Erneut hat sich die Datenschutzkonferenz (DSK) mit der datenschutzrechtlichen Zulässigkeit des Einsatzes von Microsoft Office 365 beschäftigt und erneut führen die Ergebnisse zu keiner abschließenden Sicherheit für die vermutlich weiterhin zahlreichen Anwender der Online-Office-Lösung. Wie ist also mit dem Ergebnis, dass „jedenfalls mit Stand Januar 2020 kein datenschutzgerechter Einsatz von Microsoft 365 möglich war“ in der Praxis umzugehen?
“Für Gestalter und Entscheider in der Praxis stellt sich indes die Frage, wie mit geplanten oder bereits getroffenen Entscheidungen für den Einsatz von Microsoft Office 365 umzugehen ist.” – Matthias Herkert
Mit einer Mehrheit von nur 9 zu 8 Stimmen, hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) die Bewertung des internen Arbeitskreises Verwaltung zur Auftragsverarbeitung bei Microsoft Office 365 zustimmend zur Kenntnis genommen (HIER geht es zum Beschlussentwurf). Unter anderem der die Landesbeauftragten für den Datenschutz Baden-Württemberg, Bayern und Hessen votierten gegen eine uneingeschränkte Zustimmung, da die Bewertung unter anderem „zu undifferenziert“ sei. Erhebliche datenschutzrechtliche Verbesserungspotentiale bei Microsoft Office 365 sahen indes alle Datenschutzaufsichtsbehörden.
Kritik an der Bewertung des Arbeitskreises ist berechtigt
Die Bedenken gegen die Zustimmung zur Bewertung des Arbeitskreises Verwaltung ist bei kritischer Analyse des Dokumentes nachvollziehbar.
So hatten die bewerteten Online Service Terms (OST) von Microsoft sowie die Datenschutzbestimmungen für Microsoft-Onlinedienste (Data Processing Addendum / DPA) jeweils den Stand von Januar 2020. Die in der Zwischenzeit erfolgten zweimaligen Anpassungen der OSTs und der DPAs blieben damit unberücksichtigt.
Auch der kritisierte Abstraktionsgrad bei der Beschreibung und Konkretisierung der Arten personenbezogener Daten und deren Verarbeitungszwecke durch den Cloud-Dienst ist sicherlich begründet, dürfte indes durch Microsoft ohne größere Mühe behoben werden können.
Und auch die aus Sicht des Arbeitskreises nicht ausreichende Darstellung der technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten wie auch fehlende Angaben zum Zeitpunkt der Löschung der Daten, die Microsoft in der Rolle als Verantwortlicher verarbeitet, sollten bei entsprechender Bereitschaft auf Seiten von Microsoft ohne größere Hürden zur Verfügung stehen.
Erheblich schwer wiegt hier die berechtigte Kritik des Ausschusses, dass Microsoft als US-Amerikanisches Unternehmen dem „Cloud-Act“ (Clarifying Lawful Overseas Use of Data Act) unterliegt, dass US-Ermittlungsbehörden den Zugriff auf Daten von US-Unternehmen ohne vorheriges Rechtshilfegesuchs erlaubt, auch wenn sich diese auf Servern des Unternehmens im Ausland befinden. Da die Frage der rechtlichen Zulässigkeit der Datenweitergabe im Rahmen des Cloud-Act bislang nicht abschließend geklärt ist, steht hier das Risiko eines Verstoßes gegen Artikel 48 DSGVO wegen einer „nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung“ im Raum. Dieser Punkt wirkt vor dem Hintergrund der EuGH-Rechtsprechung zur Unwirksamkeit des Privacy Shields besonders schwer (Hintergründe zum Schrems II Urteil finden Sie in unserem Blog-Beitrag „EuGH kippt EU-US-Privacy Shield – Standardvertragsklauseln weiterhin wirksam“).
Der Beschluss erfüllt seine Aufgabe – bringt aber wenig Neues
Ziel des Beschlusses der DSK war es, „eine unter den unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder einheitliche, intern abgestimmte Grundlage für weitere Gespräche mit Microsoft zu schaffen“ (HIER geht es zum Beschlussentwurf auf des Seite von „FragDenStaat“).
Dieser Aufgabe wird der Beschluss soweit sicherlich gerecht, als auch die acht kritischen „Gegenstimmen“ es ausdrücklich begrüßten, dass die DSK auf Basis des Beschlusses eine Arbeitsgruppe einsetzte, die nun zeitnah Gespräche mit Microsoft aufnehmen solle, um die erkannten Probleme zu diskutieren.
Für Gestalter und Entscheider in der Praxis stellt sich indes die Frage, wie mit geplanten oder bereits getroffenen Entscheidungen für den Einsatz von Microsoft Office 365 umzugehen ist.
Hier hilft der Beschluss der Datenschutzkonferenz kaum weiter.
Zwar kann mit Blick auf die Zielsetzung des Beschlusses wohl davon ausgegangen werden, dass die Aufsichtsbehörden auf dessen Ergebnisse keine größer angelegten Maßnahmen gegen Unternehmen und Einrichtungen begründen werden — eine „Zulässigkeit“ des Einsatzes der Cloud-Dienste von Microsoft kann auf der anderen Seite aus der Bewertung keinesfalls hergeleitet werden.
So bleibt es bis auf Weiteres bei dem Ergebnis, dass wir bereits im Januar diesen Jahres in unserem Blog-Artikel „Office 365 – Noch immer ist alles im Fluss“ anführten (HIER geht es zum Blog-Beitrag) und das wir an dieser Stelle bis dahin nur wiederholen können: „Nach wie vor sind die Verantwortlichen in den Geschäftsführungen und IT-Abteilungen gut beraten, parallel zur Einführung der Produkte eine Exit-Strategie aufzubauen, um im Fall einer negativen weiteren Entwicklung unverzüglich reagieren zu können“.
Was Sie noch interessieren könnte:
Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten
Laut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder […]
AI-Act – ein Überblick
Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. […]
Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung
Es begegnet uns nahezu alltäglich – das Erfordernis der Einwilligung. Im beruflichen wie auch im privaten Kontext. In der datenschutzrechtlichen […]