Datenschutz-Update Teil 2: Von Snowden bis Corona

Im zweiten Teil dieser Mini-Serie gehen wir auf die politischen Rahmenbedingungen und deren Einfluss auf die Nutzung sämtlicher US-Cloud Dienste ein.

Wir verlassen damit nun die produktbezogenen Datenschutzprobleme von Microsoft/Office 365, die wir nach der Behandlung im ersten Teil als temporär und lösbar betrachten, und wenden uns der Frage zu, ob die DS-GVO grundsätzlich mit der Datenverarbeitung im Drittland USA vereinbar ist.

Snowden als Auslöser

Safe Harbor kippt

In Europa wurde deshalb 2015 zunächst das Safe Harbor [1 (Wikipedia)] Abkommen zwischen den USA und Europa gerichtlich gekippt [2 (BfDS)]. Dem Abkommen (aus dem Jahr 2000) nach sollten personenbezogene Daten aus Europa auch in Amerika datenschutzsicher verarbeitet werden können, die USA sicherten für diese Daten einen „sicheren Hafen“ zu. Nun, nachdem bekannt wurde, dass dem nicht so war und Geheimdienste massenhaft auch Daten europäische Bürger verarbeiteten, musste das EuGH das Abkommen für ungültig erklären. Nach dieser Entscheidung gab es keine generelle Erlaubnis mehr, europäische Daten in den USA zu verarbeiten, sondern nur noch individuelle, wie z.B. die Standardvertragsklauseln, die Microsoft mit Europa ausgehandelt hatte und die als Teil der Office 365 Nutzungsvereinbarungen die notwendigen Zusagen zum Datenschutz machten. 

Notanker Privacy Shield

Der Nachfolger von Safe Harbor hieß Privacy Shield [3 (Wikipedia)] und wurde von der europäischen Kommission 2016 aufgesetzt, um wieder ein generelles Vertrauensverhältnis für die Verarbeitung von Daten in den USA herzustellen.

Nach Bekanntwerden der Snowden Enthüllungen und des Kippens von Safe Harbour war unterdessen den amerikanischen Unternehmen wie Microsoft und Apple klar, dass ein gigantischer Vertrauensverlust drohte. Unabhängig von dem neuen Abkommen führten beide Unternehmen deshalb Prozesse gegen die Regierung, und wollten damit die Einhaltung der Rechtswege erzwingen, denn natürlich ist eine durch ein Gericht im Rahmen einer Straftat angewiesene/erlaubte Nutzung von Daten rechtskonform möglich. Zusätzlich hat Microsoft über die Jahre hinweg die Daten der Geschäftskunden zunehmend auf Datenspeicherorte in Europa verschoben (z.B. Niederlande, Irland), nicht zuletzt (ab 2020 Standard für deutsche Kunden) aber auch nach Deutschland. Auch auf die Daten im US-Ausland hatte es die US-Regierung allerdings abgesehen und auch hierzu gab es Rechtsstreit. Man kann mit Fug und Recht sagen, dass Microsoft (aber auch Apple) sich mit Händen und Füßen gewehrt hat um die Daten der europäischen Kunden  vor der eigenen Regierung zu schützen [4 (Heise) und 5 (Golem: „Microsoft will trotz Gerichtsbeschluss keine Daten hergeben“)].

Cloud Act: Wie man Unrecht zu Recht macht

Bevor Gerichte die (geheime) Nutzung der Daten durch die US-Regierung abschließend klären konnten, hat diese über den sog. Cloud Act einfach das bestehende Unrecht aus Ihrer Sicht zu Recht gemacht. Der Cloud Act ermöglicht seit 2018 den Zugriff auch auf Daten, die US-amerikanische Unternehmen im Ausland speichern [6 (Heise)]. Theoretisch sichert er als bilaterales Abkommen auch die Zugriffe anderer Staaten auf ausländische Daten zu, aber außer England ist dem Cloud Act kein weiterer Staat beigetreten.

Privacy Shield kippt, Standardvertragsklauseln angezählt

Damit sind wir in 2020 angekommen, wo die frühe Erkenntnis, dass Cloud Act und DS-GVO in ihren Grundprinzipien nicht vereinbar sind, schließlich in rechtliche Folgen mündete, die rechtlichen Mühlen mahlen langsam.  Im Juli 2020 erklärt der EuGH das Privacy Shield Abkommen für ungültig [7 (ZDFheute)]. Damit bewegten sich erneut die Unternehmen im rechtsfreien Raum, deren US-Dienstleister sich in ihren Nutzungsbedingungen auf den Privacy Shield berufen. Doch nicht nur das, auch die EU-Standardvertragsklauseln, quasi die letzte vertragsrechtliche Grundlage für die Verarbeitung von Daten durch US-Unternehmen wie Microsoft, gerieten ins Wanken, wurde vom EuGH angezählt, „wenn im Einzelfall feststeht, dass ein angemessenes Schutzniveau aufgrund der Überwachungspraxis von Regierungsbehörden im betreffenden Land nicht gegeben ist. Steht daher fest, dass etwa US-Regierungsbehörden unter Verletzung von Rechten von EU-Bürgern jederzeit unkontrolliert Zugriff auf deren Daten haben, so können die EU-Standardvertragsklauseln nur unter Einhaltung ergänzender Garantien als taugliche Rechtsgrundlage für die Inanspruchnahme von US-Cloud-Diensten dienen.“ [8 (Handlungsempfehlung RA Heuking)]. Damit sind wir bei folgender Skizze (Quelle: Eigene Grafik) angekommen, die das Dilemma darstellen soll:

Der Datenschutzsalat aus deutscher Sicht

Die o.g. EuGH Entscheidung war ein Paukenschlag, im Grunde nicht auflösbar, denn wie soll z.B. Microsoft Garantien geben, die den Vorschriften des Cloud Acts entgegenstehen? Eine erste Orientierungshilfe gab am 28.08.2020 die Landesbehörde in Baden-Württemberg mit konkreten Handlungsvorschlägen [9 (LBfDS-BW) und wieder 8 (Heuking)]. Demnach muss Microsoft weitere Maßnahmen zusichern, z.B. Speicherung der Daten in der EU und die Verschlüsselung der Daten. Es folgten widersprüchliche Aussagen der Länder in der Datenschutzkonferenz [10, 11] bzw. eine knappes (9 zu 8 Ländern) „Nein“ zu Office 365. In der rechtlichen Bewertung wurde dann wieder relativiert, u.a. da die Datenschutzkonferenz von inzwischen veralteten Nutzungsbedingungen ausging und Microsoft natürlich weiterhin versuchte, die Bedingungen zu erfüllen und mehr Datenschutz zuzusichern [12 (diercks-digital-recht.de)]. Die Datenschutzkonferenz hat jedenfalls, ob der Uneinigkeit – eine weitere Arbeitsgruppe gestartet, die den Kontakt zu Microsoft suchen soll. Auf europäischer Ebene gibt es bereits eine entsprechende Arbeitsgruppe.

Befreiungsschlag seitens Microsoft

Ob all dies bereits Früchte getragen hat, oder ob Microsoft erneut schneller als der Markt auf die Kritik reagiert, seit Ende des Jahres gibt es jedenfalls Hoffnung auf mehr Rechtssicherheit. Microsoft hat deutliche Änderungen an den Standardvertragsklauseln und allgemeine Verbesserungen angekündigt [13 (Microsoft)] und man kann den bisherigen Kommentaren der Landesdatenschutzbeauftragten vom 20.11.2020 die Erleichterung anmerken [14 (hessen.de]. Microsoft wurde hier vom LfDI Baden-Württemberg regelrecht gelobt: „Aber dass sich Microsoft als einer der größten, international agierenden Konzerne weltweit, mit einer erheblichen Marktmacht in Europa, nun in die richtige Richtung bewege und wesentliche Verbesserungen für die Rechte der Europäischen Bürgerinnen und Bürger in seine Vertragsklauseln aufnehme, sei ein wichtiger Schritt und ein deutliches Signal an andere Anbieter, diesem Beispiel zu folgen.“

Konkret hat Microsoft in [13] folgende Dinge angekündigt:

1. „Erstens verpflichten wir uns, dass wir jede Anfrage einer staatlichen Stelle – egal von welcher Regierung – nach Daten unserer Unternehmenskunden oder unserer Kunden aus dem öffentlichen Sektor anfechten werden, wenn es dafür eine rechtliche Grundlage gibt. „
2. „Zweitens werden wir die Nutzer*innen unserer Kunden finanziell entschädigen, wenn wir ihre Daten aufgrund einer Anfrage einer staatlichen Stelle unter Verletzung der EU-Datenschutz-Grundverordnung (EU-DS-GVO) offenlegen müssen.“

Kurzes Fazit

So bleibt die Geschichte spannend und wird weitergehen. Kein Grund zur Panik, kein Grund zur Ablösung von Office 365. Für uns steht nach wie vor fest, wie auch schon im ersten Teil dieser Mini-Serie ausgeführt: Microsoft hat durch seine Reaktionen immer wieder bewiesen, dass dem Unternehmen der Schutz der Daten seiner Kunden wirklich wichtig sind. Gleichzeitig kann es langfristig seitens EU und USA keine unauflösbaren Rechtskonflikte, die der Cloud Act verursacht hat, geben. Dafür wird der wirtschaftliche Druck zu groß sein, und dafür sind auch die bereits bestehenden Abhängigkeiten zu groß.

Was bedeutet das alles für die Praxis?

Für die Praxis sind folgende Aspekte wichtig:

• Office 365 ist kein Einzelprodukt, sondern eine Sammlung von Diensten. Die Datenschutzkonformität ist deshalb auch davon abhängig, ob die einzelnen Dienste aktiviert sind und wie sie konfiguriert sind und nicht zuletzt, wie sie genutzt werden. Das kann man bei der Einrichtung durch kompetente Dienstleister und Beratung sicherstellen.
• Microsoft ist nicht nur Auftragsverarbeiter („Processor“, z.B. als Email und Cloud-Speicher Provider in Office 365) im Sinne der DS-GVO, sondern manchmal auch Verantwortlicher („Controller“, z.B. wenn bestimmte andere Dienste des Unternehmens wie Bing Maps in Office 365 angeboten werden). Auch hier ist eine korrekte Einstellung des Office 365 Pakets wichtig, z.B. um die Rolle von Microsoft als klassischen Auftragsverarbeiter zu begrenzen
• Bei aller Liebe zu Office 365 sollte man sich rein formell bei der aktuell noch bestehenden Rechtsunsicherheit die Frage stellen, ob es „zumutbare Alternativangebote ohne Transferproblematik“ gibt, also wie unverzichtbar Office 365 im Unternehmen ist. In den meisten Fällen gilt aber wohl folgendes wichtiges Abwägungskriterium: Als weltweit führende Basis-Kommunikationsinfrastruktur für jegliche Unternehmensgröße ist Office 365 nicht so einfach, und vor allem nicht ohne hohen Aufwand ersetzbar.
• Für den Einsatz in der Schule muss unterschieden werden zwischen der Nutzung in der Verwaltung zur Organisation der Schule und der Lehrer untereinander (mit Hilfe von Email, Teams, Funktionskalender, etc.) und der Nutzung im Lehrbetrieb unter Einbeziehung von Schülern. Während ersteres unter Zustimmung der Lehrerkonferenz entschieden werden kann und die gleichen Anforderungen gelten wie bei der Nutzung im Unternehmen, sind (minderjährige) Schüler im Sinne der DS-GVO besonders schützenswert. Das führt im letzteren Fall recht schnell zu großen Problemen in der Praxis, wie ein Datenschützer in einem Heise Artikel aufzeigt [15 (Heise)]. Von vielen Kontakten zu Lehrern und Schulen wissen wir, dass diese Nutzungsarten selten sauber getrennt werden und sich eine widersprüchliche Abneigungshaltung entwickelt. Wir hatten schon einmal darauf hingewiesen. Eine Schule sollte mit der Nutzung von Office 365 immer erst die eigenen Verwaltungsprozesse verbessern, damit wären schon gewaltige Fortschritte in der schulischen Zusammenarbeit erreicht. Dann kann immer noch entschieden werden, ob die europäischen oder deutschen Lernplattformen den Anforderungen der Schulen genügen, oder ob man auch hier einzelne Vorteile von Office 365 nutzt. Eine komplette Abhängigkeit der deutschen Schulen von amerikanischer Software wäre auch aus unserer Sicht sehr kritisch zu bewerten. In der Schule gilt natürlich auch für andere Dienste wie Padlet: Transparenz schaffen und Einverständnis der Eltern einholen. Einzelne Schulen wurden bei Missachtung schon angemahnt [16 (Heise)]. Das passiert aber anscheinend noch nicht sehr oft. Deshalb gilt in der Schulpraxis aktuell sehr häufig die Devise „Wo kein Kläger, da kein Richter“.

Abschließende Bemerkungen zur Relativierung

Nun folgen noch einige Hinweise, mit denen jeder für sich die allgemein bekannten Diskussionen dieser Zeit für eine Relativierung nutzen mag:

• Wie oben dargelegt und belegt, setzt Microsoft sehr hohe Datenschutzstandards bei seinen Cloud Diensten und ist dabei marktführend. Nicht zuletzt kümmern sich weltweit ca. 4000 Mitarbeiter auch um das Thema Sicherheit dieser Dienste, z.B. was die Mail-Filterung von Schadsoftware angeht. Trotzdem wurden in den Eltern- und Lehrerforen /-chats während der ersten Homeschooling-Phase sehr schräge, vollkommen faktenlose Diskussionen über den angeblich problematischen Datenschutz bei der Software Teams geführt. Statt dessen wurde häufig auf Zoom gesetzt, was erwiesenermaßen mehrfach selbstverschuldete Probleme mit der Sicherheit und mit dem Datenschutz hatte [17 (Heise)]. Teilweise wurde auch Jitsi genutzt, an sich ein dezentrales und gutes System, aber, wenn dies nicht selbst gehostet wird, dann ist man natürlich dem Hoster/Anbieter des Jitsi Servers ausgeliefert, der oft gar nicht bekannt ist. Man sollte also die Kirche im Dorf lassen und sich ernsthaft mit dem Datenschutz der Dienste auseinandersetzen, Datenschutz und Stammtisch-Niveau sind nicht wirklich kompatibel.
• Unser Smartphone ist eine Datenschutzkatastrophe! Bevor die IT-Laien in Eltern- und Lehrerschaften sich über mögliche Datenschutzprobleme eines Videokonferenztools Gedanken machen, sollten Sie umgehend die eigene App-Nutzung einer Revision unterziehen. Das Ausmaß der allein kommerziellen Überwachung wird erst schrittweise deutlich und ist damit noch lange nicht behoben [18].
• Die Corona-App ist datenschutzkonform. Es ist kaum zu glauben, aber die Entscheider haben den Argumenten der Experten im Frühjahr und dem daraus folgendem öffentlichen Druck nachgegeben und eine Lösung konzipiert und entwickelt, die sogar der Chaos Computer Club indirekt gelobt hat (indem er sie nicht kritisiert hat). Wie die Taz schreibt [19 (Taz)], „diffundieren (nun) Vertreter:innen der Fraktion Ich-hab-nichts-zu-verbergen in die Talkshows hinein“ und fordern eine Aufweichung des Datenschutzes, um die Pandemie besser bekämpfen zu können. Unabhängig davon, wie sinnvoll das wäre (siehe auch hierzu 19): Wer in diesen Chor mitsingt, sollte sich mit einer halbgaren datenschutzrechtlichen Beurteilung von Videokonferenztools vielleicht lieber zurückhalten. Eine Nutzung dieser ist reversibel, Einschränkungen der Grundrechte per Verordnung oder Gesetzesänderungen sind dies meistens nicht. Das lehrt uns die Geschichte. Einschränkungen der Freiheit und Überwachung scheinen wie die Entropie in der Thermodynamik stetig und unaufhaltsam zuzunehmen, dies belegt auch eine neue Studie von Freedom House ([20 (heise)] „Regierungen nutzen Coronakrise als Vorwand für Überwachung und Zensur“). Wir sollten deshalb sehr dankbar sein für die DS-GVO und diese mit allen Mitteln gegen Aufweichung schützen.

Quellen:

[1] Safe Harbor – Wikipedia

[2] Internetauftritt des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit – zu den Pressemitteilungen – Safe Harbor ist gekippt – Was nun?

[3] EU-US Privacy Shield – Wikipedia

[4] Microsoft verteidigt Daten in Europa gegen US-Zugriff | heise online

[5] Cloud-Durchsuchung: Microsoft will trotz Gerichtsbeschluss keine Daten hergeben – Golem.de

[6] CLOUD Act – US-Gesetz für internationalen Datenzugriff und -schutz verabschiedet | heise online

[7] Urteil über „Privacy Shield“: EuGH kippt EU-US-Datenschutzvereinbarung – ZDFheute

[8] Nach EuGH-Urteil zum Privacy-Shield – Datenschutzbehörde veröffentlicht Handlungsempfehlungen für die Praxis (heuking.de)

[9] LfDI-BW-Orientierungshilfe-zu-Schrems-II.pdf (datenschutz.de)

[10] Microsoft Office 365: Die Gründe für das Nein der Datenschützer | heise online

[11] Unabhängiges Datenschutzzentrum Saarland: Pressemitteilung vom 02.10.2020 – Stuttgart, München, Ansbach, Wiesbaden, Saarbrücken

[12] Datenschutzbehörden stimmen Bewertung „Microsoft Office365 sei nicht datenschutzgerecht einsetzbar“ mehrheitlich zu | Ist damit der Einsatz von Office365 in jedem Fall klar rechtswidrig? Spoiler: Nein. | Diercks Digital Recht (diercks-digital-recht.de)

[13] https://news.microsoft.com/de-de/neue-massnahmen-zum-schutz-von-daten/

[14] Microsoft ergänzt Standardvertragsklauseln | Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (hessen.de)

[15] Office 365 in der Schule: Grobe Verletzungen datenschutzrechtlicher Vorschriften (netzpolitik.org)

[16] Schulen brauchen Klarheit beim Datenschutz | heise online

[17] Zugangsdaten für hunderttausende Zoom-Accounts zum Kauf im Darknet entdeckt | heise online

[18] Smartphone-Tracking: Wie Daten von kommerziellen Apps an den Staat gelangen (netzpolitik.org)

[19] Corona-App und Datenschutz: Datensammelfantasien – taz.de

[20] Studie: Regierungen nutzen Coronakrise als Vorwand für Überwachung und Zensur | heise online