Zum Ende der diesjährigen DSK Datenschutzkonferenz 2022 wurden noch einmal zwei heiße Themen angefasst. Eine Pressemitteilung zur 104. Sitzung nebst Ergebnissen zur Forschung mit Gesundheitsdaten sowie ein Beschluss der DSK-Arbeitsgruppe zu Microsoft-Onlinediensten wie 365, Teams, Sharepoint & Co. Auf der Sitzung selbst spielte natürliche auch die Weiterentwicklung von GDPR, BDSG, ePrivacy-Richtlinie und anderen Vorgaben, sowie deren Probleme bei der Umsetzung eine Rolle. Außerdem gibt es einen neuen SDM-Leitfaden.

Gesundheitsdaten verschlüsseln und anonymisieren

Die DSK stellt eine Reihe von Forderungen zum Umgang mit Gesundheitsdaten auf. Professor Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) hierzu in der Pressemitteilung der DSK:

<Zitat> „Wissenschaftliche Forschung bringt unserer Gesellschaft notwendige und entscheidende Vorteile. Es ist wichtig, Forschung zu ermöglichen und gleichzeitig die Grundrechte der Bürgerinnen und Bürger zu wahren. Denn sie stehen im Mittelpunkt dieser Forschung und dürfen nicht zum bloßen Objekt der Datenverarbeitung gemacht werden. Das werden wir nur mit transparenten und nachvollziehbaren
Regeln schaffen. Mit dem besten rechtlichen und technischen Schutz für die betroffenen Personen. Mit Beratung und Überwachung durch die Datenschutzaufsichtsbehörden. Und durch eine gesetzliche Regelung des Forschungsgeheimnisses. Gerade den letzten Punkt fordert die DSK bereits seit 2004. Unsere Entschließung zeigt, dass Datenschutz und Forschung mit Gesundheitsdaten gleichzeitig möglich sind.“ <Zitatende>

In der Pressemitteilung heißt es weiter:

<Zitat> Zu den grundlegenden Garantien und Maßnahmen gehören für die DSK auch die Themen Verschlüsselung und Pseudonymisierung der Daten durch eine Vertrauensstelle, ebenso wie eine frühestmögliche Anonymisierung. Denn bei der Verwendung anonymer Datensätze, können Forschende diese Daten umfassend nutzen. Ein zentrales Registerverzeichnis und eine zentrale koordinierende Stelle mit Lotsenfunktion gehören ebenfalls zu den Forderungen der DSK. Insgesamt soll der Grundsatz gelten, dass Daten umso umfangreicher und spezifischer genutzt werden können, je höher der Schutz der betroffenen Personen durch geeignete Garantien und Maßnahmen ist. Die neu gegründete TaskForce Forschungsdaten unter dem Vorsitz des BfDI und des Hessischen Beauftragten für Datenschutz und Informationsfreiheit hat maßgeblich an der Entstehung der Entschließung mitgewirkt. <Zitatende>

Microsoft-Onlinedienste nicht DSGVO-konform

In zwei Dokumenten hat sich die DSK-Arbeitsgruppe „Microsoft-Onlinedienste“ eindeutig positioniert: Festlegung der Arbeitsgruppe DSK „Microsoft-Onlinedienste“ vom 24.11.2022 und Zusammenfassung des Berichts zur Arbeitsgruppe „DSK Microsoft-Onlinedienste“ vom 24.11.2022„.

In der Festlegung heißt es lapidar:

<Zitat> 2. Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann. Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.“ <Zitatende>

Die längere Zusammenfassung geht dann ins Detail der Gespräche mit Microsoft und die Ergebnisse ein. Abschnitt 3 des Dokumentes legt dar, dass es sehr wohl auch Fortschritte und Verbesserungen gegeben hat – aber nicht immer ausreichend. So wird im Kapitel „Weisungsbindung, Offenlegung verarbeiteter Daten, Erfüllung rechtlicher Verpflichtungen, CLOUD Act, FISA 702“ ausgeführt, dass die Weisungsbindung Microsofts nicht den gesetzlichen Mindestanforderungen gemäß Art. 28 Abs. 3 UAbs. 1 S. 2 Buchstabe a DSGVO reicht. Die Lösch- und Rückgabeverpflichungen werden dabei aber nicht immer erfüllt. Besonders kritisch ist immer noch die Übermittlung von Daten ins Ausland: „Eine Nutzung von Microsoft 365 ohne Übermittlungen personenbezogener Daten in die USA sei nicht möglich.“ Aktuell ist dies ein KO-Kriterium des Datenschutzes. In Abschnitt 3.7 heißt es weiter: <Zitat> „Es handelt sich mithin um eine klassische Ausprägung des Anwendungsfalls 6 des Anhangs 2 der Empfehlungen 01/2020 des Europäischen Datenschutzausschusses. Für diesen Anwendungsfall ist es den Aufsichtsbehörden bislang nicht gelungen, ergänzende Schutzmaßnahmen zu identifizieren, die zu einer Rechtmäßigkeit des Datenexports führen könnten. Die von Microsoft derzeit im Abschnitt „Ort der ruhenden Daten“ vorgesehenen Maßnahmen für die Speicherung der Daten (data at rest) führen weder zum Ausschluss einer Übermittlung noch begründen sie hinreichende Schutzmaßnahmen. Für die weiteren Verarbeitungen (abseits der Speicherung) enthält der Abschnitt „Datenübermittlung und Ort“ („Data Transfers and Location“) keine Aussagen zur Datenlokalisierung. Auch die von Microsoft im „Nachtrag zu zusätzlichen Schutzmaßnahmen“ zugesagten Maßnahmen sind nicht geeignet, die am Maßstab des EU- Rechts gemessenen grundrechtlichen Unzulänglichkeiten des US-amerikanischen Rechts auszugleichen.
Zudem behält sich Microsoft vertraglich auch weit reichende Offenlegungen vor, die im Falle ihrer Umsetzung nicht den in Art. 48 DSGVO aufgestellten Anforderungen entsprechen würden.
Für Übermittlungen personenbezogener Daten in andere Drittländer als die USA fehlt es bereits an einer Bewertungsgrundlage.“ <Zitatende>

Als Hoffnungsschimmer am Ende des Dokumentes wird ausgeführt: <Zitat> „Ob und in welchem Umfang durch die am 7. Oktober 2022 von US-Präsident Biden und Generalstaatsanwalt Garland vorgestellte Executive Order „Enhancing Safeguards for United States Signals Intelligence Activities“ und begleitende Rechtsverordnungen des US-Justizministeriums Änderungen des für die Bewertung von Drittstaatentransfers maßgeblichen Bedingungen des US-Rechts eingetreten sind, bleibt angesichts noch ausstehender Vollzugsschritte zur Implementierung dieser Regelungen im Rahmen dieses Berichts unberücksichtigt.<Zitatende>

Damit stehen Microsoft 365, Teams, Sharepoint und all die anderen weiteren Online-Dienste in der Kritik. Dies dürfte besonders auf den Einsatz von Microsoft-Produkten in der öffentlichen Verwaltung haben (deren Non-Microsoft-Systeme nämlich auch ihre Eigenheiten haben, und sei es nur das sie Google-Fonts laden oder die Sicherheitskopie der deutschen Cloud irgendwo anders liegt). Die kritischen Punkte lassen sich heilen, auch ohne Aufgabe von Grundprinzipien der DSGVO. Allerdings zeigt sich immer wieder, dass die Anforderungen des Datenschutzes nur mit sehr hohem Aufwand und Einschränkungen bei der Nutzbarkeit von Anwendungen umzusetzen sind. Datenschutz wird heute leider meistens als Hindernis für Effektivität udn Effizienz denn notwendige, sinnvolle Schutzmaßnahme gesehen.

SDM 3.0

Aber auch etwas Nützliches ist bei der 104. Sitzung des DSK herausgekommen: eine überarbeitete Version des SDM „Standard-Datenschutz-Modell 3.0 – Eine Methode zur Datenschutzberatung und –prüfung auf der Basis einheitlicher Gewährleistungsziele“. Der 76-seitige Leitfaden ist eine ausführliche Erläuterung der DSGVO und wie deren Einhaltung überprüft werden kann: https://www.PROJECT-CONSULT.com/files/DSK_Standard-Datenschutz-Modell_3.0_2022.pdf.