Die datenschutzkonforme Nutzung von Microsoft Office 365 beschäftigt uns bereits seit Jahren. In 2020 kam der AK Verwaltung der Datenschutzkonferenz (DSK) zum Ergebnis, „dass auf Basis dieser Unterlagen (Anmerkung: Gemeint sind hier die von Microsoft zur Verfügung gestellten Unterlagen) kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich“ sei. Daraufhin hat die DSK auf ihrer Sitzung im September 2020 eine Arbeitsgruppe damit beauftragt, Gespräche mit Microsoft aufzunehmen, um entsprechende Nachbesserungen sowie Anpassungen an die durch das Schrems II Urteil des EUGH aufgezeigten Maßstäbe an den Drittstaatentransfer zu erreichen.
Jetzt liegt das Ergebnis dieser Arbeitsgruppe vor. Auch hier ist das Ergebnis, dass der datenschutzkonforme Einsatz von Office 365 nicht möglich ist. Neben dem bereits oft diskutiertem Thema des unzulässigen Transfers in sogenannte unsichere Drittstaaten (hier: die USA) fällt vor allem ein Kritikpunkt auf. So schreibt die DSK in ihrer Veröffentlichung vom 24.11.2022:
„Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann. Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.“
Um was geht es? Der Thüringer Landesdatenschutzbeauftragte Dr. Hasse gibt in seiner Pressemeldung vom 26.11.22 folgendes Beispiel:
„Die Bewertung der Datenschutzkonferenz wendet sich nicht direkt an Microsoft, sondern an die Verantwortlichen und besagt, dass diese Microsoft 365 nicht datenschutzrechtskonform verwenden können. Warum? Die Verantwortlichen müssen nach Art. 5 Abs. 2 DS-GVO nachweisen können, dass Microsoft 365 transparent und rechtmäßig verwendet werden kann. Das können sie aber nicht, solange Microsoft seinen eigenen Unterlagen zufolge personenbezogene Daten (von wem?) für eigene Zwecke (welche?) verwendet und hierüber auch keine weiteren Angaben macht. Ein Beispiel: Wenn eine Schulleitung als Verantwortliche die einwilligen den Eltern und die Lehrerschaft nicht darüber informieren kann, ob bei der Verwendung von Microsoft 365 Daten von Kindern oder Lehrer:innen verarbeitet werden und wenn ja, für welche Zwecke, dann können die Eltern und die Lehrerschaft gar nicht informiert (s. Art. 4 Nr. 11 DS-GVO) einwilligen und den entsprechenden Informationspflichten (Art. 13 DS-GVO) kann der Schulleiter auch nicht nachkommen.“
Gleiches gilt analog auch für Unternehmen z.B. in Bezug auf die personenbezogenen Daten ihrer Beschäftigten oder Kunden.
Microsoft hat zu den Ergebnissen Stellunggenommen und kommt zu einer anderen Bewertung. Diese finden Sie hier: Stellungnahmen Microsoft
Was heißt das jetzt für Sie?
Als Datenschützer müssen wir Sie darauf hinweisen, dass die deutschen Aufsichtsbehörden zum Ergebnis gekommen sind, dass die DSGVO-konforme Nutzung derzeit nicht möglich ist. Unserer Meinung nach kann es nicht die Lösung sein, Office 365 sofort zu stoppen. Das würde uns in Bezug auf die Digitalisierung und angesichts der weitverbreiteten Nutzung von Microsoft Produkten zurück in die Steinzeit kapitulieren. Unsere Empfehlung kann daher nur sein, gemeinsam mit Ihren IT-Experten zu prüfen, wie Sie Office 365 möglichst datenschutzkonform nutzen können und anschließend abzuwägen und auch zu dokumentieren, was Sie getan haben, um die DSGVO-konforme Nutzung soweit möglich sicherzustellen und warum Sie sich für die Nutzung entscheiden.
Zum Abschluss wollen wir einen Blick in den Bericht von Bettina Gayk, Datenschutzbeauftragte des Landes NRW, werfen. Im Frühjahr 2022 hat Frau Gayk– jedoch nur in Bezug auf den Datentransfer in Drittstatten – geschrieben:
„Beschwerden, die mein Haus erreichen, richten sich oft gegen die Nutzung von Softwareprodukten US-amerikanischer Hersteller. Verbote der Nutzung vieler solcher Produkte würden Arbeitsprozesse in Unternehmen und Verwaltungen lahmlegen und können deshalb nur das letzte Mittel sein. Zumindest sollten Unternehmen und Verwaltungen aber datenschutzfreundliche Einstellungen der vorhandenen Produkte nutzen und vermeidbare Softwareprodukte mit rechtlichen Mängeln nicht neu einführen. Bisher habe ich in einem Fall eine zweifellos vermeidbare unzulässige Datenübermittlung in einen Drittstaat mit einem Bußgeld geahndet. Die Europäische Kommission hat im März 2022 eine neue Angemessenheitsentscheidung für die USA angekündigt, die dieses Dilemma auflösen soll.“
Wenn Sie Fragen haben, melden Sie sich gerne bei uns!
Bitte beachten Sie, dass dieser Newsletter der Information dient und keine Rechtsberatung darstellt!