Auftragsverarbeiter auf Abwegen – Ist Office365 DSGVO-konform?

Was geschieht, wenn gegebene Versprechen nicht eingehalten werden? Im Privaten führt das regelmäßig zu Enttäuschung und Schmerz. Wenn das allerdings im geschäftlichen Umfeld passiert, sind die Konsequenzen daraus oft sehr unangenehm und können gerade in Hinblick auf die DSGVO auch teuer werden. Was, wenn sich nämlich ein sorgfältig ausgesuchter Auftragsverarbeiter, plötzlich als nicht DSGVO-konform herausstellt? Drohen astronomische Strafen, wenn der Auftragsverarbeiter nicht sofort gewechselt wird?

Auf die richtige Wahl kommt es an

Bei der Auswahl der richtigen Software für das eigene Unternehmen stehen wir vor einer Reihe an Herausforderungen. Die Auswahl ist groß und das Netz voller gut gemeinter Ratschläge und mehr oder weniger brauchbaren Rezensionen und Einschätzungen. Im Gespräch mit anderen, die vor dem gleichen Problem standen, hört man oft, dass der Weg zum richtigen Produkt sehr steinig, teuer und von herben Rückschlägen begleitet war. Weil ein bestimmtes Produkt die Anforderung des einen Unternehmens gut erfüllt, gibt es keine Garantie dafür, dass es auch zu den eigenen Anforderungen passt. Was in dieser Situation hilft, ist ein professionelles Requirements Engineering, das Anforderungen in die Sprache der IT übersetzt und auf diesem Wege hilft gezielt den richtigen Anbieter zu finden. Das kann eine Menge Geld sparen, wie das gern genannte Beispiel der 500 Millionen Euro teuren, gescheiterten SAP Implementierung bei Lidl zeigt.

Seit Mai 2018 ist aber bei der Auswahl eine weitere Herausforderung dazu gekommen. Neben den persönlichen Anforderungen muss auch die DSGVO-Konformität beachtet werden. Wenn wir eine Software nutzen und dem Hersteller personenbezogene Daten anvertrauen, wird dieser zu unserem Auftragsverarbeiter (AV) und muss im AV-Vertrag den DSGVO konformen Schutz dieser Daten garantieren. Kann er das nicht, scheidet dieser Hersteller aus und das Feld der möglichen Werkzeuge/Software lichtet sich.

Wenn die Wahl sehr beschränkt ist

Abgesehen von individuellen Softwarelösungen gibt es Standard-Software, an der es in der Regel kein Vorbeikommen gibt. Eine davon ist das Office-Paket von Microsoft, das in seinem Bereich eine marktbeherrschende Stellung einnimmt. Kaum jemand ist noch nicht mit MS Word, MS Excel, MS PowerPoint, MS Outlook usw. in Berührung gekommen. Microsoft ist schon früh auf den Zug der DSGVO-Konformität aufgesprungen und hat von Anfang an die DSGVO-Konformität seiner Office365 Produkte gepriesen.

Beunruhigende Nachrichten erreichen uns nun aber aus der Redaktion des iX Magazins des Heise Verlages (Achtung Gated Content!). So soll Microsoft bei der Installation und auch bei der Verwendung seines aktuellen Office Paketes einige technische Schwachpunkte aufweisen, die nicht DSGVO-konform sind.

Die falsche Wahl getroffen

Was bedeutet das nun für uns, die diese Software einsetzen? Müssen wir nun ab sofort das Arbeiten mit dem Office Paket von Microsoft einstellen? Schließlich ist nun offenbar bekannt, dass MS dem Auftragsverarbeiter-Vertrag zuwiderhandelt. Muss dieser nicht sofort gekündigt und die an MS übergebenen Daten zurückgefordert werden? Was wird aus den Kosten, die uns durch den Kauf der MS Software entstanden sind und die jetzt beim Wechsel auf ein anderes Produkt auf uns zukommen?

Grundsätzlich hat ein Verantwortlicher darauf zu achten, dass die eingesetzten Werkzeuge der DSGVO entsprechen und darf nur Auftragsverarbeiter einsetzen, die DSGVO-Konformität garantieren. Es liegt auch in der Verantwortung des Verantwortlichen diese Konformität zu überprüfen.

Was sagt die Verordnung?

Im Artikel 32 definiert die DSGVO zu den notwendigen technischen und organisatorischen Maßnahmen: „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“.

Wenn also der Marktführer im Bereich der Office Anwendungen DSGVO-Konformität garantiert und sich Millionen von Anwendern inklusive vieler Behörden darauf verlassen, dass der Hersteller diese auch einhält, ist hier nach unserer Einschätzung der Stand der Technik und die Verhältnismäßigkeit ausreichend berücksichtigt.

Verhalten im Brandfall

Wie verhalten wir uns in so einem Fall, wie der bekannt gewordenen Sicherheitslücke beim Office Paket, also richtig? Sofern einer bestellt wurde, sollte der erste Weg zum (externen) Datenschutzbeauftragten führen, der hier beratend zur Seite steht. Ist kein Datenschutzbeauftragter bestellt, stellt die für den Datenschutz zuständigen Person im Unternehmen die entsprechende Anlaufstelle dar. Auf jeden Fall ist es ratsam, den Sachverhalt und dazu getätigte Überlegungen zu dokumentieren. Das zeigt, eine bewusste Auseinandersetzung mit der Problematik und dass das Thema Datenschutz im Unternehmen ernst genommen wird.
Eine weitere zuverlässige Informationsquelle ist in solchen Fällen auch die zuständige Datenschutzbehörde. Bei einer Software dieser Dimension wird es seitens der Datenschutzbehörden entsprechende Empfehlungen geben.

Wie es nun weiter geht

Microsoft hat inzwischen auf die durch das iX Magazin erhobenen Vorwürfe reagiert und (wenn aktuell auch noch etwas diffus) versprochen, die gefundenen Lücken zu schließen. Natürlich müssen wir uns auch hier wieder auf ein gegebenes Versprechen verlassen. Aber vorerst können wir hoffen, dass dieses Versprechen eingehalten wird und uns somit die Suche nach einer neuen, vergleichbaren Software erspart bleibt. Im Endeffekt bleibt der beruhigende Gedanke, dass auch die ganz Großen der Branche nicht unbemerkt mit Fehltritten im Datenschutz davonkommen.


Diesen Beitrag teilen: