Erst vor kurzem haben wir über den aktuellen Stand in Sachen Microsoft vs. Datenschutz berichtet. Seitdem hat sich wieder einiges getan. Den Stein brachte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder – Datenschutzkonferenz (DSK) mit neuen Veröffentlichungen ins Rollen. Ein Update zur aktuellen Rechtslage soll der nachstehende Beitrag liefern.
Die DSK äußert sich wiederholt zu Microsoft 365
Auslöser des erneuten Gesprächsstoffs war die Veröffentlichung einer Festlegung der DSK in Sachen Microsoft 365 samt Zusammenfassung des der Festlegung zugrundeliegenden Berichtes der Arbeitsgruppe „Microsoft-Onlinedienste“ am 25. November 2022. In dieser Festlegung hält die DSK zunächst in Ziff. 1 fest, dass sie den vorbezeichneten Bericht und dessen Zusammenfassung zur Kenntnis genommen hat. Darüber hinaus folgt in Ziff. 2 unter datenschutzrechtlichen Gesichtspunkten der direkte Hammer:
„Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann.“ Und weiter: „Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.“
Dies bedeutet für datenschutzrechtlich Verantwortliche, da insbesondere aus Transparenzgründen der Nachweis eines datenschutzkonformen Einsatzes von Microsoft 365 den Verantwortlichen nach Ansicht der DSK, anhand der seitens Microsoft aktuell zur Verfügung gestellten vertraglichen Dokumenten nicht gelingt, verstoßen diese zumindest gegen ihre Rechenschaftspflicht aus Art. 5 Abs. 2 DS-GVO. Einen Blick in Art. 83 DS-GVO sparen wir uns an dieser Stelle. Der Vollständigkeit halber sei noch erwähnt, dass in Ziff. 3 der Festlegung die DSK festhält, dass eine Zusammenfassung der Arbeitsgruppenergebnisse zur Verfügung gestellt wird. Mittlerweile ist am 7. Dezember 2022 eine Veröffentlichung des Abschlussberichtes der Arbeitsgruppe erfolgt, der der Positionierung der DSK zu Grunde liegt. Sicherlich wäre hier mit Blick auf den Prüfungsumfang mehr drin gewesen, aber nüchtern betrachtet ist es nicht Aufgabe der DSK, Produkte auf deren Datenschutzkonformität zu überprüfen. Die Hauptkritikpunkte treten aber deutlich hervor: Transparenz, Transparenz und nochmals Transparenz.
Wie reagiert Microsoft?
Microsoft Deutschland hat auf die oben dargestellten Dokumente der DSK seinerseits umgehend reagiert und eine „Stellungnahme zur datenschutzrechtlichen Bewertung von Microsoft 365 durch die DSK“ veröffentlicht. Hierin heißt es zunächst:
„Wir teilen die Position der DSK nicht. Wir stellen sicher, dass unsere M365-Produkte die strengen EU-Datenschutzgesetze nicht nur erfüllen, sondern oft sogar übertreffen. Unsere Kunden in Deutschland und in der gesamten EU können M365-Produkte weiterhin bedenkenlos und rechtssicher nutzen.“ Dem nicht genug: „Die von der DSK geäußerten Bedenken berücksichtigen die von uns bereits vorgenommenen Änderungen nicht angemessen und beruhen auf mehreren Missverständnissen hinsichtlich der Funktionsweise unserer Dienste und der von uns bereits ergriffenen Maßnahmen.“
Das sollte man erst einmal auf sich wirken lassen. Microsoft lässt hier zunächst durchblicken, dass sie der Meinung sind, die DSK – respektive die zuständige Arbeitsgruppe – habe die Funktionsweise der Microsoft-Onlinedienste nicht angemessen berücksichtigt oder einfacher ausgedrückt, nicht verstanden. Nichts desto trotz geht Microsoft auf die DSK und deren Forderung nach mehr Transparenz ein: „Wir nehmen uns die Forderung der DSK nach mehr Transparenz zu Herzen. Während unsere Transparenzstandards schon jetzt die der meisten anderen Anbieter in unserem Sektor übertreffen, verpflichten wir uns, noch besser zu werden. Insbesondere werden wir im Rahmen unserer geplanten EU-Datengrenze im Sinne der Transparenz weitere Dokumentationen über die Datenströme unserer Kunden und die Zwecke der Verarbeitung bereitstellen. Wir werden auch mehr Transparenz über die Standorte und die Verarbeitung durch Unterauftragsverarbeiter und Microsoft Mitarbeiter außerhalb der EU schaffen.“
Siehe da, nicht nur bekommen noch die Konkurrenten einen Seitenhieb ab, obwohl man Microsoft wohl zugutehalten kann und wohl auch muss, dass für sie im Vergleich zu anderen US-Techgiganten Datenschutz nicht nur für eine Phrase halten. Auch die DSK wird nochmals adressiert: „Microsoft hat vollumfänglich mit der DSK kooperiert, und obwohl wir mit der Bewertung der DSK nicht einverstanden sind, möchten wir verbleibende Bedenken ausräumen.“
Und sonst?
Neben der DSK haben sich auch andere aktive und ehemalige Landesdatenschutzbeauftragte zu Wort gemeldet. So ist in einem Interview mit Dr. Stefan Brink (Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg – LfDI) zu lesen, dass die Arbeitsgruppe Microsoft im Rahmen von Anhörungen aktiv einbezogen und daher sehr häufig mit Microsoft geredet wurde und sogar die Untersuchungsergebnisse Microsoft auch vorab zur Verfügung gestellt wurden. Und weiter führt Dr. Brink aus: „Die Ergebnisse der Arbeitsgruppe waren dann auch aus meiner Sicht nicht überraschend. Es war absehbar, dass es Probleme insbesondere mit der Transparenz und der Nachvollziehbarkeit der Datenverarbeitungen geben würde.“
Im Ergebnis sieht der LfDI dann ähnlich wie die DSK die nunmehr bestehende Hauptprüfungspflicht – zur Erfüllung der Rechenschaftspflicht aus Art. 5 Abs. 2 DS-GVO bei den datenschutzrechtlichen Verantwortlichen, also von Behörden, Unternehmen über Vereinen bis hin zum Blumenhändler um die Ecke jeden, der Microsoft 365 im Einsatz hat oder einsetze möchte. Allerdings lässt der LfDI auch Hoffnung am Horizont aufkommen: „[…]wenn es in absehbarer Zeit aus Perspektive des Verantwortlichen gelingt, den Dienstleister Microsoft und sein Angebot weiter zu verbessern. Und da gibt es immer auch positive Entwicklungen zu verzeichnen. Microsoft hat sich wiederholt beschwert, dass aus den DSK-Beschlüssen nicht hinreichend ersichtlich würde, dass sie erhebliche Verbesserungen vorgenommen haben. Und das stimmt auch: Das Angebot von Microsoft ist inzwischen besser als vor zwei Jahren. Aber es reicht gemessen an den Maßstäben der DSK halt noch nicht.“
Ebenfalls hat sich der Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit (TLfDI) Dr. Lutz Hasse zu Wort gemeldet, wie einem aktuellen Beitrag zu entnehmen ist. Der TLfDI will mit den Verantwortlichen über die Umsetzung des Beschlusses der Datenschutzkonferenz zur Office-Software Microsoft sprechen: „Konsequenz könnte laut Hasse sein, dass die Software nicht mehr verwendet werden kann.“
Aber auch Thomas Kranig (Präsident des Bayerischen Landesamtes für Datenschutzaufsicht a. D) .äußert sich gemeinsam mit Kristin Benedikt und Prof. Dr. Rolf Schwartmann in einem Beitrag. Dabei erfolgt zuweilen eine sehr kritische Auseinandersetzung mit der Thematik: „Nach dem Willen der Aufsicht soll hierzulande die Nutzung von Microsoftprodukten also faktisch eingestellt werden. Nehmen Deutschlands Unternehmen, Schulen, Städte und Gemeinden, Gerichte und Gesetzgebungseinrichtungen die Empfehlung zu diesem „digitalen Lockdown“ ernst, dann steht hier faktisch alles still, denn es gibt keine alternative Software, die in der Fläche einsetzbar wäre.“ Dem ist aus Sicht der Praxis nichts hinzuzufügen. Verantwortliche werden durch die Datenschutzaufsicht derzeit vor schier unlösbare Aufgaben gestellt.
Fazit
Wer bei der rasanten Entwicklung und der fortwährenden Streitigkeit zwischen Microsoft und der DSK den Überblick verloren hat oder ihn gar nicht erst behalten wollten, für diejenigen stellen die Kollegen Steffan Hessel und Christina Kiefer eine Gegenüberstellung der wesentlichen Aussagen der Datenschutzkonferenz und von Microsoft bereit. Festzuhalten bleibt, dass die Rechtslage in Bezug auf den Einsatz von Microsoft 365 alles andere als rechtssicher bezeichnet werden darf. Datenschutzrechtlich Verantwortliche sollten sich bei dem Einsatz intensiv mit den datenschutzrechtlichen Verpflichtungen auseinandersetzen. Verantwortliche, die auf externe Unterstützung zurückgreifen sollten spätestens dann hellhörig werden, wenn mit dem datenschutzkonformen Einsatz von Microsoft 365 geworben wird. Daneben bleibt für die Anwender zu hoffen, dass es entweder seitens Microsoft weitere Anpassungen erfolgen oder dass letztendlich eine gerichtliche Entscheidung für Rechtssicherheit sorgt.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.