Kein datenschutzgerechter Einsatz von Microsoft Office 365

19.10.2020

Zu diesem Ergebnis kommt das Papier der „Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder“, kurz Datenschutzkonferenz. Die Entscheidung der Datenschutzkonferenz erging aber mit einer knappen Mehrheit von 9 Stimmen bei 8 Gegenstimmen. Jetzt sind sich die Datenschützer nicht mehr grün. Denn gegen die „uneingeschränkte Zustimmung“ sprechen sich unter anderem die Landesbeauftragten für den Datenschutz Baden-Württemberg, Bayern, Hessen und im Saarland sowie der Präsident des Bayerischen Landesamts für Datenschutzaufsicht aus, welcher für die Microsoft Deutschland GmbH zuständig ist. Der Tenor: Rechtsunsicherheiten seien bei Microsoft Office 365 da, aber mit dem Hersteller habe es noch keine förmliche Anhörung gegeben.

Das teilt der Bayerische Landesbeauftragten für den Datenschutz, das Bayerische Landesamt für Datenschutzaufsicht, der Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg, der Hessischen Beauftragten für Datenschutz und Informationsfreiheit und der Landesbeauftragte für Datenschutz und Informationsfreiheit im Saarland in einer gesonderten Pressererklärung mit. Die Datenschutzkonferenz hat die Bewertung seines Arbeitskreises „Verwaltung zur Auftragsverarbeitung bei Microsoft Office 365“ vom 15. Juli 2020 mehrheitlich zustimmend zur Kenntnis genommen. Der Arbeitskreis hatte „die dem Einsatz des Produktes Microsoft Office 365 zu Grunde liegenden Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft-Onlinedienste (Data Processing Addendum / DPA) – jeweils Stand: Januar 2020“ geprüft. Das Papier kommt zu dem Ergebnis, dass auf Basis der genannten Unterlagen kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich ist. Die Nachricht schlägt in der Branche wie eine Bombe ein. Heißt in letzter Instanz, dass Behörden und öffentliche Einrichtungen das Microsoft-Cloudprodukt nicht rechtskonform nutzen.

Die Datenschutzaufsichtsbehörden Baden-Württembergs, Bayerns, Hessens und des Saarlands stellen aber klar, dass auch sie bei Microsoft Office 365 erhebliche datenschutzrechtliche Verbesserungspotenziale sehen, gerade auch mit Blick auf die jüngste Entscheidung des Europäischen Gerichtshofs zu internationalen Datentransfers vom 16. Juli 2020 (C-311/18 – Schrems II). Sie unterstützen deshalb im Grundsatz die Zielsetzungen des Arbeitskreises, soweit er Ansatzpunkte für datenschutzrechtliche Verbesserungen des Produkts Microsoft Office 365 formuliert. Seine Gesamtbewertung können sie allerdings schon deshalb nicht teilen, weil sie nach ihrer Ansicht zu undifferenziert ausfällt. Überdies hat der Arbeitskreis Verwaltung seine Bewertung auf der Grundlage von Vertragsbestimmungen getroffen, die Microsoft zwischenzeitlich bereits zweimal überarbeitet hat. Schließlich konnten noch nicht die Feststellungen des Europäischen Gerichtshofs zu den Anforderungen der Datenschutz-Grundverordnung an internationale Datentransfers berücksichtigt werden.

Vor diesem Hintergrund haben die Datenschutzaufsichtsbehörden Baden-Württembergs, Bayerns, Hessens und des Saarlands die Bewertung des Arbeitskreises Verwaltung vom 15. Juli 2020 zwar als relevante Arbeitsgrundlage, aber noch nicht als entscheidungsreif angesehen. Das gilt umso mehr, als bislang noch keine förmliche Anhörung von Microsoft zu den Bewertungen des Arbeitskreises Verwaltung erfolgt ist, wie es zu einem fairen, rechtsstaatlichen Verfahren gehört. Umso mehr begrüßen die fünf Datenschutzaufsichtsbehörden, dass die Datenschutzkonferenz einstimmig eine Arbeitsgruppe eingesetzt hat, die unter Federführung der Landesbeauftragten für den Datenschutz Brandenburg und des Bayerischen Landesamts für Datenschutzaufsicht zeitnah Gespräche mit dem Hersteller aufnehmen soll.

Dr. Stefan Brink, Prof. Dr. Thomas Petri, Michael Will, Prof. Dr. Michael Ronellenfitsch und Monika Grethel: „Wir stimmen mit der gesamten Datenschutzkonferenz überein, dass die Rechtsunsicherheiten im datenschutzrechtlichen Umgang mit Microsoft Office 365 zeitnah bereinigt werden müssen. Es wäre gut, wenn die neu eingesetzte Arbeitsgruppe der Konferenz unter Wahrung rechtsstaatlicher Grundsätze erreicht, dass der Hersteller sein Produkt Microsoft Office 365 bald und nachhaltig datenschutzrechtlich nachbessern wird. In einem konstruktiven Dialog mit Microsoft zur Sprache kommen müssen dabei insbesondere die Maßstäbe, die nach der neuesten Rechtsprechung des Europäischen Gerichtshofs bei Drittstaatentransfers zu beachten sind.“

Die Pressemitteilung ist unterzeichnet von Dr. Stefan Brink (Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg), Prof. Dr. Thomas Petri (Bayerischer Landesbeauftragter für den Datenschutz), Michael Will (Präsident des Bayerischen Landesamts für Datenschutzaufsicht), Prof. Dr. Michael Ronellenfitsch (Hessischer Beauftragter für Datenschutz und Informationsfreiheit) und Monika Grethel (Landesbeauftragte für Datenschutz und Informationsfreiheit im Saarland).