30. Juli 2020

Datenschutzkonformität von Microsoft Teams, Zoom und Webex

Die Berliner Beauftragte für Datenschutz und Informationssicherheit hat sich in ihrer neuesten Stellungnahme vom 03. Juli 2020 sehr kritisch gegenüber der Verwendung einiger Anbieter von Videokonferenzdiensten geäußert. Gerade in der gegenwärtigen Corona-Krise sind aber die meisten Unternehmen auf Videokonferenz-Anbieter angewiesen, um ihr Geschäft auch aus dem Home-Office aufrecht zu erhalten. Der folgende Beitrag nimmt die Kritik der Behörde zu den Anbietern Microsoft Teams, Zoom und Webex aus datenschutzrechtlicher Sicht genauer unter die Lupe.

Microsoft Teams – Das wurde kritisiert

Zunächst ist wichtig, festzustellen, dass die Berliner Behörde sich in ihrer Stellungnahme nicht zu den technischen Aspekten oder zu den tatsächlich stattfindenden Verarbeitungen personenbezogener Daten äußert. Eine Prüfung, ob und welche Verarbeitungen personenbezogener Daten tatsächlich stattfinden und ob und in welche Maß diese den Vorgaben der Datenschutz-Grundverordnung („DSGVO“) entsprechen, scheint die Berliner Behörde nicht vorgenommen zu haben – anders als zum Beispiel die niederländische Aufsichtsbehörde zu Microsofts Software Office 365 ProPlus in ihrer diesbezüglichen Datenschutz-Folgenabschätzung.

Die Berliner Behörde gründet ihre Kritik vielmehr ausschließlich auf die datenschutzrechtlich entscheidenden vertraglichen Regelungen in den relevanten Verträgen zu Microsoft-Teams, nämlich auf die Regelungen im sog. „Data Processing Agreement“ („DPA“). Zu den einzelnen Kritikpunkten der Behörde wird im Folgenden Stellung genommen:

1. Nachträgliche Änderung des DPA

Die Berliner Behörde weist darauf hin, dass Microsoft den „Anhang zu den Datenschutzbestimmungen für Microsoft-Onlinedienste“ (Deutsch, Januar 2020) (im Folgenden: „DPA“) ohne Kennzeichnung im Juli dieses Jahres umfangreich geändert und dies seinen Kunden nicht mitgeteilt hat. Die stillschweigende Änderung stellt jedoch an und für sich kein datenschutzrechtliches Problem dar. Das DPA wird durch eine solche Änderung nicht zwangsweise unwirksam. Es ist vielmehr aus zivilrechtlicher Sicht zu prüfen, ob und inwieweit das jeweils aktualisierte DPA insbesondere in AGB-rechtlicher Sicht wirksam bzw. anwendbar und Vertragsbestandteil des Hauptvertrages wird.

2. Sprachliche Veränderungen

Die Berliner Aufsichtsbehörde moniert zudem zahlreiche Formulierungen im DPA. In der Stellungnahme von Microsoft vom 08.07.2020 erklärt das Unternehmen, dass es sich um Übersetzungsfehler handelt, die inzwischen behoben wurden. So z.B. die Formulierung, dass eine Löschung oder Rückgabe der Auftragsdaten nach Auftragsende nur auf Wunsch des Kunden vorgesehen sei (Anlage 3, Nr. 2 lit. g). Dies wurde von Microsoft nachgebessert und entspricht damit aktuell der Vorgabe des Art. 28 Abs. 3 lit. g DSGVO.

Die Berliner Behörde kritisiert zudem, dass in der Fassung des DPA vom 03. Januar 2020 das Weisungsrecht gem. Art. 28 Abs. 3 lit. a DSGVO eingeschränkt sei, da Ausnahmen nicht nur aufgrund des Unionsrechts oder des Rechts der Mitgliedstaaten, dem Microsoft unterliegt, vorgesehen waren, sondern auch Ausnahmen aufgrund des Rechts anderer Staaten möglich gewesen seien. Auch hierbei handelt sich jedoch lediglich um eine Ungenauigkeit in der deutschsprachigen Fassung des DPA, die auch auf einen Übersetzungsfehler seitens Microsoft zurückzuführen sein wird. Ebenso diese Passage wurde mittlerweile entsprechend angepasst, was die Aufsichtsbehörde selbst erwähnt. Damit besteht auch insoweit (jedenfalls mit der aktuellen Fassung des DPA) kein Verstoß gegen die DSGVO.

Zudem wurde eine Formulierung betreffend der Benachrichtigungspflicht bei einer Verpflichtung zur weisungswidrigen Verarbeitung von Microsoft aufgrund der Kritik der Aufsichtsbehörde angepasst. Entsprechend wurde der Begriff „die Gesetzgebung“ durch die Formulierung „betreffendes Recht“ ersetzt, worunter das weiter oben im DPA genannte Recht der EU oder des betreffenden Mitgliedsstaates zu verstehen ist.

Weiter hat die Berliner Behörde kritisiert, dass die Verpflichtung von Microsoft zur Meldung von Datenpannen nicht umfassend genug ausgestaltet sei. Microsoft hat auch hier gehandelt und den diesbezüglichen Übersetzungsfehler in der deutschsprachigen Fassung des DPA beseitigt.

3. Verarbeitung von Daten zu eigenen Zwecken

Drittens kritisiert die Berliner Behörde, dass Microsoft im Rahmen des DPA personenbezogene Daten auch zu eigenen Zwecken verarbeitet. Diese Verarbeitungen seien nicht von der Auftragsverarbeitung gemäß des DPA gedeckt und es fehle eine entsprechende Rechtsgrundlage für die Übermittlung von Daten durch die nutzenden Unternehmen an Microsoft.

Zweifelsohne ist der Text an dieser Stelle im DPA von Microsoft äußerst weit formuliert und ggf. nicht völlig transparent. Dies muss jedoch nicht notwendigerweise zur Unwirksamkeit des ganzen DPA führen. Eine Intransparenz könnte im Einzelfall auch lediglich dazu führen, dass die betreffenden Passagen aus AGB-rechtlichen Gründen als unwirksam einzustufen sein können. Der Vertrag an sich bliebe dann aber trotzdem wirksam. Diese Frage sollten Unternehmen gegebenenfalls im konkreten Einzelfall im Rahmen einer anwaltlichen Prüfung der zugrundeliegenden zivilrechtlichen Fragen prüfen lassen.

Im Übrigen nicht betrachtet und dementsprechend nicht umfassend bewertet hat die Berliner Behörde, welche konkreten Datenverarbeitungen in der Praxis diesen weiten DPA-Klauseln tatsächlich unterfallen und ob und inwieweit insofern tatsächlich eine Verarbeitung durch Microsoft außerhalb der Auftragsverarbeitung in eigener Verantwortlichkeit erfolgt. Insofern bleibt auch unberücksichtigt, ob und in welchem Maß verantwortliche Unternehmen eine solche Datenübermittlung an Microsoft durch die auch von anderen Aufsichtsbehörden empfohlenen Einstellungen und Konfigurationen von vornherein schon ausgeschlossen werden können. Dies sowie die Frage, ob jeweils im Hinblick auf die konkret betroffenen Datenarten und Verarbeitungszwecke nicht doch eine datenschutzrechtliche Rechtsgrundlage für eine Weitergabe dieser Daten an Microsoft als Verantwortlichen vorliegt, sollte von den Unternehmen, die Microsoft-Teams nutzen möchten, differenziert geprüft werden.

Aufgrund der Verarbeitung der Daten auch zu eigenen Zwecken zieht die Behörde zudem eine gemeinsame Verantwortlichkeit im Sinne von Art. 26 DSGVO in Betracht. Allerdings geht auch die Behörde nicht davon aus, dass hier ohne jeden Zweifel eine gemeinsame Verantwortlichkeit gegeben ist. Vielmehr spricht sie diese Möglichkeit lediglich an, ohne sich zu dieser Frage eindeutig zu positionieren. Ein Verstoß gegen Art. 26 DSGVO wegen Fehlens eines Vertrages über eine gemeinsame Verantwortlichkeit folgt hieraus also nicht zwangsläufig.

4. Vorrang der Bestimmungen der Anlage 3 des DPA

Ferner kritisiert die Berliner Behörde, dass das DPA unklare und nicht DSGVO konforme Bestimmungen enthalte. Die Kernbestandteile des im DPA enthaltenen Auftragsverarbeitungsvertrages in Anlage 3 zum DPA (den „DSGVO-Bestimmungen“, die gemäß DSGVO zwingend sind) würden damit umgangen. Dies letztlich vor allem deshalb, weil an keiner Stelle ein Vorrang der Bestimmungen der Anlage 3 zum DPA geregelt sei. Diese Kritik übersieht allerdings nach, dass sich eine solche Vorrangregelung aus Satz 2 der Anlage 3 ergeben kann. Denn dort ist geregelt, dass die Regelungen in Anlage 3 zum DPA unabhängig von anderen Bestandteilen des Vertrages für Microsoft in Bezug auf den Kunden bindend sind.

5. Vorrang der Standardvertragsklauseln

Die Aufsichtsbehörde moniert weiterhin, dass eine unzulässige Abwandlung der Standardvertragsklauseln („SCC“) vorliege. Allerdings spezifiziert die Berliner Behörde nicht, worin genau die inhaltliche Einschränkung der SCC liegen soll. Vielmehr zieht sie sich auf eine eher formale Argumentation zurück, wonach schon allein eine als Ergänzung der SCC bezeichnete vertragliche Regelung als unzulässige Beeinträchtigung der SCCs angesehen werden könne, auch wenn deren Vorrang sowohl im DPA selbst wie auch in den SCC klar festgelegt ist. Erwägungsgrund 109 DSGVO sieht zwar vor, dass Vertragsklauseln nicht im Widerspruch zu den SCC stehen dürfen. Ob jedoch ein Widerspruch der gerügten Regelung des DPA zu den SCC vorliegt, erscheint gerade aufgrund der bestehenden vertraglichen Regelungen zum Geltungsvorrang der SCC fraglich.

6. Form des Auftragsverarbeitungsvertrages

Schließlich kündigt die Aufsichtsbehörde an, auch die Form des DPA gem. Art. 28 Abs. 9 DSGVO bei eventuellen Prüfungen bei in Berlin ansässigen Unternehmen zu prüfen. Dies insbesondere im Hinblick auf die stillschweigenden Änderungen innerhalb des DPA. Ein Auftragsverarbeitungsvertrag („AVV“) kann allgemein auch in elektronischer Form geschlossen werden. Nach herrschender Meinung ist hier eine Textform mit einem Austausch von eindeutig gekennzeichneten Erklärungen ausreichend. Wir empfehlen jedenfalls, aufgrund der Nachweis- und Dokumentationspflicht, den Auftragsverarbeitungsvertrag samt Hauptvertrag (also insbesondere zusammen mit den Produkt- und Lizenzbestimmungen und den Online Service Terms) offline mit entsprechendem Zeitstempel zusammen mit den tatsächlich unterzeichneten Vertrags-Rahmendokumenten abzulegen.

Auch Zoom und Webex stehen in der Kritik

Ähnlich wie zu Microsoft-Teams fällt das Urteil der Berliner Aufsichtsbehörde im Hinblick auf die Video-Konferenztools Zoom und Webex aus. Auch hier sieht die Behörde Mängel im Auftragsverarbeitungsvertrag der Anbieter als gegeben an. Insbesondere seien in beiden Verträgen u.a. die Regelungen zum Einsatz von Unterauftragnehmern sowie die Regelungen zur Löschpflicht nach Vertragserbringung nicht mit dem durch Art. 28 Abs. 3 vorgegebenen Regelungsinhalt vereinbar. Die kritische Haltung gegenüber Zoom scheint fortzubestehen. Darüber haben wir bereits in einem vorherigen Artikel berichtet. 

Fazit und Handlungsempfehlung

Die gerügten Datenschutzmängel der Berliner Aufsichtsbehörde führen nicht zwangsläufig dazu, dass die Verwendung von den oben aufgeführten Videokonferenzanbietern in ihrem Unternehmen per se datenschutzwidrig ist. Im Hinblick auf Microsoft-Teams sollte allerdings vor allem im Einzelnen geprüft werden, insbesondere ob und inwieweit in diesem Rahmen personenbezogene Daten an Microsoft als Verantwortlichen außerhalb einer Auftragsverarbeitung übermittelt werden und inwieweit dies mithilfe der auch von anderen Datenschutzbehörden empfohlenen datenschutzfreundlichen Konfigurationen unterbunden werden kann. Soweit es dennoch zu einer Übermittlung personenbezogener Daten an Microsoft kommt, sollte differenziert geprüft werden, ob und inwieweit hierfür eine datenschutzrechtliche Rechtsgrundlage besteht.

Im Übrigen bleibt abzuwarten, ob sich weitere Aufsichtsbehörden der Kritik der Berliner Behörde anschließen.

Insgesamt ist die Ansicht der Berliner Datenschutzbehörde zwar zu beachten, sollte aber auch im Hinblick auf das einzelne Einsatzgebiet des Videokonferenztools differenziert betrachtet werden. Die Berliner Datenschutzbehörde empfiehlt in ihren Hinweisen ausdrücklich, vor der Einrichtung der Videokonferenzlösungen Datenschutzexperten prüfen zu lassen, ob die Verträge den gesetzlichen Anforderungen entsprechen. Hierzu sind sowohl eine Einzelprüfung als auch eine individuelle Beratung erforderlich. Gerne können wir Sie beraten und mit Ihnen prüfen, ob Ihr jeweiliges Videokonferenztool auch unter Berücksichtigung der Datenschutzbehörde einsatzbereit ist oder ob ggf. noch weitere Schritte erforderlich sind, um einen rechtmäßigen Einsatz des Videokonferenztools gewährleisten zu können.

Videokonferenztools datenschutzkonform einsetzen

 

Newsletter

Bleiben Sie immer up to date in Sachen Datenschutz!