Am 02. Oktober 2020 gab die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder eine Pressemitteilung heraus, in der sie sich zu der datenschutzrechtlichen Bewertung von Office 365 äußerte. Mit einer knappen Mehrheit von 9 zu 8 Stimmen kam die Datenschutzkonferenz zu der Entscheidung, dass kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich sei.
Welche Auswirkungen hat diese Entscheidung jetzt für die Praxis? Wir haben uns den ersten Entwurf der Datenschutzkonferenz einmal genauer angeschaut und die wesentlichen Inhalte im folgenden Blogbeitrag zusammengefasst und für Sie eingeordnet.
Bewertung des „Arbeitskreises Verwaltung“
Zur datenschutzrechtlichen Bewertung hat die Datenschutzkonferenz einen „Arbeitskreis Verwaltung“ (AK Verwaltung) eingesetzt. Der AK Verwaltung hat in seiner Entscheidung „die dem Einsatz des Produktes Microsoft Office 365 zu Grunde liegenden Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft-Onlinedienste (Data Processing Addendum / DPA) jeweils Stand: Januar 2020“ geprüft.
Zunächst kritisiert der Beschluss die fehlende Beschreibung von Art und Zweck der Verarbeitung, insbesondere wenn es um die Verarbeitung besonderer personenbezogener Daten im Sinne von Art. 9 DSGVO geht. Es soll hierbei der Abstraktionsgrad auf Seiten von Microsoft verringert werden, was in der Praxis recht einfach zu realisieren sein dürfte.
Hinsichtlich der Verarbeitung von personenbezogenen Daten kritisiert der AK Verwaltung weiterhin, dass innerhalb der Datenschutzbestimmungen für die Microsoft Online-Dienste „nicht eindeutig ersichtlich ist“, welche personenbezogenen Daten im Zusammenhang mit legitimen Geschäftstätigkeiten durch Microsoft selbst in eigener Verantwortlichkeit verarbeitet werden. Dies sei insbesondere für öffentliche Stellen problematisch, da die Übermittlung personenbezogener Nutzungsdaten an Microsoft ebenfalls einer eigenständigen Rechtsgrundlage bedarf. Im Gegensatz zu Privatunternehmen könnten sich öffentliche Stellen hierbei nicht auf die Rechtsgrundlage der Interessenabwägung berufen. Microsoft müsste deshalb die „legitimen Geschäftstätigkeiten“ entsprechend anpassen, sodass eine Bewertung auf Seiten öffentlicher Stellen möglich ist. Dieser Punkt dürfte für Microsoft kompliziert werden, da die Verarbeitung von Telemetriedaten von Nutzern öffentlicher Stellen schnell an Grenzen stoßen dürfte.
Einen weiteren Kritikpunkt sehen die Behörden in der Offenlegung von verarbeiteten Daten an Strafverfolgungsbehörden, z.B. auf Basis des Cloud Act in den USA. Die Datenschutzbestimmung für die Microsoft Online-Dienste verweist darauf, dass verarbeitete Daten außerhalb der Weisung des Kunden offengelegt werden können, „wenn dies gesetzlich vorgeschrieben wird“. Im Lichte der jüngsten EuGH-Rechtsprechung zur Unwirksamkeit des Privacy Shields sei diese Form der Weitergabe auch bei EU-Standardvertragsklauseln nicht abschießend geklärt. Dieser Punkt ist nach unserem Dafürhalten das größte Hindernis, Dienste von Microsoft nutzen zu können. Auch wenn Microsoft seit langem zusätzlich auf EU-Standardvertragsklauseln setzt, ist auch hier ein unkontrollierter Zugriff durch US-Behörden nicht ausgeschlossen. Ein Problem, das Microsoft aber mit nahezu allen größeren Clouddiensten aus den USA teilt und es sich noch zeigen muss, wie die Rechtsprechung mit der Wirksamkeit der bestehenden Standardvertragsklauseln umgehen wird.
Zum Ende des Beschlusses wird eine unzureichende Dokumentation der technischen und organisatorischen Maßnahmen und zur Löschung von Daten kritisiert. Hier solle Microsoft entsprechende Informationen nachliefern, um eine abschließende Bewertung für Verantwortliche zu ermöglichen. Da Microsoft sehr umfangreiche Dokumentationen zu technischen Sicherheitsaspekten liefert, ist dieser Vorwurf nicht wirklich nachvollziehbar. Ein Hinweis, wann Informationen in eigener Verantwortlichkeit gelöscht werden, dürfte hingegen recht einfach durch Microsoft nachzuliefern sein. Beide Punkte sehen wir daher nicht als potenzielle „Dealbreaker“ an.
Im letzten Punkt des Beschlusses gehen die Behörden auf die fehlende Transparenz der Unterauftragnehmer ein. Hier müsse Microsoft in Zukunft proaktiv Mechanismen zur Benachrichtigung der Kunden treffen. Ein durchaus nachvollziehbarer Vorwurf, der aber ebenfalls auf Seiten von Microsoft durch neue Push-Benachrichtigungsfunktionen zu lösen sein dürfte.
Bedeutung des Beschlusses für Unternehmen
Die knappe Entscheidung der Datenschutzkonferenz zeigt zunächst einmal, dass nicht alle Aufsichtsbehörden der datenschutzrechtlichen Bewertung uneingeschränkt folgen. Ziel des Beschlusses war es, eine intern abgestimmte Grundlage für die Gespräche mit Microsoft zu schaffen. In naher Zukunft werden diese Gespräche nun unter der Leitung der Landesbeauftragten für den Datenschutz Brandenburg und des Bayerischen Landesamts für Datenschutzaufsicht stattfinden.
Natürlich werden viele Unternehmen sich nun fragen, welche Auswirkungen dieser Beschluss auf die betriebliche Nutzung von Office365 hat. Ein abschließendes Fazit zu treffen, fällt auch aus unserer Sicht schwer. Insbesondere, da die Aufsichtsbehörden untereinander selbst verschiedene Ansichten vertreten. Zu Beginn des Entwurfs verweisen die Behörden aber darauf, dass der Beschluss eine Basis darstellen soll „mit Microsoft in den Dialog zu treten, um die identifizierten Probleme zu lösen“. Es ist daher eher davon auszugehen, dass auf Grundlage des Dokuments keine konkreten Maßnahmen gegenüber Unternehmen angestrebt werden.
Die Aufsichtsbehörden, die gegen die datenschutzrechtliche Bewertung des Arbeitskreises gestimmt haben, haben ebenfalls am 02.10.2020 eine Pressemitteilung veröffentlicht. Hierin heißt es, dass hinsichtlich des Beschlusses noch „Verbesserungspotenzial vorhanden ist“. Insbesondere mit Blick auf das Urteil des EuGHs vom 16. Juli 2020 (C-311/18 – Schrems II), ist der Beschluss aus ihrer Sicht noch nicht entscheidungsreif.
Betrachtet man zudem die Unterlagen, die dem Beschluss zugrunde gelegt wurden, fällt eines schnell auf: der Stand der Unterlagen bezieht sich auf Januar 2020. Microsoft hat seine Vertragsbestimmungen in der Zwischenzeit allerdings zweimal überarbeitet. Auch dies kritisieren die Aufsichtsbehörden in ihrer Pressemitteilung.
Für die Praxis heißt es somit erstmal Ruhe bewahren und das weitere Geschehen aufmerksam beobachten. Ohne konkretere Anhaltspunkte auf Behördenseite, ist die Nutzung von Office365 erstmal nicht datenschutzwidrig.
Rechtsanwalt David Oberbeck hat seinen Beratungsschwerpunkt im Datenschutzrecht, Wettbewerbsrecht und IT-Recht. Er berät Unternehmen als externer Datenschutzbeauftragter und beratender Rechtsanwalt.