Neues zum Datenschutzrecht
9.12.2022
Datenschutzaufsichtsbehörden: Einsatz von Microsoft 365 verstößt gegen DSGVO
Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat „festgestellt“, dass Verantwortliche aktuell nicht den Nachweis führen können, Microsoft 365 datenschutzrechtskonform zu betreiben. Dieses Statement der DSK wurde bereits am 24.11.2022 als „Festlegung“ veröffentlicht. Dort verweisen die deutschen Datenschutzaufsichtsbehörden „für eine vertiefte Bewertung“ auf eine Zusammenfassung einer Arbeitsgruppe der DSK.
Am 7.12. wurde nunmehr der Abschlussbericht vollständig veröffentlicht. Diesen 58-seitigen Bericht können Sie auf der Website der DSK oder direkt hier abrufen. Eine Zusammenfassung des Abschlussberichts finden Sie hier. Wer in dem Bericht jedoch Hinweise darauf sucht, was aus der rechtlichen Bewertung durch die Aufsicht folgt, wird enttäuscht. Im Abschlussbericht werden lediglich einzelne Punkte zur Begründung ausgeführt.
Bei ihrer Bewertung stellt die DSK auf den „Datenschutznachtrag zu den Produkten und Services von Microsoft“ (Microsoft Products and Services Data Protection Addendum (DPA)) in der Fassung vom 15. September 2022 ab.
Ein Kernpunkt der Kritik der deutschen Datenschutzaufsichtsbehörden für deren Einschätzung, dass ein Einsatz von Microsoft 365 nicht datenschutzrechtskonform erfolgen kann, ist die Unklarheit darüber, in welchen Fällen Microsoft als Auftragsverarbeiter tätig ist und in welchen als Verantwortlicher. Microsoft lege nicht vollumfänglich offen, welche Verarbeitungen im Einzelnen im Auftrag des Kunden und zu eigenen Zwecken stattfinden. Die Vertragsunterlagen seien insofern nicht präzise und erlaubten „im Ergebnis nicht abschließend bewertbare, ggf. sogar umfangreiche Verarbeitungen auch zu eigenen Zwecken.“
Ein zweiter Kernpunkt der Kritik der deutschen Datenschutzaufsichtsbehörden betrifft die derzeit bestehenden allgemeinen Rechtsprobleme bei einem Datentransfer in die USA bzw. einer Verarbeitung dort (s. dazu z.B. Datenschutz-News v. 8.10.2022).
Ein dritter Kernpunkt der Kritik der DSK zielt auf die Ausgestaltung der Rückgabe- und Löschverpflichtung, die nicht in jedem Fall den gesetzlichen Anforderungen aus Art. 28 Abs. 3 Satz 1 Satz 2 lit. g DSGVO entspreche. Verantwortliche, die Microsoft 365 einsetzen, könnten wegen der Unklarheit der Regelungen ihrer Rechenschaftspflicht nicht nachkommen.
Ein vierter Kernpunkt der Kritik der deutschen Datenschutzaufsichtsbehörden für deren Einschätzung, dass ein Einsatz von Microsoft 365 nicht datenschutzrechtskonform erfolgen kann, ist die unzureichende Information über Unterauftragsverarbeiter.
Dass Microsoft das ganz anders sieht, mag nicht überraschen. Die Stellungnahme von Microsoft zur datenschutzrechtlichen Bewertung durch die DSK kann hier abgerufen und nachgelesen werden.
Fazit
Nach 13 Gesprächen mit Microsoft gibt es von den deutschen Datenschutzaufsichtsbehörden lediglich die Feststellung, dass ein datenschutzrechtskonformer Einsatz von Microsoft 365 nicht möglich sei. In dem Abschlussbericht, der dieser „Feststellung“ zugrunde liegt, lassen sich zwar vereinzelt Ansatzpunkte finden, an denen man argumentativ ansetzen bzw. anknüpfen könnte, um eine andere Auffassung als die der DSK zu vertreten. Die Datenschutzaufsichtsbehörden selbst, sehen hier offenbar keinen Spielraum. Daher wird es spannend, wie die Behörden weiter vorgehen werden. Denn es sind nicht nur Verantwortliche im privaten, sondern gerade auch im öffentlichen Bereich, also Behörden und sonstige staatliche Stellen, die Microsoft 365 einsetzen. In jedem Fall besteht die Gefahr, dass jeden Verantwortlichen, der Microsoft 365 nutzt, aufsichtsbehördliche Maßnahmen treffen können. Bei den Hinweisen der DSK ist wie immer zu beachten, dass es sich um die Auffassung der deutschen Datenschutzaufsichtsbehörden handelt. Je nach Herangehensweise, Argumentation und konkreter Situation lässt sich der vorstehende Satz mit „lediglich“ oder „immerhin“ ergänzen. Als Anwalt ist es für mich im Ausgangspunkt „lediglich“ die Auffassung der Aufsicht. Eine andere Auffassung hat (nicht nur) Microsoft, die man hier nachlesen kann. Das letzte Wort hat im Zweifel die Rechtsprechung.
Sollten Sie Fragen zum Einsatz von Microsoft 365 oder zu sonstigen datenschutzrechtlichen Themen haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.
Zurück zur Übersicht