Microsoft hat seinen Sitz in den USA und Microsoft 365 ist eine Cloud-Lösung, das heißt, die Daten liegen auf Servern, v.a. auch in den USA. Man nennt das einen sog. Drittstaatentransfer d.h. es findet eine Verarbeitung von Daten außerhalb der EU statt. Doch sogar, wenn die Daten nur auf deutschen Servern liegen würden, wären aufgrund der rechtlichen Situation in den USA so, dass Microsoft bestimmte Daten an US-Behörden herausgeben müssten, wenn diese danach fragen.
Nun ist es aber leider so, dass die Datenschutzbestimmungen in den USA nicht konform sind mit der in Deutschland geltenden DSGVO. Deshalb braucht man mit Anbietern außerhalb der EU eine gesonderte Rechtsgrundlage. Das Privacy Shield ist als Rechtsgrundlage weggefallen, das heißt, Unternehmen, die Microsoft 365 einsetzten, brauchen eigene vertragliche Regelungen (v.a. Auftragsverarbeitungsverträge und sog. Standarddatenschutzklauseln), die die Datenverarbeitung regeln.
Man könnte sich vorstellen: ok, dann schließe ich halt diese Verträge ab – und dann bin ich rechtskonform unterwegs? Dem ist aber leider nicht so. Die DSK hat 2020 entschieden, dass Office 365 rechtswidrig ist, weil es eigentlich de facto nicht datenschutzkonform genutzt werden kann. Es gibt viele Datenschützer, die das differenziert sehen.
Das verlinkte Positionspapier der Datenschutzbehörden BW, Bayern, Hessen und Saarland ist datiert auf den 02.10.2020 und bezieht sich auf die damalige Entscheidung der DSK die Bewertungen des Arbeitskreises Verwaltung anzunehmen, wogegen die Datenschutzbehörden der Länder Baden-Württemberg, Bayern, Hessen, Rheinland-Pfalz, Saarland, Sachsen gestimmt haben.
Das Stimmverhältnis bezüglich der kürzlich – am 24.11.2022 – ergangenen Entscheidung der DSK ist noch nicht einsehbar, da ein Protokoll (noch) nicht veröffentlich ist.
Jedoch hat die DSK den vollständigen Abschlussbericht der Arbeitsgruppe DSK „Microsoft-Onlinedienste“ am 07.12.2022 veröffentlicht.
Mit Beschluss vom 24.11.2022 – unter Verweis auf den Bericht der Arbeitsgruppe DSK „Microsoft- Onlinedienste“ und dessen Zusammenfassungen – hat die DSK (Datenschutzkonferenz) festgestellt, „dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann“.
Pressemitteilung des Thüringer Landesbeauftragten für Datenschutz und die Informationsfreiheit.
Der Landesbeauftragte ist der Ansicht, dass sich die DSK hier nicht an Microsoft wendet, sondern an die Verantwortlichen.
Bindungswirkung der „Festlegung“
Die vorliegende Information hat für die Verantwortlichen keine (unmittelbare) Bindungswirkung. Es handelt sich um eine „Festlegung“ (= Festlegung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder); Festlegungen sind Positionen zu internen inhaltlichen, technischen oder organisatorischen Fragen einschließlich der Gremienarbeit.
Hier die aktuelle Geschäftsordnung der DSK
Eine solche Festlegung hat auch keine Bindungswirkung für die Behörden. Für den Verantwortlichen hat eine Festlegung erst Bindungswirkung, wenn er einen von einer Behörde erlassenen Verwaltungsakt nicht (erfolgreich) anficht.
On-Premises Office-Produkte meint die „klassischen“ Office Produkte, die auf dem PC lokal installiert werden, ohne Abo erwerbbar sind und nicht tief in die Microsoft Cloud eingebunden sind. Die aktuellste Version ist derzeit Microsoft Office 2021. Mit einem Blick auf die Microsoft Homepage lässt sich leicht sehen, dass Microsoft verstärkt Microsoft 365 bewirbt und kaum Informationen zu Microsoft Office 2021 zu finden sind. Es könnte also passieren, dass Microsoft die „On-Premises“ Office Produktsparte ganz einstellt.
Der Einsatz eines On-Premise Produkts dürfte datenschutzrechtlich nur dann einen Unterschied machen, wenn es keine Cloud-Einbindung gibt. In der Praxis dürfte es wohl aber wohl so sein, dass Microsoft 365 das Microsoft Office 2021 mit direkter Anbindung an die Microsoft Cloud und einigen zusätzlichen Features ist (siehe Microsoft Produktseite). Zwar besteht also bei Office 2021 keine Cloudanbindung jedoch ist davon auszugehen, dass auch bei den On-Premise Produkten ein erheblicher Datenfluss zu Microsoft stattfindet, wie die z.B. die Untersuchungen des LfDI zu Microsoft 365 nahelegen. Beispielsweise kommt es zu einer umfangreichen Übertragung von Telemetrie- und Diagnosedaten.
Letztlich ist dem Verantwortlichen auch beim Einsatz von einem On-Premise Produkt nicht klar, welche Daten erhoben werden und zu welchem Zweck sowie welche Daten Microsoft im Auftrag des Verantwortlichen verarbeitet und welche selbst als Verantwortlicher. Damit kann der Verantwortliche z.B. beim Einsatz eines (nicht komplett vom Internet abgeschotteten) On-Premise Produkts nicht seiner Verpflichtung aus Art. 13 DSGVO gerecht werden.
Was ist der Patriot Act?
Gemäß dem Patriot Act von 2001 müssen US-Unternehmen personenbezogene Daten auf Verlangen von US-Behörden oder auf richterliche Anordnung hin herausgeben.
Wann greift der Patriot Act nicht mehr?
Gemäß dem Patriot Act von 2001 müssen US-Unternehmen personenbezogene Daten auf Verlangen von US-Behörden oder auf richterliche Anordnung hin herausgeben. Microsoft hatte sich nach einer richterlichen Anordnung auf Datenherausgabe widersetzt, weil sich die Daten nicht in den USA, sondern in einem Rechenzentrum in Irland - und damit in Europa - befanden. Nach Ansicht Microsofts wäre es dann so, dass das Datenschutzrecht des Landes gelte, in dem die Daten gespeichert sind und die DSGVO erlaubt eben keine Herausgabe der Daten in die USA.
Danach erließ die Regierung TRUMP den CLOUD Act (= Clarifying Lawful Overseas Use of Data Act). Er verpflichtet US-Unternehmen selbst dann zur Datenherausgabe, wenn lokale Gesetze (wie z.B. die DSGVO) dies am Ort des Datenspeichers verbieten. Seitdem muss sich Microsoft also entscheiden, welches Recht es verletzen möchte – und welches es einhält.
Ergo: Wenn Unternehmen sicher DSGVO-konform arbeiten wollen, müssen sie nicht nur darauf achten, wo die Daten gespeichert sind, sondern auch, wo das speichernde Unternehmen seinen Sitz hat.
Da die Lösung der datenschutzrechtlichen Probleme (größtenteils) nur durch Microsoft selbst erzielt werden kann, können jetzt auch kaum Maßnahmen durch den Verantwortlichen ergriffen werden, um Microsoft 365 vollständig und ohne Beanstandung der Aufsichtsbehörden rechtskonform einzusetzen.
Ein breites Vorgehen der Aufsichtsbehörden gegen Verantwortliche ist bis jetzt nicht ersichtlich. Allerdings gibt es anlassbezogene Prüfungen, bei denen der Einzelfall genau geprüft wird. Aus Gründen der Datenschutzkonformität empfehlen wir ausdrücklich die Abarbeitung der folgenden Liste:
Stand: Dezember 2022
Zum Newsletter anmelden und sparen
10 € Rabatt auf Ihre erste Seminaranmeldung