Microsoft Office 365: Bewertung der Datenschutz-konferenz zu undifferenziert – Nachbesserungen gleichwohl geboten
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) hat die Bewertung seines Arbeitskreises Verwaltung zur Auftragsverar-beitung bei Microsoft Office 365 vom 15. Juli 2020 mehrheitlich zustimmend zur Kenntnis genommen. Der Arbeitskreis hatte „die dem Einsatz des Produktes Microsoft Office 365 zu Grunde liegenden Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft-Onlinedienste (Data Processing Addendum / DPA) - jeweils Stand: Januar 2020“ geprüft. Das Papier kommt zu dem Ergebnis, dass auf Basis der genannten Unterlagen kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich ist.
Die Entscheidung der Datenschutzkonferenz erging mit einer knappen Mehrheit von 9 Stimmen bei 8 Gegenstimmen. Gegen die uneingeschränkte Zustimmung sprachen sich unter anderem die Landesbeauftragten für den Datenschutz Baden-Württemberg, Bayern, Hessen und im Saarland sowie der Präsident des Bayerischen Landesamts für Datenschutzaufsicht aus, das für die Microsoft Deutschland GmbH zuständig ist.
Die Datenschutzaufsichtsbehörden Baden-Württembergs, Bayerns, Hessens und des Saarlands stellen klar, dass auch sie bei Microsoft Office 365 erhebliche datenschutzrechtliche Verbesserungspotenziale sehen, gerade auch mit Blick auf die jüngste Entscheidung des Europäischen Gerichtshofs zu internationalen Datentransfers vom 16. Juli 2020 (C-311/18 – Schrems II). Sie unterstützen deshalb im Grundsatz die Zielsetzungen des Arbeitskreises, soweit er Ansatzpunkte für datenschutzrechtliche Verbesserungen des Produkts Microsoft Office 365 formuliert. Seine Gesamtbewertung können sie allerdings schon deshalb nicht teilen, weil sie zu undifferenziert ausfällt. Überdies hat der Arbeitskreis Verwaltung seine Bewertung auf der Grundlage von Vertragsbestimmungen getroffen, die Microsoft zwischenzeitlich bereits zweimal überarbeitet hat. Schließlich konnten noch nicht die Feststellungen des Europäischen Gerichtshofs zu den Anforderungen der Datenschutz-Grundverordnung an internationale Datentransfers berücksichtigt werden.
Vor diesem Hintergrund haben die Datenschutzaufsichtsbehörden Baden-Württembergs, Bayerns, Hessens und des Saarlands die Bewertung des Arbeitskreises Verwaltung vom 15. Juli 2020 zwar als relevante Arbeitsgrundlage, aber noch nicht als entscheidungsreif angesehen. Das gilt umso mehr, als bislang noch keine förmliche Anhörung von Microsoft zu den Bewertungen des Arbeitskreises Verwaltung erfolgt ist, wie es zu einem fairen, rechtsstaatlichen Verfahren gehört.
Umso mehr begrüßen die fünf Datenschutzaufsichtsbehörden, dass die Datenschutzkonferenz einstimmig eine Arbeitsgruppe eingesetzt hat, die unter Federführung der Landesbeauftragten für den Datenschutz Brandenburg und des Bayerischen Landesamts für Datenschutzaufsicht zeitnah Gespräche mit dem Hersteller aufnehmen soll.
Dr. Stefan Brink, Prof. Dr. Thomas Petri, Michael Will, Prof. Dr. Michael Ronellenfitsch und Monika Grethel: „Wir stimmen mit der gesamten Datenschutzkonferenz überein, dass die Rechtsunsicherheiten im datenschutzrechtlichen Umgang mit Microsoft Office 365 zeitnah bereinigt werden müssen. Es wäre gut, wenn die neu eingesetzte Arbeitsgruppe der Konferenz unter Wahrung rechtsstaatlicher Grundsätze erreicht, dass der Hersteller sein Produkt Microsoft Office 365 bald und nachhaltig datenschutzrechtlich nachbessern wird. In einem konstruktiven Dialog mit Microsoft zur Sprache kommen müssen dabei insbesondere die Maßstäbe, die nach der neuesten Rechtsprechung des Europäischen Gerichtshofs bei Drittstaatentransfers zu beachten sind.“
Dr. Stefan Brink
Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Prof. Dr. Thomas Petri
Bayerischer Landesbeauftragter für den Datenschutz
Michael Will
Präsident des Bayerischen Landesamts für Datenschutzaufsicht
Prof. Dr. Michael Ronellenfitsch
Hessischer Beauftragter für Datenschutz und Informationsfreiheit
Monika Grethel
Landesbeauftragte für Datenschutz und Informationsfreiheit im Saarland