Jul 19

Das leidige Dauerthema „Microsoft 365“ aus datenschutzrechtlicher Sicht

Tags: , , , , , ,

Was bisher geschah:

Die Datenschutzkonferenz hatte Ende 2022 das Thema „Microsoft Office 365“ auf ihrem Schreibtisch. Eine dafür eingerichtete Arbeitsgemeinschaft „Microsoft Onlinedienste“ vom 2.11.2022 wurde damit betraut, die Rechtmäßigkeit dieses Dienstes zu überprüfen und hatte eine Bewertung in die 104. DSK – Konferenz eingebracht. Dort wurde mitgeteilt, dass ein Nachweis von Verantwortlichen von Microsoft, das Produkt Microsoft 365 in rechtskonformer Weise zu betreiben, nicht geführt werden konnte, da offensichtlich die erforderlichen Informationen seitens Microsoft nicht überlassen wurden.

Nachdem diese Mitteilung bekannt wurde, hatte Microsoft sofort reagiert und am 25.11.2022 zu diesen Bedenken eine Stellungnahme abgegeben. Nach ihrer Meinung sei ein datenschutzkonformer Einsatz von Microsoft 365 möglich.

Und dann?

Danach kündigte im Dezember 2022 Microsoft ab Beginn des Jahres 2023 in insgesamt drei Phasen ihren Kunden die Möglichkeit an, Cloud-Produkte wie zum Beispiel Microsoft 365, Dynamics 365 und Azure innerhalb der EU Datengrenzen nutzen zu können (EU Data Boundary). Damit könne eine Begrenzung der Datenübermittlung in Drittländer wie den USA erreicht werden.

Diese Maßnahmen und auch weitere, wie etwa die Überarbeitung eines Datenschutz – Nachtrags, die von Microsoft durchgeführt wurde, waren für die Hamburger Datenschützer Anlass, das Thema für eine neue Bewertung in der Zwischenkonferenz auf die Tagesordnung zu nehmen. Die Datenschutzkonferenz (DSK) beauftragte die Arbeitsgemeinschaft damit bis möglichst zur 105. DSK – Konferenz einen entsprechenden Bericht dazu abzugeben.

Zwischenstand

Das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein teilte am 7.6.2023 mit, dass die Arbeitsgemeinschaft gegenüber der DSK bisher weder schriftlich noch mündlich zu dem Punkt „Änderungen, die sich aus der EU Data Boundary beziehungsweise zumindest dem damit verbundenen DPA 01/23 ergeben“ berichtet haben.

Es wird also spannend sein, zu welchem Ergebnis die Arbeitsgruppe kommen wird.

Die EU hat mittlerweile mit den USA ein entsprechendes Datenschutzabkommen vereinbart. Dies soll die Rechtsgrundlage für einen datenschutzkonformen transatlantischen Datenaustausch und ein Ersatz für das zuvor durch den EuGH zu Fall gebrachten „Privacy Shield“ sein. Eine gegen dieses neuerliche Abkommen angekündigte Klage vor dem EuGH könnte diese derzeit vermeintliche Rechtssicherheit erneut ins Wanken bringen. Es gibt durchaus Ansatzpunkte rechtlicher Art, weshalb dieses neuerliche Abkommen abermals im Ergebnis scheitern könnte. 

Warten wir ab, was passiert. Jedenfalls aber entbindet auch ein solches Abkommen zwischen der EU und den USA die Nutzer dieser Software nicht davon, die Anforderungen der DSGVO vollständig zu erfüllen, mithin also auch die exakte Verarbeitung durch diese Dienste von Microsoft darzulegen. Das wird nur dann möglich sein, wenn Microsoft die exakten Verarbeitungsvorgänge bei der Nutzung seiner Dienste darlegt, woran es wohl bislang gescheitert war.