Zum Inhalt springen Zur Navigation springen
Datenschutzkonformer Einsatz von Office 365 nach Cloud Act

Datenschutzkonformer Einsatz von Office 365 nach Cloud Act

Aufgrund des Rechtsstreits von Microsoft vs. USA vor dem U.S. Supreme Court und dem am 23.März 2018 unterzeichneten Cloud Act ist die Frage hochgekocht, ob ein datenschutzkonformer Einsatz amerikanischer Cloud-Dienste unter der DSGVO überhaupt möglich ist. Wir zeigen die Auswirkungen des Cloud Act am Beispiel von Office 365.

Office 365 als Auftragsverarbeitung

Bei Office 365 von Microsoft handelt es sich um einen Cloud-Dienst, konkret in Form eines SaaS (Software-as-a-Service). Zwischen dem Kunden und Microsoft ist daher regelmäßig ein Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO abzuschließen.

Schickt eine US-Behörde ein Herausgabeersuchen direkt an Microsoft in Bezug auf Daten, die im EWR-Raum gelegen sind und folgt Microsoft dieser Aufforderung, kann es nach der DSGVO Microsoft und den Verantwortlichen in datenschutzrechtliche Bredouille bringen.

Mutual Legal Assistance Treaty

Zugriffe von US-Behörden auf in der EU gespeicherte Daten werden durch Rechtshilfeabkommen in Strafsachen (sog. Mutual Legal Assistance Treaty – MLAT) unter Einbeziehung der heimischen Behörden durchgesetzt. Ein solches Rechtshilfeabkommen besteht zwischen Deutschland und den USA. Eine Datenübermittlung auf dieser Grundlage ist auch explizit in Art. 48 DSGVO vorgesehen.

Da eine unmittelbare Datenfreigabe gegenüber einer US-Behörde am MLAT-Verfahren vorbeiginge, stünde sie im direkten Widerspruch zu Art. 48 DSGVO.

Direkte Anfragen waren auch schon vor Cloud Act datenschutzrechtlich brisant, da durch eine direkte Herausgabeanfrage Daten ohne Mitwirkung der jeweils staatlichen Organe „am europäischen Datenschutzrecht vorbei“ in die USA übermittelt werden konnten. Faktisch werden die Daten hinsichtlich der Zugriffsrechte der US-Behörden so behandelt, als ob sie im US-Territorium gespeichert sind. Potentiell ist hiervon jedes Unternehmen mit einer Niederlassung in den USA betroffen, das gleichzeitig Daten im EWR-Raum speichert. Hier würde europäisches Datenschutzrecht „durch die Hintertür“ ausgehebelt.

Die Artikel 29-Datenschutzgruppe hat in diesem Zusammenhang geäußert, dass ein Zugriff ausländischer Stellen auf Daten in Europa nur unter vorheriger Einbeziehung der inländischen staatlichen Stelle erfolgen darf und Anfragen daher nicht direkt an die Unternehmen selbst gestellt werden dürfen (Artikel 29 Datenschutzgruppe, WP 227, S.3).

Datenübermittlung am MLAT vorbei

Eine Datenübermittlung am MLAT-Verfahren vorbei wäre als Verstoß gegen Art. 48 DSGVO bußgeldbewährt (Art. 83 Abs.5 lit. c DSGVO) und zwar sowohl gegenüber dem Verantwortlichen, der sich das Fehlverhalten des Auftragsverarbeiters zurechnen lassen muss, als auch gegenüber dem Auftragsverarbeiter (Microsoft) selbst, Art. 28 Abs. 10 DSGVO.

Rechtsgrundlage für strafrechtliche Herausgabeverlangen von amerikanischen Ermittlungsbehörden war aus Perspektive des US-Rechts regelmäßig der sog. „search warrant“ auf Grundlage des Stored Communications Act (18 USC § 2703) und des Electronic Communications Privacy Act (18 USC § 2510 et esq.).

Im Grundsatz benötigt die US-Behörde für eine Herausgabe von Daten einen Durchsuchungsbeschluss und eine spezifische Tatsache, dass der Inhalt der elektronischen Kommunikation für das Strafverfahren von Bedeutung sein kann.

Cloud Act schafft nur auf US-Seite Klarheit

Streitig war nur die Reichweite der Befugnisnormen, daher die Frage, ob die Normen extraterritoriale Anwendung entfalten. Dies wurde von US-Gerichten unterschiedlich bewertet.

Cloud Act schafft hier auf US-amerikanischer Seite Fakten: gem. 18 USC § 2713 muss ein

„Anbieter von elektronischen Kommunikationsdiensten oder Ferndienstleistungen [Remote Computing Services] alle Anforderungen an die Offenbarung von Aufzeichnungen oder anderen Informationen eines Kunden oder Abonnenten im Besitz oder unter Kontrolle [possession, custody or control] erfüllen, unabhängig davon, ob diese Kommunikation, Aufzeichnung oder andere Information innerhalb oder außerhalb der Vereinigten Staaten belegen ist.“

Auf europäischer Seite hingegen ist leider gar nichts geklärt

Cloud Act zielt insbesondere darauf ab, die langwierigen und mühsamen Rechtshilfeersuchen auf MLAT-Basis durch sog. „Executive Agreements“, daher einfache Verwaltungsabkommen, zu ersetzen.

Jedoch ist noch überhaupt nicht geklärt, ob die geplanten „Executive Agreements“ unter Art. 48 DSGVO gefasst werden können. Hier bestehen berechtigte Zweifel. Soweit dies nämlich nicht der Fall ist, wäre eine Datenübermittlung auf Grundlage von Cloud Act als Verstoß gegen Art. 48 DSGVO rechtswidrig. Hier ist zu hoffen, dass sich die Aufsichtsbehörden eindeutig positionieren.

Datentreuhänder-Modell

Für Interessierte des Dienstes Office 365 könnte Office 365 Deutschland eine gangbare Lösung sein. T-Systems wirbt damit, dass Microsoft keinen Zugriff auf die Daten hat, es sei denn, der Kunde ist hiermit einverstanden. Direktanfragen ausländischer Behörden sollen direkt abgewiesen werden.

Es besteht die theoretische Möglichkeit, dass sich Microsoft auf Druck von US-Behörden dazu entschließt, sich durch T-Systems einen Zugriff auf die Datenbanken zwecks Auskunftserfüllung einräumen zu lassen. Cloud Act schreibt dies jedoch nicht explizit vor. Das Gesetz geht in der Grundkonstellation davon aus, dass der „Provider“ schon per se „possession, custody or control“ über die bei ihm gespeicherten Daten hat. Beim Datentreuhänder-Modell, das bei Office 365 Deutschland zum Einsatz kommt, ist dies jedoch gerade nicht der Fall. Das Datentreuhänder-Modell ist vom Cloud Act nicht bedacht worden. Da ein direkter Datenzugriff von Microsoft auf die Endkundendaten das Geschäftsmodell von Office 365 Deutschland faktisch zerstören würde, ist ein solcher Zugriff unwahrscheinlich oder würde zumindest von einer breiten Medienresonanz begleitet werden.

Insgesamt zeigt das Datentreuhänder-Modell hier großes Zukunftspotential, da es fähig ist, den Einsatz von amerikanischen Cloud-Anbietern auf sicheren datenschutzrechtlichen Grund zu stellen.

Update 31.08.2018:

Sicherheitsexperten konnten beobachten, dass Datenpakete aus der Treuhänder-Cloud an eine globale IP-Adresse übermittelt werden, die außerhalb Europas liegt (Quelle). Bedenklich dabei ist, dass die Übermittlungen nicht in der kostenpflichtigen GUI des Azure Network Watchers angezeigt werden. Erst der Einsatz des Tools Netstat hat die Datenübermittlungen ans Licht gebracht. Unklar bleibt, wo die Rechner des Netzes, zu der die adressierte IP-Adresse gehört, stehen. Bei den übermittelten IP-Paketen handelte es sich um Telemetriedaten. Hier bleibt mindestens ein fader Beigeschmack, da Anhaltspunkte bestehen, dass entgegen den vollmundigen Bekundungen von Microsoft und Telekom „unter dem Radar“ letztlich doch Daten außerhalb der EU übermittelt werden. Dem Kunden scheint es nach derzeitigem Stand nicht möglich zu sein, zu überprüfen, wohin die Datenpakete konkret verschickt werden.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Ihre Stellungnahme zum Datentreuhändermodell zeigt, dass Sie wie so viele übersehen, dass T-Systems keine deutsche Firma ist, sondern ein internationaler Konzern mit großen Niederlassungen in den USA genau wie Microsoft. T-Systems unterliegt daher den gleichen Pflichten wie Microsoft.

  • Wo finde ich als Kunde eine Vereinbarung zur Auftragsverarbeitung mit Microsoft für den Einsatz von Office 365 – ähnlich wie bei Google Analytics? Oder müssen hier Standardvertragsklauseln verwendet werden?

    • Microsoft stellt als Bestandteil der jeweiligen Lizenzbedingungen (u.a. der deutschen Version für Volumenlizenzen) sowohl Standardvertragsklauseln (Anhang 3) für eine etwaige Übermittlung von Daten in ein Drittland, als auch sog. „Bestimmungen der Datenschutz-Grundverordnung der Europäischen Union“ (Anlage 4) zur Verfügung. Letzteres ist als Auftragsverarbeitungsvereinbarung zu verstehen, die nach Inkrafttreten der DSGVO gem. Art. 28 Abs. 9 DSGVO auch in einem „elektronischen Format“ abgefasst werden kann. Ob das vorliegend praktizierte Vorgehen als ausreichend angesehen wird, lässt sich zum aktuellen Zeitpunkt nicht abschließend beantworten. Jedenfalls dürfte es künftig schwer werden, eine schriftliche (d.h. gem. § 126 Abs. 1 BGB händisch unterschriebene) Vereinbarung zur Auftragsverarbeitung von Microsoft zu erhalten.

    • Leider liefert bspw. 1&1 als weiterer „Handelspartner“, der die Telekom-Variante Office365 anbietet, derzeit selbst keinen zureichenden AV-Vertrag! Auch nicht für die Telekom, bei der ja schließlich die Daten liegen.

  • Wie stehen Sie zu Ihrer Empfehlung nach neuesten Erkenntnissen der Fachpresse?
    Viele Grüße

    https://www.heise.de/ix/heft/Glauben-statt-wissen-4140402.html

  • Es ist doch so einfach. Daten haben bei US-Firmen nichts zu suchen, völlig egal, wo der Server steht. Also Finger weg von Office 365!
    Es gibt sehr gute Open-Source-Software. Das ist obendrein sicherer als proprietäre Software.

  • Wie sieht’s denn im Rahmen der Jones Day Entscheidung aus?

    • Der Jones Day Entscheidung des BVerfGE lag ein auf § 103 StPO (Durchsuchung bei anderen Personen) gestützter Durchsuchungsbeschluss der Staatsanwaltschaft München II gegenüber einer örtlichen Niederlassung einer amerikanischen Großkanzlei in München zugrunde. Das BverfG hat sich vor diesem Hintergrund mit Fragen darüber beschäftigt, inwieweit die Kanzlei und Ihre Mitarbeiter durch den Durchsuchungsbeschluss in Grundrechten verletzt waren.

      In der Summe dürfte die Entscheidung des BVerfG die Thematik des Blogartikels nicht berühren.

      Das BVerfG hatte sich hier nur am Rande mit Datenschutz beschäftigt, da der Beschwerdeführer, ein Partner der Kanzlei, auf die der Durchsuchungsbeschluss abzielte, die Möglichkeit einer Verletzung des Rechts auf informationelle Selbstbestimmung durch die Durchsuchungsanordnung rügte.

      Zu diesem Einwand hatte das BVerfG ausgeführt, dass die Durchsuchungsanordnung nicht auf die Gewinnung von persönlichen Daten der Beschwerdeführer gerichtet war, sondern auf Informationen abzielte, die die Kanzlei aufgrund des Mandatsverhältnisses mit der Volkswagen AG im Rahmen von internen Ermittlungen zusammengetragen oder erstellt hatte. Der gesammelte Datenbestand sei daher „mandatsbezogen“ gewesen, und nicht den Beschwerdeführen, sondern der Kanzlei, der Volkswagen AG als Auftraggeberin, sowie der Audi AG, soweit die Informationen aus ihrer Sphäre herrühren, zuzuordnen.

      Dies wurde auch bezüglich des E-Mail-Verkehrs ähnlich bewertet.
      Die abstrakte Ausführung des Beschwerdeführers, E-Mail-Verkehr enthalte regelmäßig eine Vielzahl personenbezogener Informationen wie etwa Sende- und Empfangsdaten, die Aufschluss über die Tätigkeit von Sender und Empfänger geben könnten, würden nicht konkret darlegen, aus welchen einzelnen Informationen hier welche Rückschlüsse auf ihre persönlichen Verhältnisse gezogen werden könnten. Im Ergebnis verneinte das BVerfG daher das Vorliegen einer Verletzung des Art. 2 Abs.1 DSGVO (Recht auf informationelle Selbstbestimmung), da diese vom Beschwerdeführer nicht hinreichend dargetan wurde.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.