Erneut hat sich die Daten­schutz­kon­fe­renz (DSK) mit der daten­schutz­recht­li­chen Zuläs­sig­keit des Ein­sat­zes von Micro­soft Office 365 beschäf­tigt und erneut füh­ren die Ergeb­nis­se zu kei­ner abschlie­ßen­den Sicher­heit für die ver­mut­lich wei­ter­hin zahl­rei­chen Anwen­der der Online-Office-Lösung. Wie ist also mit dem Ergeb­nis, dass „jeden­falls mit Stand Janu­ar 2020 kein daten­schutz­ge­rech­ter Ein­satz von Micro­soft 365 mög­lich war“ in der Pra­xis umzu­ge­hen?

Für Gestal­ter und Ent­schei­der in der Pra­xis stellt sich indes die Fra­ge, wie mit geplan­ten oder bereits getrof­fe­nen Ent­schei­dun­gen für den Ein­satz von Micro­soft Office 365 umzu­ge­hen ist.” – Mat­thi­as Her­kert

Mit einer Mehr­heit von nur 9 zu 8 Stim­men, hat die Kon­fe­renz der unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der (DSK) die Bewer­tung des inter­nen Arbeits­krei­ses Ver­wal­tung zur Auf­trags­ver­ar­bei­tung bei Micro­soft Office 365 zustim­mend zur Kennt­nis genom­men (HIER geht es zum Beschluss­ent­wurf). Unter ande­rem der die Lan­des­be­auf­trag­ten für den Daten­schutz Baden-Württemberg, Bay­ern und Hes­sen votier­ten gegen eine unein­ge­schränk­te Zustim­mung, da die Bewer­tung unter ande­rem „zu undif­fe­ren­ziert“ sei. Erheb­li­che daten­schutz­recht­li­che Ver­bes­se­rungs­po­ten­tia­le bei Micro­soft Office 365 sahen indes alle Daten­schutz­auf­sichts­be­hör­den.

Kritik an der Bewertung des Arbeitskreises ist berechtigt

Die Beden­ken gegen die Zustim­mung zur Bewer­tung des Arbeits­krei­ses Ver­wal­tung ist bei kri­ti­scher Ana­ly­se des Doku­men­tes nach­voll­zieh­bar.

So hat­ten die bewer­te­ten Online Ser­vice Terms (OST) von Micro­soft sowie die Daten­schutz­be­stim­mun­gen für Microsoft-Onlinedienste (Data Pro­ces­sing Adden­dum / DPA) jeweils den Stand von Janu­ar 2020. Die in der Zwi­schen­zeit erfolg­ten zwei­ma­li­gen Anpas­sun­gen der OSTs und der DPAs blie­ben damit unbe­rück­sich­tigt.

Auch der kri­ti­sier­te Abs­trak­ti­ons­grad bei der Beschrei­bung und Kon­kre­ti­sie­rung der Arten per­so­nen­be­zo­ge­ner Daten und deren Ver­ar­bei­tungs­zwe­cke durch den Cloud-Dienst ist sicher­lich begrün­det, dürf­te indes durch Micro­soft ohne grö­ße­re Mühe beho­ben wer­den kön­nen.

Und auch die aus Sicht des Arbeits­krei­ses nicht aus­rei­chen­de Dar­stel­lung der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zum Schutz per­so­nen­be­zo­ge­ner Daten wie auch feh­len­de Anga­ben zum Zeit­punkt der Löschung der Daten, die Micro­soft in der Rol­le als Ver­ant­wort­li­cher ver­ar­bei­tet, soll­ten bei ent­spre­chen­der Bereit­schaft auf Sei­ten von Micro­soft ohne grö­ße­re Hür­den zur Ver­fü­gung ste­hen.

Erheb­lich schwer wiegt hier die berech­tig­te Kri­tik des Aus­schus­ses, dass Micro­soft als US-Amerikanisches Unter­neh­men dem „Cloud-Act“ (Cla­ri­fy­ing Law­ful Over­seas Use of Data Act) unter­liegt, dass US-Ermittlungsbehörden den Zugriff auf Daten von US-Unternehmen ohne vor­he­ri­ges Rechts­hil­fe­ge­suchs erlaubt, auch wenn sich die­se auf Ser­vern des Unter­neh­mens im Aus­land befin­den. Da die Fra­ge der recht­li­chen Zuläs­sig­keit der Daten­wei­ter­ga­be im Rah­men des Cloud-Act bis­lang nicht abschlie­ßend geklärt ist, steht hier das Risi­ko eines Ver­sto­ßes gegen Arti­kel 48 DSGVO wegen einer „nach dem Uni­ons­recht nicht zuläs­si­ge Über­mitt­lung oder Offen­le­gung“ im Raum. Die­ser Punkt wirkt vor dem Hin­ter­grund der EuGH-Rechtsprechung zur Unwirk­sam­keit des Pri­va­cy Shiel­ds beson­ders schwer (Hin­ter­grün­de zum Schrems II Urteil fin­den Sie in unse­rem Blog-Beitrag „EuGH kippt EU-US-Privacy Shield – Stan­dard­ver­trags­klau­seln wei­ter­hin wirk­sam“).

Der Beschluss erfüllt seine Aufgabe – bringt aber wenig Neues

Ziel des Beschlus­ses der DSK war es, „eine unter den unab­hän­gi­gen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der ein­heit­li­che, intern abge­stimm­te Grund­la­ge für wei­te­re Gesprä­che mit Micro­soft zu schaf­fen“ (HIER geht es zum Beschluss­ent­wurf auf des Sei­te von „Frag­Den­Staat“).

Die­ser Auf­ga­be wird der Beschluss soweit sicher­lich gerecht, als auch die acht kri­ti­schen „Gegen­stim­men“ es aus­drück­lich begrüß­ten, dass die DSK auf Basis des Beschlus­ses eine Arbeits­grup­pe ein­setz­te, die nun zeit­nah Gesprä­che mit Micro­soft auf­neh­men sol­le, um die erkann­ten Pro­ble­me zu dis­ku­tie­ren.

Für Gestal­ter und Ent­schei­der in der Pra­xis stellt sich indes die Fra­ge, wie mit geplan­ten oder bereits getrof­fe­nen Ent­schei­dun­gen für den Ein­satz von Micro­soft Office 365 umzu­ge­hen ist.

Hier hilft der Beschluss der Daten­schutz­kon­fe­renz kaum wei­ter.

Zwar kann mit Blick auf die Ziel­set­zung des Beschlus­ses wohl davon aus­ge­gan­gen wer­den, dass die Auf­sichts­be­hör­den auf des­sen Ergeb­nis­se kei­ne grö­ßer ange­leg­ten Maß­nah­men gegen Unter­neh­men und Ein­rich­tun­gen begrün­den wer­den — eine „Zuläs­sig­keit“ des Ein­sat­zes der Cloud-Dienste von Micro­soft kann auf der ande­ren Sei­te aus der Bewer­tung kei­nes­falls her­ge­lei­tet wer­den.

So bleibt es bis auf Wei­te­res bei dem Ergeb­nis, dass wir bereits im Janu­ar die­sen Jah­res in unse­rem Blog-Artikel „Office 365 – Noch immer ist alles im Fluss“ anführ­ten (HIER geht es zum Blog-Beitrag) und das wir an die­ser Stel­le bis dahin nur wie­der­ho­len kön­nen: „Nach wie vor sind die Ver­ant­wort­li­chen in den Geschäfts­füh­run­gen und IT-Abteilungen gut bera­ten, par­al­lel zur Ein­füh­rung der Pro­duk­te eine Exit-Strategie auf­zu­bau­en, um im Fall einer nega­ti­ven wei­te­ren Ent­wick­lung unver­züg­lich reagie­ren zu kön­nen“.

Was Sie noch interessieren könnte:

Autor des Arti­kels:

Matthias Herkert

Leiter Fachbereich Consulting und externer Datenschutzbeauftragter
MEHR ZUM AUTOR