Nach­dem das Katho­li­sche­Da­ten­schutz­zen­trum Frank­furt (KDSZ-FFM) sich bereits im Febru­ar 2019 mit einer „Daten­schutz­recht­li­chen Bewer­tung eines Ein­sat­zes von Office 365 auf der Platt­form der Micro­soft Cloud“ aus­ein­an­der setz­te (HIER geht es zur Arbeits­hil­fe auf der Home­page des Katho­li­schen Daten­schutz­zen­trums Frank­furt), folg­te nun im Mai 2022 die von vie­len Daten­schutz­be­auf­trag­ten und Ver­ant­wort­li­chen im kirch­li­chen Umfeld drin­gend erwar­te­te Über­ar­bei­tung des Doku­ments. Bringt die Arbeits­hil­fe neue Erkennt­nis­se oder die erhoff­te Rechts­si­cher­heit? Wie steht die katho­li­sche Kir­che zum Ein­satz von M365 und ist M365 mit dem KDG vereinbar?

Wäh­rend das KDSZ-FFM im Febru­ar 2019 die daten­schutz­kon­for­me Nut­zung der Microsoft-Cloud-Angebote zumin­dest als „aktu­ell zwar mög­lich“ bezeich­ne­te, geht sie inzwi­schen davon aus, dass ein daten­schutz­kon­for­mer Betrieb von N365 „erwar­tungs­ge­mäß“ nur in Aus­nah­me­fäl­len mög­lich ist. – Mat­thi­as Herkert

Micro­soft Office ist für vie­le Anwen­der aus der täg­li­chen Arbeit nicht weg­zu­den­ken. Aber wäh­rend die Offline-Produkte in den ver­gan­ge­nen Jah­ren zuneh­mend von den Cloud-Diensten in Micro­soft 365 ersetzt wur­den, blei­ben für Ver­ant­wort­li­che die Fra­gen rund um einen daten­schutz­recht­kon­for­men Ein­satz von M365 oft unbe­ant­wor­tet oder nebu­lös. Mit ihrer neu­en Arbeits­hil­fe „Daten­schutz­recht­li­che Aspek­te von Micro­soft 365“ gibt das Katho­li­sche Daten­schutz­zen­trum Frank­furt nun eine über­ar­bei­te­te Hil­fe­stel­lung für den Ein­satz von M365. Was hat sich geändert?

Neh­men wir es gleich vor­weg – die Daten­schutzt­auf­sicht sieht die Hür­den zum Ein­satz von M365 Mit­te 2022 wohl eher höher als Anfang 2019. Wäh­rend das KDSZ-FFM im Febru­ar 2019 die daten­schutz­kon­for­me Nut­zung der Microsoft-Cloud-Angebote zumin­dest als „aktu­ell zwar mög­lich“ bezeich­ne­te und Ver­ant­wort­li­che ledig­lich dar­auf hin­wies, dass die­se „ein hohes Risi­ko“ ein­gin­gen, dass die Kon­for­mi­tät zu KDG und DSGVO kurz­fris­tig ent­fal­len kön­ne, geht sie inzwi­schen davon aus, dass ein daten­schutz­kon­for­mer Betrieb von Micro­soft 365 „erwar­tungs­ge­mäß“ nur in Aus­nah­me­fäl­len mög­lich sei.

Wel­che daten­schutz­recht­li­chen Pro­ble­me gibt es beim Ein­satz von M365?

Über die recht­li­chen Pro­ble­me beim Ein­satz von M365 haben wir in unse­rem Blog bereits mehr­fach berich­tet (u.a. im Bei­trag „Office 365 – Noch immer ist alles im Fluss“). Die Kri­tik­punk­te, die auch in der neu­en Arbeits­hil­fe vom Katho­li­schen Daten­schutz­zen­trum auf­ge­grif­fen wer­den, sind somit nicht neu.

So greift auch die Katho­li­sche Daten­schutz­auf­sicht erneut die umfang­rei­che und an vie­len Stel­len nach wie vor undurch­sich­ti­ge Ver­ar­bei­tung von Dia­gno­se­da­ten und Funk­ti­ons­da­ten durch Micro­soft bei der Nut­zung sei­ner Cloud-Dienste auf. Hier blei­ben die Art der Ver­ar­bei­tung, deren Zweck und der genaue Umfang in vie­len Fäl­len unklar, und gehen über das erkenn­ba­re Maß der Erfor­der­lich­keit hin­aus. Das Micro­soft dabei nach eige­nen Anga­ben per­so­nen­be­zo­ge­ne Daten auch für eige­ne Zwe­cke und damit unter eige­ner Ver­ant­wor­tung ver­ar­bei­tet, führt zu einer wei­te­ren Intrans­pa­renz bei der Abgren­zung der daten­schutz­recht­li­chen Rol­len von Microsoft.

Neben den Funk­ti­ons­da­ten zur Bereit­stel­lung der Cloud-Services und den Telemetrie- und Dia­gno­se­da­ten, ver­ar­bei­te­te Micro­soft über die ange­bo­te­nen Diens­te in sei­ner Rol­le als Auf­trags­ver­ar­bei­ter selbst­ver­ständ­lich auch eine sehr gro­ße Men­ge an Inhalts­da­ten, wel­che die Nut­zer mit den M365 Pro­duk­ten erstel­len und über­mit­teln. Das auch in die­sen Fäl­len die genaue Art, der Umfang und die Zwe­cke der Ver­ar­bei­tung durch Micro­soft auch gegen­über den Daten­schutz­auf­sichts­be­hör­den bis­lang nicht geklärt wer­den konn­te, las­se aus Sicht der Daten­schutz­auf­sicht dar­an zwei­feln, „dass Ver­ant­wort­li­che sich aus­rei­chend über die tat­säch­li­chen Ver­ar­bei­tun­gen per­so­nen­be­zo­ge­ner Daten beim Ein­satz von Micro­soft 365 infor­mie­ren können“.

Als wei­te­ren Aspekt weist das Katho­li­sche Daten­schutz­zen­trum Frank­furt noch­mals dar­auf hin, dass mit dem „Schrems II“ Urteil des Euro­päi­schen Gerichts­ho­fes (EuGH) das Daten­schutz­ni­veau in den USA als unzu­rei­chend befun­den wur­de (einen aus­führ­li­chen Hin­ter­grund fin­den Sie in unse­rem Bei­trag „EuGH kippt EU-US-Privacy Shield“). Damit ist zum einen der direk­ten Daten­über­mitt­lun­gen in die USA über die dor­ti­gen Rechen­zen­tren von Micro­soft die regel­mä­ßi­ge Rechts­grund­la­ge ent­zo­gen, zum ande­ren dro­hen aber auch bei indi­rek­ten Über­mitt­lun­gen wie sie etwa im Rah­men von Anfra­gen der US-Behörden auf­grund des US-CLOUD-Acts erfol­gen könn­ten Datenschutzrechtsverstöße.

Emp­feh­lun­gen der Daten­schutz­auf­sicht zum Ein­satz von Micro­soft 365

Die aktu­el­le Arbeits­hil­fe des Daten­schutz­zen­trums macht sehr deut­lich, dass ein umfäng­li­cher Ein­satz der Micro­soft 365 Cloud-Dienste aus daten­schutz­recht­li­cher Sicht kaum zu errei­chen ist. Wenn und soweit eine Ver­wen­dung ins­be­son­de­re der klas­si­schen Office-Funktionalitäten erfol­gen soll, wird dies wei­ter­hin nur unter weit­rei­chen­den tech­ni­schen aber auch orga­ni­sa­to­ri­schen Ein­schrän­kun­gen mög­lich sein. In die­sem Kon­text weist das KDSZ-FFM mehr­fach drauf hin, dass wegen der hohen Hür­den und weit­rei­chen­den Restrik­tio­nen beim Ein­satz von M365 des­sen Vor­tei­le gegen­über alter­na­ti­ven Office-Suiten zuneh­mend ver­schwin­den könnten.

Ob die­se Ein­schät­zung tat­säch­lich zutrifft, und ob sie die mög­li­cher­wei­se bestehen­den Vor­be­hal­te und jeden­falls not­wen­di­gen Schu­lun­gen der Nut­zer in der Anwen­dung alter­na­ti­ver Pro­duk­te nicht zu sehr außer­acht lässt, wird in jedem Ein­zel­fall zu ent­schei­den sein. Pro­ble­ma­ti­scher wird für vie­le Ent­schei­der in kirch­li­chen Ein­rich­tun­gen die Erkennt­nis sein, dass ein rechts­kon­for­mer Betrieb gera­de auch der kol­la­bo­ra­ti­ven Diens­te und Ser­vices aus der Microsoft-365-Coud, wie etwa Micro­soft One­Dri­ve oder Micro­soft Teams, tat­säch­lich aus Sicht der Daten­schutz­auf­sicht kaum mög­lich erscheint.

Die abschlie­ßen­den Emp­feh­lun­gen in der Arbeits­hil­fe, bei einem bereits bestehen­den Ein­satz von Micro­soft 365 eine geeig­ne­te Exit-Strategie zu ent­wi­ckeln und die­se ZÜGIG UMZUSETZEN, gewin­nen vor die­sem Hin­ter­grund eine für die Pra­xis wohl nicht zu unter­schät­zen­de Bedeutung.

Was Sie noch interessieren könnte:

Autor des Artikels:

Matthias Herkert

Leiter Fachbereich Consulting und externer Datenschutzbeauftragter