Home / Aktuelles & Termine / it.sec blog

Microsoft wird sein Cloud-Angebot in Deutschland erheblich erweitern und plant den Bau von zwei Datenzentren in Berlin und Frankfurt. Die Rechenzentren sollen die gleiche Leistung wie die bereits vorhandenen Rechenanlagen bieten. Die Inbetriebnahme ist für 2019 und 2020 geplant. Aus den neuen Rechenzentren werden Microsoft Azure, Office 365 und Dynamics 365 in vollem Funktionsumfang bereitgestellt. Damit kann Microsoft individuelle Compliance-Anforderungen erfüllen.

 

Die neuen Rechenzentrums-Regionen in Deutschland werden, so Microsoft, als Teil des globalen Microsoft-Cloud-Netzwerks die gleichen Service-Level und Sicherheitsstandards bieten wie die weltweiten Microsoft-Cloud-Angebote.

 

Microsoft bekennt sich zur Einhaltung der EU-Datenschutz-Grundverordnung (DSGVO) für die Cloud-Dienste und hat, so das Unternehmen, entsprechende Regelungen in die vertraglichen Verpflichtungen aufgenommen.

 

Die neuen, deutschen Rechenzentren sind eine Reaktion auf neue und veränderte Geschäftsanforderungen. Es wurden, so teilt das Unternehmen mit, Strategien entwickelt, mit denen die Umsetzung der DSGVO für die Kunden vereinfacht werden sollen.

 

Zukünftig können Neukunden wählen, ob sie die derzeit schon verfügbaren europäischen Regionen oder die neuen Regionen in Deutschland nutzen wollen.

 

Aus datenschutzrechtlicher Sicht wäre die Speicherung von Daten in Deutschland sehr begrüßenswert. Dennoch wird einem eine genaue Überprüfung der vertraglichen Gestaltung nicht erspart bleiben. Auch Datenübermittlungen in Drittstaaten ohne angemessenes Datenschutzniveau sind dadurch nicht automatisch ausgeschlossen. Denn bereits der Zugriff auf die in Deutschland gespeicherten Daten aus Drittstaaten, bspw. durch die System-Administratoren von Microsoft, stellt eine Datenübermittlung i.S.v. Art. 44 ff DSGVO dar und muss entsprechend abgesichert werden.

 

Michaela Dötsch

 

Rechtsanwältin

Die technischen Möglichkeiten, miteinander zu kommunizieren, ohne dabei im gleichen Raum oder sogar im gleichen Land zu sein, nehmen in der heutigen Zeit immer stärker zu. Dabei ist die Videotelefonie eine jener Methoden, welche eine schnelle und dennoch auch persönliche Kommunikation ermöglichen.

Diese Möglichkeit nutzen Unternehmen bereits in vielen Bereichen. Insbesondere werden zunehmend Bewerbungsgespräche über den Online-Dienst Skype abgehalten, anstatt den potentiellen Kandidaten vor Ort zu empfangen. Dies erspart Arbeitgeber und Bewerbern Zeit und Kosten.

Zum Einsatz von Skype im Bewerberauswahlverfahren hat sich die Berliner Beauftragte für Datenschutz und Informationsfreiheit in ihrem aktuellen Jahresbericht geäußert. So werden bei einem Bewerbungsgespräch über den Online-Dienst Skype nicht nur die für die Entscheidung über die Begründung des Beschäftigungsverhältnisses erforderlichen personenbezogenen Daten verarbeitet, sondern darüber hinaus sowohl Bild- als auch Tonaufnahmen erhoben und etwaige Chatprotokolle sowie sonstige Nutzungsdaten für 90 Tage gespeichert. Gleichzeitig werden die Daten an die Microsoft Corporation und damit an einen Dritten übermittelt, womit ebenso eine Datenübermittlung in Drittstaaten verbunden ist. Die dabei notwendigen Einwilligungen der Bewerber für eine solche Datenverarbeitung lassen sich auch nicht wirksam einholen, da das Kriterium der Freiwilligkeit nur unzureichend erfüllt sei. Daher wird vom Einsatz des Online-Dienstes Skype abgeraten.

Leider wird dabei von der Aufsichtsbehörde unberücksichtigt gelassen, ob und wenn ja, welche Änderungen sich in dieser Bewertung ergäben, wenn Skype for Business eingesetzt und die Microsoft Corporation als Auftragsverarbeiter des Arbeitgebers tätig wird, ob durch deren Privacy Shield-Zertifizierung die Rechte der betroffenen Personen nicht doch ausreichend gewahrt und diese hinreichend informiert würden und unter welchen Voraussetzungen eine Einwilligung der Bewerber dennoch wirksam eingeholt werden könnte.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Sofern Microsoft-Kunden mit Sitz in der EU/EWR die Online-Dienste der Microsoft Corporation (z.B. Office 365) nutzen, werden personenbezogene Daten, für die sie verantwortlich sind, von Microsoft im Auftrag verarbeitet und in Rechenzentren gespeichert, die sich u.a. auch in Drittstaaten befinden.

Die von Microsoft zur Verfügung gestellten Online Services Terms (OST) in ihrer jeweils aktuellen Form müssen daher den Vorgaben der Artikel 28 sowie 44 ff Datenschutzgrundverordnung (DSGVO) entsprechen.

Was ist dabei für die Verantwortlichen als schwierig anzusehen?

Der Aufbau des Textes ist eher undurchsichtig gestaltet:
Zum einen ist der Aufbau der OST insgesamt recht unübersichtlich gestaltet. Dies zeigt sich einmal dadurch, dass die einzelnen Bestandteile der notwendigen Bestimmungen im Sinne von Art. 28 Abs. 3 DSGVO nicht zusammenstehen, sondern im gesamten Text oder über Verweise zu anderen Verträgen, einzelnen Abschnitten oder Anhängen eher versatzstückhaft zu finden sind. So ergeben der eigentliche Volumenlizenzvertrag sowie die Data Processing Terms (DPT) (S. 11 ff der OST in der Version vom Juli 2017) den Vertrag zur Auftragsverarbeitung. Gleichzeitig sieht die Erfüllung des Volumenlizenzvertrags die Erfüllung der Standardvertragsklauseln (Anhang 3 zu den OST in der Version vom Juli 2017, auf welchen in den DPT verwiesen wird) vor (vgl. S. 11 ff der OST in der Version vom Juli 2017). Das erschwert eine schnelle Übersicht aller Regelungen erheblich. Alle wichtigen Bestimmungen müssen also aus verschiedenen Passagen und Bestimmungen herausgelesen und vom Verantwortlichen erst zu einem Gesamtbild zusammengesetzt werden. Zudem gelten die DPT nur für bestimmte Online-Dienste.

Die Angaben zu den Verarbeitungsstandorten sind teilweise widersprüchlich:
Zum einen gibt Microsoft an, dass die Daten in den USA, aber eben auch in allen Ländern verarbeitet werden können, in welchen das Unternehmen einen Standort bzw. eine Tochtergesellschaft hat (vgl. S. 9 der OST in der Version vom Juli 2017). Zum anderen wird je nach Online-Dienst ein gesonderter Ort genannt, an denen die Daten physisch gespeichert werden, entweder begrenzt auf ein sog. „Geo“ (z.B. Europäische Union oder Vereinigtes Königreich), die USA, das Land, in dem der Kunde seinen Mandanten-Account bereitstellt oder den Dienst konfiguriert, wo er bereitgestellt werden soll (vgl. S. 12 der OST in der Version vom Juli 2017), wenn nicht bei dem jeweiligen Online-Dienst zusätzliche Standorte gelten. Gleichzeitig wird über die Webseite http://www.microsoft.com/online/legal/v2/?docid=25&langid=de-DE der Speicherort am Sitz des Microsoft-Kunden festgemacht, also z.B., wenn der Sitz in der Europäische Union ist, werden Daten in Irland, den Niederlanden, Österreich, Finnland und den USA gespeichert. Die Standortangaben begrenzen sich zudem auf das Land, genaue Adressen werden nicht bekannt gegeben.
Zusammen mit den Standorten der zahlreichen eingesetzten Auftragsverarbeiter, sämtlichen Microsoft-Gesellschaften und den Rechenzentren an unbestimmten Orten eröffnet sich zugleich ein sehr großes wie auch für den Verantwortlichen undurchsichtiges Gebiet, in dem eine Verarbeitung stattfinden kann.

Ein Einspruch gegen den Einsatz weiterer Auftragsverarbeiter ist faktisch nicht möglich:
Weiterhin ist auch beachtlich, dass mit Abschluss des Vertrags der Verantwortliche in den OST zustimmt, dass Microsoft weitere Auftragsverarbeiter einsetzen darf, ohne die eingesetzten Dienstleister zu benennen oder auf die Webseite zu verlinken, wo die Liste der Auftragsverarbeiter bereitgestellt wird.
Microsoft stellt spätestens 6 Monate vor Bestimmung eines neuen Auftragsverarbeiters eine Liste mit den konkreten Daten dieser weiteren Verarbeiter zur Verfügung. Allerdings kann ein Einspruch des Verantwortlichen gegen einen dieser Verarbeiter dann nur durch eine Kündigung des Dienstes, welcher durch den weiteren Auftragsverarbeiter umgesetzt werden soll, wirksam gemacht werden. Sollte dieser Dienst ein Teil einer größeren Anwendung sein, stellt die Teilkündigung dann sogar eine Kündigung der gesamten Anwendung dar.
Sofern der Dienst also noch weiter genutzt werden soll, ist faktisch ein wirksamer Einspruch gegen den weiteren Auftragsverarbeiter nicht möglich.
Ob diese Auslegung des Einspruchs des Verantwortlichen mit der DSGVO konform ist, ist doch wenigstens fraglich.

Das Schriftformerfordernis wird nicht gewahrt:
Mit Art. 28 Abs. 9 DSGVO ist ein Abschluss des Vertrags zur Auftragsverarbeitung in Schriftform nicht mehr zwingend. In den OST werden jedoch auch die Standardvertragsklauseln zum Bestandteil des Vertrages, um insbesondere die mit der Nutzung der Online-Dienste verbundene Datenübermittlung in Drittstaaten abzusichern. Die Standardvertragsklauseln sind aber nur wirksam, wenn sie, wie im Annex zum Beschluss der EU-Kommission vom 05.02.2010 (2010/87/EU) vorgegeben, verwendet und nicht verändert werden. Durch die Unterschriftsfelder und in den Anhängen durch den Satz "Dieser Anhang ist Bestandteil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden“ deutet vieles darauf hin, dass der Abschluss der Standardvertragsklauseln der Schriftform bedarf. Es bleibt also fraglich, ob Standardvertragsklauseln mit der aufgedruckten Unterschrift durch den Corporate Vice President von Microsoft und ohne Unterschrift des Microsoft-Kunden in letzter Konsequenz wirksam einbezogen werden können.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

Abbinder Abmahnung Abmahnungen Abo-Falle ADCERT Angemessenheitsbeschluss Angriff Anklage Anwendbarkeit Anwendung Arbeitgeber Arbeitnehmer Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch Backup BAG BayDSG Bayerisches Datenschutzgesetz BDSG-Neu BEAST Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsvereinbarung Betroffenenrechte BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom Bonitätsprüfung Brexit Browser Bund Bundesarbeitsgericht Bußgeld Bußgelder BVG Cloud CNIL Compliance Cookie Custom Audience Cyber Dashcam Daten Datenlöschung Datenminimierung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung datenschutzkonform Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Deutsche Bahn Dienstleister Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSGVO DSK dynamische IP-Adresse E-Mail e-Privacy-Verordnung E-Rechnung eCall-Technologie EES EFAIL Einwilligung Einwilligungserklärung Einwilligungserklärungen Empfänger Entsorgung Erhebung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Parlament EuGH Europäische Union Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis FlugDaG Fluggastdaten Folgenabschätzung Foto Funkmäuse Funktastaturen Geldbörse Gemeinsam Verantwortliche Gericht Gesetz gegen den Unlauteren Wettbewerb Gesundheitsdaten Google Google Analytics hacken Hacker Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Home Office Immobilienmakler Informationspflicht Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights interner Datenschutzbeauftragter Investition IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Security IT-Sicherheit IT-Systeme ITSECX Jin-hyok Joint Control Kanada Keynote Klagebefugnis Klingelschilder Kommune Konferenz Kontaktdaten Kontakte Konzern konzerninterner Datentransfer KoSIT Kriminalität KUG Kundenbindung Kundenzufriedenheit Kunsturhebergesetz Lazarus Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Löschungsrecht Lösegeld Malware Markennamen Markenrecht Marktortprinzip MD5 Meldepflicht Meldescheine Meldung Meltdown Messenger Microsoft Mieter Misch-Account Mitarbeiter Mitbewerber MouseJack-Angriffe Netzwerklabor NIST Nordkorea Nutzungsbedingungen Öffnungsklauseln One Stop Shop Österreich Papierrechnung Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Patientendaten Penetrationstest Personalausweiskopien personenbezogene Daten Personenbilder Persönlichkeitsrechte Pflichten Plattformbetreiber PNR-Daten PNR-Instrumente POODLE Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Privatsphäre Profiling Quantencomputer Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Referenten Regelungsaufträge Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management SamSam Sanktionen Schaden Schadprogramm Seitenbetreiber SHA1 sicher Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Skype Smartphone Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke Spectre Sponsoren Standardvertragsklauseln Strafe Strafverfolgung Studenten Supercomputer Risikolage Support Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telefonnummer Telemediendienst Telemediengesetz Telstra Security Report TKG TLS TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe US-Regierung USA UWG Verantwortlicher Verantwortung Vereinbarung Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Virus Vorteile WannaCry Webseite Webseiten Webtracking Webtrecking Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wohnung X-Rechnung Zertifikat Zertifizierung Zugangsdaten Zugriff zulässig Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31