gesamten DSGVO zugrundeliegende Gebot der Transparenz abgeleitet werden. 

Auch die Anpassungen an den Standardvertragsklauseln werden erläutert und es wird klargestellt, dass es eine klare Vorrangsregelung zugunsten der SCC gäbe, die in Anlage 2 dokumentiert ist. Microsoft habe bereits in den Jahren 2013/14 (SCCs sind kein Teil der DSGVO) klare Vereinbarungen mit der Artikel-29 Gruppe (einem Vorgänger des europ. Datenschutzausschusses) getroffen, die die Regelungen der Klausel 10 der SCC (in der Controller-Processor-Variante) aufgreift, wonach ausdrücklich erlaubt ist, zusätzliche geschäftsbezogene Klauseln aufzunehmen, solange sie nicht im Widerspruch zum eigentlichen Vertrag stehen. 

Die Änderungen der Vertragsdokumente nach Abschluss ohne Information räumt Microsoft ein und entschuldigt sich dafür. Grund für die verschiedenen Versionen sollen vorangegangene Hinweise der Berliner Aufsichtsbehörde und diverser Kunden auf Übersetzungsfehler aus der englischen Version gewesen sein. Mit den Anpassungen wären jedoch keine inhaltlichen Veränderungen beabsichtigt gewesen. Als Vergleich solle ggfs. die nicht veränderte, englische Originalversion herangezogen werden. 

Was ist nun das Ergebnis? 

Aus unserer Sicht gibt es erstmal kein Ergebnis. Es bleibt aber abzuwarten, wie sich andere Aufsichtsbehörden zu diesem Thema positionieren. Klar ist, dass es nachvollziehbare Regeln für die Verarbeitung von Daten im Auftrag geben muss und die zugehörigen Vertragswerke nachvollziehbar und vor allem rechtskonform sein müssen. Es wird nicht das Ziel der Aufsichtsbehörden sein, Teams „zu verbieten“, aber es ist richtig und wichtig, dass auf Klärung gedrängt wird. Datenschutz ist momentan vor allem ein europäisches Thema, die Umsetzung ist oft schwierig, aber eben deshalb nicht weniger verbindlich. 

Wer heute Teams einsetzt, sollte die Berichterstattung aufmerksam verfolgen. Die Berliner Aufsichtsbehörde hat klargemacht, dass sie vor allem die Verantwortlichen in die Pflicht nimmt und bei Prüfungen auch Form und Nachweisbarkeit der Auftragsverarbeitung prüfen wird. Das geschieht immer beim Verantwortlichen, also bei dem Unternehmen, dass Teams einsetzt und sich im verpflichtend zu klärenden Vertragsverhältnis zum Auftragsverarbeiter Microsoft auf deren Verträge verläßt. Unwissenheit schützt in dem Fall vor Strafe nicht. 

Jedes Unternehmen, das nicht genau weiß, ob die abzuschließenden Verträge mit Auftragsverarbeitern korrekt und vollständig erledigt sind, sollte sich spätestens jetzt mit seinem Datenschutzbeauftragten dazu austauschen. 

Wir sind gespannt und halten Sie auf dem Laufenden. 

Die Kommentarfunktion ist für diesen Artikel deaktiviert.

0 Kommentare

IT-LÖSUNGEN & INFRASTRUKTUR. TELEKOMMUNIKATION. UNIFIED COMMUNICATIONS. CLOUD & HOSTING-SERVICES. IT-SICHERHEIT & DATENSCHUTZ. DRUCKTECHNIK & KOPIERSYSTEME. VIDEOÜBERWACHUNG.

BWK Systemhaus GmbH______________________________________________________________________________

Mozartstraße 2

D-02763 Zittau

 

Fon: +49 3583 7725-500

Fax: +49 3583 7725-999

Wilthener Straße 39a

D-02625 Bautzen

 

Fon: +49 3591 27936-500

Fax: +49 3591 27936-999

Unsere Geschäftszeiten______________________________________________________________________________

Montag - Freitag 08:00 Uhr - 17:00 Uhr

Servicestützpunkt Zittau

Abgabe/Abholung nur mit vorheriger Terminabsprache.

BWK - Das Systemhaus - Support vom Spezialisten