Neues zum Datenschutzrecht

25.9.2020

Microsoft Office 365 – Deutsche Datenschutzaufsicht bezweifelt Rechtskonformität

Die deutschen Datenschutzaufsichtsbehörden kommen im Rahmen einer vorläufigen Bewertung von Microsoft Office 365 zu dem Ergebnis, dass auf Basis der Auftragsverarbeitungsunterlagen von Microsoft Stand Januar 2020 ein datenschutzrechtskonformer Einsatz nicht möglich sei.

Nach Informationen des Landesbeauftragten für Datenschutz und Informationsfreiheit Rheinland-Pfalz habe die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, ein entsprechendes Positionspapier des Arbeitskreises Verwaltung mehrheitlich zustimmend zur Kenntnis genommen. Die DSK habe beschlossen, eine Arbeitsgruppe einzurichten, die auf Grundlage dieser Bewertungen Gespräche mit Microsoft aufnehmen soll, um zeitnah datenschutzgerechte Nachbesserungen zu erreichen. Über die Notwendigkeit solcher Nachbesserungen bestehe in der DSK Einigkeit.

Microsoft hat wenig überraschend eine andere Auffassung. Nach einem Bericht der Zeit sagte eine Sprecherin des Konzerns: "Microsoft beachtet die jeweiligen gesetzlichen Anforderungen in den Märkten, in denen wir tätig sind, sehr genau. Wir sind überzeugt, dass unsere Produkte im Allgemeinen und damit auch Microsoft Office 365 im Einklang mit dem anwendbaren Datenschutzrecht genutzt werden können". Microsoft werde wie bereits in der Vergangenheit mit der Arbeitsgruppe aus den Behörden auf Bundes- und Länderebene zusammenarbeiten, um Fragen und Anliegen gemeinsam zu erörtern und Lösungen zu erarbeiten.

Hintergrund

Microsoft Office 365 ist die Onlineversion der Programme Word, Outlook, PowerPoint und Excel sowie der Besprechungs- und Chat-Plattform Teams. Die Onlinesoftware wird dabei aus deutschen Rechenzentren bereitgestellt. Damit möchte Microsoft Anforderungen deutscher Unternehmen Rechnung tragen, die eine Auslagerung von Daten und Anwendungen auf Server in den USA nicht vornehmen wollen. Wird diese Option gewählt, besteht zumindest nicht die Problematik des Datentransfers in die USA.

Fazit

Die datenschutzrechtliche Bewertung von Microsoft Office 365 ist nicht trivial und auch nicht unproblematisch. Allerdings muss die Verlautbarung des Landesbeauftragten für Datenschutz und Informationsfreiheit Rheinland-Pfalz nicht zu Panik bei Unternehmen und anderen Stellen führen, die Microsoft Office 365 nutzen.

Zunächst ist zu beachten, dass sich die DSK mit einem datenschutzrechtskonformen Einsatz von Microsoft Office 365 durch öffentliche Stellen befasst hat. Weiterhin steht nicht die Datenverarbeitung in den USA oder anderen Drittländern im Fokus, die durch das EuGH-Urteil vom 16.7.2020 (Az. C-311/18) an Brisanz gewonnen hat. In dieser Entscheidung hat der EuGH die Regelungen des EU-US-Privacy Shield – dem „Nachfolger“ von Safe Harbor – für unwirksam erklärt (dazu s. Datenschutz-News v. 17.7.2020). Vielmehr werden Probleme bei der Ausgestaltung der Auftragsverarbeitung angedeutet, ohne hierzu Details zu veröffentlichen.

Die kritische datenschutzrechtliche Bewertung wird lediglich mehrheitlich und damit nicht von allen deutschen Datenschutzaufsichtsbehörden geteilt. Laut Heise online soll unter anderem die bayerische Aufsicht – die für Microsoft Deutschland zuständige Behörde – anderer Meinung sein. Aufgrund der Uneinigkeit in der DSK wurden bislang keine Details veröffentlicht, welche Punkte konkret zu einer Rechtswidrigkeit führen sollen. Allerdings muss an dieser Stelle auch darauf hingewiesen werden, dass der Europäische Datenschutzbeauftragte, also die für die Organe und Einrichtungen der Europäischen Union zuständige Datenschutzaufsichtsbehörde, in einer eigenen Prüfung konkreter wird. Die EU-Behörden sollen Microsoft zu viele Befugnisse einräumen mit der Folge, dass zu wenig Kontrolle über den Auftragsverarbeiter Microsoft besteht. Zudem werden hier Mängel in Bezug auf die Datenweitergabe und die Datenverarbeitung außerhalb der EU konkretisiert.

Die datenschutzrechtlichen Risiken sind daher nicht generell zu bestreiten. Die Frage bleibt, wie sie für die Praxis gelöst werden können. Der wohl von allen deutschen Aufsichtsbehörden getragene Ansatz, mit Microsoft Gespräche zu führen, ist jedenfalls der richtige und bessere Weg, als den Anwendern im nicht öffentlichen Bereich Bußgelder anzudrohen.

Sollten Sie Fragen zum rechtmäßigen Einsatz von Microsoft-Produkten oder zu sonstigen datenschutzrechtlichen Themen haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.

Zurück zur Übersicht