Rechtsanwältin Frederike Kollmar im Interview

„Cloud-Nutzer und US-Cloud-Anbieter befinden sich in einer Zwickmühle“
Keine Kommentare

Microsoft Office 365 ist an hessischen Schulen aus Gründen der DSGVO derzeit unzulässig – so heißt es in einer Stellungnahme des Hessischen Beauftragten für Datenschutz und die Informationsfreiheit. Was sind die Auswirkungen und welche DSGVO-Aspekte liegen zugrunde? Das erläutert Rechtsanwältin Frederike Kollmar im Interview. [Mit Update vom 5. August]

[Update vom 5. August 2019: In einer zweiten Stellungnahme teilte der Hessische Beauftragte für Datenschutz und die Informationsfreiheit mit, die Nutzung von Office 365 an hessischen Schulen „unter bestimmten Voraussetzungen und dem Vorbehalt weiterer Prüfungen vorläufig zu dulden“. Weitere Informationen dazu können der Stellungnahme entnommen werden.]

Die Microsoft-Software Office 365 ist an hessischen Schulen aus Datenschutzgründen derzeit unzulässig. Das wurde in einer Pressemitteilung des Hessischen Beauftragten für Datenschutz und die Informationsfreiheit (HBDI), Michael Ronellenfitsch, verkündet. Welche datenschutzrechtlichen Aspekte sind bezüglich der Office-Software problematisch, was sind die Folgen und in welcher Zwickmühle stecken Anbieter und Nutzer von US-basierten Cloud-Diensten im Rahmen der DSGVO? Wir sprachen mit Rechtsanwältin Frederike Kollmar, die sich auf IT-, Datenschutz- und Europarecht spezialisiert hat.

Entwickler.de: Der Hessische Beauftragte für Datenschutz und die Informationsfreiheit (HBDI) hat entschieden, dass die Microsoft-Software Office 365 an hessischen Schulen derzeit datenschutzrechtlich unzulässig ist, sofern personenbezogene Daten in der europäischen Cloud gespeichert werden. Auf welchen DSGVO-Aspekten basiert diese Entscheidung?

Frederike Kollmar: Jeder Cloud-Nutzer, egal ob Unternehmen oder öffentliche Einrichtung, muss nach der DSGVO bereits bei der Auswahl des Anbieters auf Folgendes achten: Erstens, dass der designierte Dienstleister je nach Art, Umfang, Kontext und Zweck der Verarbeitung hinreichende Garantien für die Sicherheit der Datenverarbeitungsprozesse bietet. Und zweitens, dass die Rechte der betroffenen Personen vertraglich abgesichert sind. Das gilt umso mehr, wenn es sich um sensible Daten, wie solche von Kindern, handelt. Noch strenger werden die Anforderungen, wenn sich der Dienstleister in einem Drittstaat befindet, also in einem Staat, in dem die DSGVO nicht unmittelbar geltendes Recht ist. Denn eine Übermittlung in einen solchen Staat ist nur dann zulässig, wenn darüber hinaus nachweislich sichergestellt ist, dass die Verarbeitung personenbezogener Daten den von der DSGVO aufgestellten Standards entspricht.

Bei Microsoft Office 365 würden zahlreiche Telemetriedaten verarbeitet und Microsoft mache dies nicht hinreichend transparent.

Im Falle von Microsoft Office 365 im schulischen Kontext sieht Herr Ronellenfitsch diese Anforderungen nicht erfüllt. Zwar – so der HBDI – können Schulen grundsätzlich Cloud-Dienste nutzen. Allerdings würden bei Microsoft Office 365 zahlreiche Telemetriedaten verarbeitet und Microsoft mache dies nicht hinreichend transparent. Zu Telemetriedaten zählen zum Beispiel Informationen über die Sicherheitseinstellungen oder Absturzberichte, aber auch Daten zur Nutzungshäufigkeit bestimmter Anwendungen. Vor allem stützt der HBDI seine Einschätzung jedoch auf die generelle Gefahr eines möglichen Zugriffs von US-Behörden auf diese Daten. Hintergrund ist der sogenannte CLOUD Act (Clarifying Lawful Overseas Use of Data Act), der US-Behörden weitreichende Zugriffsbefugnisse auf gespeicherte Daten einräumt, selbst wenn diese nicht in den USA verarbeitet werden.

Entwickler.de: Was sind die unmittelbaren Auswirkungen der HBDI-Stellungnahme? Müssen alle Office-365-Produkte an hessischen Schulen unverzüglich deinstalliert werden?

Frederike Kollmar: Der HBDI verweist auf die Möglichkeit, On-Premises-Lizenzen auf lokalen Systemen zu nutzen. Das ist allerdings mit Blick auf Ressourcen und Finanzen wohl nicht immer sofort möglich und ggf. auch nicht erforderlich. Denn Stellungnahmen der Aufsicht sind naturgemäß generalisierend, weshalb stets im Einzelfall zu fragen ist, ob und wie eine Verarbeitung zulässig ist. Schulen sollten sich daher Gedanken machen, ob und wie sie Microsoft Office 365 datenschutzkonform einsetzen können. Jedenfalls sollten Connected Services und die Datenübermittlung zum Zwecke der Verbesserung der Services deaktiviert werden. Auch können Verschlüsselungen und ähnliche technische Maßnahmen risikominimierend wirken. Stellt sich heraus, dass tatsächlich ein hohes Risiko für die Daten der Schüler besteht, sollten alternative Software- bzw. Cloudlösungen gewählt werden.

Entwickler.de: Wie sieht es bezüglich Hochschulen, Behörden und anderen staatlichen Einrichtungen aus: Ist auch dort voraussichtlich mit einer entsprechenden Stellungnahme zu Office 365 zu rechnen?

Es ist sicherlich verfehlt, nun in blinden Aktionismus zu verfallen.

Frederike Kollmar: Das lässt sich nicht pauschal beantworten, auch hier kommt es auf den konkreten Einzelfall an. Trotz der unbestrittenen besonderen Verantwortung, die öffentliche Einrichtungen mit Blick auf den Datenschutz haben, ist es aber sicherlich verfehlt, nun in blinden Aktionismus zu verfallen. Allerdings kann eine Datenschutz-Folgenabschätzung erforderlich sein. Derzeit lässt etwa der Europäische Datenschutzbeauftragte (EDSB) so prüfen, ob die EU-Dienststellen Microsoft Office 365 datenschutzkonform nutzen können.

Entwickler.de: Ist zu erwarten, dass weitere Bundesländer nachziehen werden?

Frederike Kollmar: Das ist nicht auszuschließen. Allerdings sah sich der HBDI wohl auch deshalb zu dieser Stellungnahme veranlasst, weil er 2017 den Einsatz von Microsoft Office 365 in der Deutschland-Cloud noch explizit für zulässig erklärt hatte. Insofern ist auch denkbar, dass andere Bundesländer erst einmal die die weiteren Entwicklungen auf EU-Ebene abwarten werden. Denn derzeit machen sich bereits diverse Akteure auf EU-Ebene ebenfalls Gedanken zu diesem Thema. Vor dem EuGH etwa wurde gerade die Sache Schrems II verhandelt. Darin geht es auch um die Frage, ob die Überwachungsmöglichkeiten der US-Behörden die Rechte der Europäer verletzt, deren Daten in die Vereinigten Staaten übermittelt werden. Sollte das Gericht zu dem Schluss kommen, dass dies der Fall ist, wird die Entscheidung erhebliche Auswirkungen auf verantwortliche Behörden und Unternehmen gleichermaßen haben.

Gleichzeitig arbeitet die EU an einem Abkommen mit den USA, das eine Brücke zwischen der umstrittenen E-Evidence-Verordnung über die grenzüberschreitende Herausgabe elektronischer Beweismittel (die noch nicht verabschiedet ist) und dem umstrittenen CLOUD Act schlagen soll. Gleichzeitig ist die EU aber auch recht umtriebig in ihren Bemühungen, die Einhaltung des Europäischen Datenschutzstandards zur Bedingung diverser Handelsabkommen zu machen.

Entwickler.de: Unter der Annahme, dass Microsoft auf eine Aufhebung des Verbots hinarbeiten möchte: Welche datenschutzrechtlichen Rahmenbedingungen müssten seitens des Unternehmens umgesetzt werden?

Frederike Kollmar: Microsoft bemüht sich nach eigenen Angaben bereits um mehr Transparenz und hat auch Nachbesserungen hinsichtlich der Verarbeitungen von Telemetriedaten versprochen. Den Hauptkritikpunkt auszuhebeln, ist aber insofern schwierig, als dass Microsoft als US-Konzern nun einmal den Bestimmungen des CLOUD Acts der Vereinigten Staaten untersteht. Allerdings hatte der HBDI das von Microsoft mit der Telekom eingegangene Treuhandmodell 2017 noch für rechtssicher einsetzbar erklärt. Ebenso die Bayrische Aufsicht. Bei diesem Modell war T-Systems als Dienstleister für die Office-Anwendungen von Microsoft Betreiber des Cloud-Dienstes und hatte als solcher alleinig Zugriff auf die dort gespeicherten Daten. Im Jahr 2018 verkündete Microsoft das Ende der sogenannten Deutschland-Cloud. Ein solches Modell könnte also helfen, den direkten Zugriff von US-Behörden zu verhindern.

Entwickler.de: Die DSGVO gilt natürlich nicht nur in Hessen – sondern in der ganzen Europäischen Union. Wurden in weiteren europäischen Ländern schon ähnliche Verbote umgesetzt oder handelt es sich hier für Microsoft um einen Präzedenzfall?

US-Cloud-Anbieter und Cloud-Nutzer befinden sich in einer Zwickmühle, da sie nicht beiden Rechtsregimen gleichzeitig gerecht werden können.

Frederike Kollmar: In der Rolle eines Präzedenzfalls befindet sich Microsoft nun schon seit 2013, seit eine US-Behörde mit einem Durchsuchungs- und Beschlagnahmebeschluss auf Grundlage des Stores Communication Act gegenüber Microsoft die Herausgabe von Kundendaten, die in Irland gespeichert waren, gefordert hatte. Es folgte ein jahrelanger Rechtsstreit zwischen Microsoft und den Vereinigten Staaten. Kurz bevor der US Supreme Court ein abschließendes Urteil hat erlassen können, wurde Mitte 2018 der CLOUD Act verabschiedet. Dieser regelt nun explizit eine Verpflichtung zur Übermittlung auch außerhalb der USA gespeicherter Daten an US-Behörden. Einen echten Richtervorbehalt gibt es dabei nicht. Hierin sieht der Europäische Datenschutzausschuss (EDSA) einen Widerspruch zu den Anforderungen der DSGVO. Denn diese erkennt Entscheidungen eines ausländischen Gerichts oder einer ausländischen Behörde, die einen Verantwortlichen oder einen Auftragsverarbeiter zur Übermittlung oder Offenlegung personenbezogener Daten verpflichtet, nur dann an, wenn sie auf ein entsprechendes Abkommen gestützt sind.

In einer Stellungnahme gelangt der EDSA – im Einvernehmen mit dem Europäischen Datenschutzbeauftragten – derzeit zu dem Ergebnis, dass das erforderliche Schutzniveau für die betroffenen Personen in der EU sowie die Rechtssicherheit für Unternehmen nur im Wege eines datenschutzkonformen internationalen Abkommens mit strengen verfahrensrechtlichen und materiellen Grundrechtsgarantien effektiv gewährleistet werden können.

Bis dahin befinden sich US-Cloud-Anbieter und Cloud-Nutzer in einer Zwickmühle, da sie nicht beiden Rechtsregimen gleichzeitig gerecht werden können.

Entwickler.de: Vielen Dank für das Interview!

Frederike Kollmar, MLE ist Rechtsanwältin mit Schwerpunkten im IT-, Datenschutz- und im Europarecht. Seit ihrer Zulassung zur Rechtsanwältin im Jahr 2016 hat sie zahlreiche namhafte Unternehmen u.a. aus dem Banken-, FinTech-, Industrie4.0-, eCommerce- und Ad-Technology-Sektor bei der Umsetzung der Datenschutz-Grundverordnung beraten. Besonderes Augenmerk legt sie dabei auf die Vereinbarkeit des Einsatzes moderner Technologien mit neuen Vorgaben des Europäischen (Datenschutz-)Rechts. Heute ist sie in der auf Medien und Technologie spezialisierten Rechtsanwaltskanzlei HÄRTING Rechtsanwälte in Berlin tätig.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu:
X
- Gib Deinen Standort ein -
- or -