Erneut hat die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) eine Bewertung zur Nutzung von Microsoft Office 365 (mittlerweile: Microsoft 365) veröffentlicht. Fazit: Diese sei nicht datenschutzkonform möglich.
Kurz zu den Hintergründen: Seit ungefähr zwei Jahren beschäftigt sich die DSK nun mit dem Einsatz von Microsoft 365. Bereits im September 2020 gab die DSK bekannt, dass ein datenschutzgerechter Einsatz nicht möglich – mit anderen Worten – der Einsatz der Software rechtswidrig sei.
In der Folge kam es zu intensiven Gesprächen zwischen der DSK und Microsoft. Mit dem Ziel, den datenschutzrechtlichen Bedenken der DSK gerecht zu werden, hatte Microsoft am 15.09.2022 einen „Datenschutznachtrag zu den Produkten und Services von Microsoft“ bekannt gegeben – jedoch erneut nicht zur vollen Zufriedenheit der DSK.
Abermals stellt die DSK nun fest,
„dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann“.
Rechtliche Einzelheiten sind dem Abschlussbericht der DSK vom 07.12.2022 (Bewertung der aktuellen Vereinbarung zur Auftragsverarbeitung) zu entnehmen. Dieser blieb nicht unwidersprochen:
Noch am selben Tag veröffentliche Microsoft eine Stellungnahme zu dem DSK-Bericht vom 24.11.2022 und erhob grundsätzliche Vorwürfe gegenüber der DSK. Unter anderem wirft Microsoft dabei den deutschen Datenschutzbehörden Praxisferne und die Verfolgung eines dogmatischen Selbstzwecks vor. Verantwortliche würden dagegen gerade nicht „in einer isolierten oder akademischen Datenschutzwelt“ agieren (Microsoft erfüllt und übertrifft europäische Datenschutzgesetze).
Was hier vordergründig lediglich wie ein Streit zwischen Microsoft und der DSK erscheint, geht in seinen praktischen Auswirkungen deutlich weiter:
Die faktisch Leidtragenden sind deutsche bzw. in Deutschland tätige Unternehmen und Behörden. Denn für Microsoft selbst ist die irische Datenschutzaufsichtsbehörde zuständig. Die deutschen Aufsichtsbehörden sind also einzig für die deutschen Kunden von Microsoft zuständig.
Im Ergebnis stehen daher deutsche Verantwortliche vor der Frage, ob sie bei der Nutzung von Microsoft 365 einen Datenschutzverstoß riskieren. Schließlich obliegt ihnen der Nachweis, dass die Verarbeitung der Daten durch Microsoft rechtmäßig ist. Diesem Nachweis steht die Einschätzung der DSK wiederum diametral entgegen. Datenverarbeiter, die Microsoft 365 nutzen und weiterhin auf die Nutzung angewiesen sind, stehen damit unausweichlich vor großen Unsicherheiten. Ihnen ist zu raten, im Rahmen des möglichen Risiken zu minimieren. Dies kann gelingen durch eine entsprechende Spezifizierung der Anwendung und der entsprechenden Deaktivierung von bestimmten Features.
Zentrale Kritik der DSK ist aber, dass Microsoft nach wie vor nicht hinreichend transparent sei, was die Datenverarbeitung zu eigenen Zwecken angeht. Zum einen ließe dies die Voraussetzungen einer wirksamen Auftragsverarbeitung gem. Art. 28 DSGVO entfallen, da eine Rechtsgrundlage für die Datenübermittlung erforderlich werde und darüber hinaus auch die erforderliche Weisungsgebundenheit des Auftragsverarbeiters fehle. Andererseits bleibe daher insbesondere offen, „in welchen Fällen Microsoft als Auftragsverarbeiter tätig ist und in welchen als Verantwortlicher“.
In seiner Stellungnahme bezieht sich Microsoft auf sämtliche Ergebnisse der DSK und liefert nachvollziehbare und detaillierte Antworten. Dabei bezieht sie sich vor allem auf die Komplexität von Cloud-Services. Die zentrale Kritik der DSK zur fehlenden Transparenz hinsichtlich der Verarbeitung zu eigenen Zwecken kann Microsoft allerdings nicht aus der Welt schaffen – es bleibt tatsächlich teils unklar, welche Daten Microsoft zu eigenen Zwecken verarbeitet.
An dieser Stelle dürfte auch das eigentliche Kernproblem verortet sein:
Nämlich in der Grundsatzfrage, wie weit die Reichweite des Tatbestandsmerkmals der personenbezogenen Daten – und somit des Anwendungsbereichs der DSGVO – realistischerweise zu ziehen sein sollte. Der Automatismus des Rechtfertigungserfordernisses für alle Arten der Verarbeitung von allen Arten personenbeziehbarer Daten führt zu einem in der Praxis nicht auflösbaren Dilemma: Niemand geht ernsthaft davon aus, daß ein vollständiger Verzicht auf Microsoft 365 eine tatsächliche Option ist. Zumal die rechtliche Einschätzung der grundsätzlichen Rechtswidrigkeit schon unter den Mitgliedern der DSK selbst nicht einhellig ausfällt – und erst recht nicht von den anderen europäischen Datenschutzaufsichtsbehörden geteilt wird.
Statt auch hier mal wieder einen deutschen Sondertrampelpfad auszutreten, hätte es näher gelegen und wäre sachgerechter gewesen, hier einfach mal den für solche Fälle in der DSGVO selbst vorgesehenen Weg zu beschreiten und vor einer erneuten faktischen Produktwarnung (die im Übrigen auch die Frage einer diesbezüglichen Kompetenz der DSK und somit der Rechtmäßigkeit des Vorgehens aufwirft) erst einmal in Ruhe die Bestimmungen in Abschnitt 7 – „Zusammenarbeit und Kohärenz“ (Art. 60 – 76 DSGVO) nachzulesen.
Diese Situation ist nichts, das die deutschen Datenschützer alleine lösen können. Sie tun es ja auch nicht wirklich. Denn ihr Vorgehen ist mehr aktionistisch als hilfreich. Das Thema gehört vor den Europäischen Datenschutzausschuß (Art. 68 DSGVO) und wäre richtigerweise im Rahmen des sog. Kohärenzverfahrens (Art. 63 DSGVO) zu klären. Nur so wäre eine einheitliche Rechtslinie im gemeinsamen Wirtschaftsraum für die rechtsunterworfenen Unternehmen zu erzeugen.
Die gegenwärtige Situation dagegen bleibt trotz – oder gerade wegen – der erneuten Stellungnahme der DSK für die Unternehmen unklar, indifferent, dem geographischen Zufall ausgeliefert und dementsprechend ungerecht…