DSK bestätigt: Microsoft 365 zurzeit nicht rechtmäßig nutzbar – Widerstand kommt aus den eigenen Reihen
Die Datenschutzkonferenz – der Zusammenschluss aller deutschen Aufsichtsbehörden, kurz „DSK“ – hat das Ergebnis des Arbeitskreises Verwaltung im Hinblick auf Microsoft Office 365 heute mit neun zu acht Stimmen bestätigt. Die insgesamt fünf Aufsichtsbehörden aus Bayern (2), Baden-Württemberg, Hessen und dem Saarland haben dies zum Anlass genommen, eine gemeinsame Pressemitteilung zu veröffentlichen, in der sie sich von dieser Entscheidung abgrenzen, da das Ergebnis des o.g. Arbeitskreises „zu undifferenziert“ sei. Wir erläutern die Hintergründe und Konsequenzen.
Die Bewertung des Arbeitskreises Verwaltung
Der Arbeitskreis Verwaltung hat im Rahmen seiner Arbeit die Bedingungen für eine Auftragsverarbeitung bei der Nutzung von Microsoft 365 geprüft. Grundlage dieser Prüfung waren dabei zum einen die Nutzungsbedingungen (sog. Online Service Terms) sowie der Datenschutzvertrag (Data Processing Addendum) von Microsoft – beide mit Stand Januar 2020. Ergebnis dieser Prüfung ist, „dass auf Basis der genannten Unterlagen kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich“ sei. Genaueres ist bisher (außer der DSK) nicht bekannt – eine Anfrage dieses Prüfergebnisses ist noch über die Plattform „Frag den Staat“ anhängig.
Reaktion der DSK
Die DSK hat dieses Ergebnis des Arbeitskreises nun „mehrheitlich zustimmend zur Kenntnis genommen“. Diese mehrheitliche Zustimmung kam jedoch denkbar knapp mit insgesamt neun zu acht Stimmen zustande. Trotzdem positioniert sich die DSK aber nun voraussichtlich dazu, Microsoft 365 als unrechtmäßig zu beurteilen.
Widerstand in den eigenen Reihen
Das denkbar enge Abstimmungsergebnis zeigt, dass es durchaus auch andere Meinungen zu Microsoft 365 innerhalb der DSK gibt. Um dies scheinbar noch einmal zu verdeutlichen, haben die o.g. fünf Aufsichtsbehörden nun ihre gemeinsame Pressemitteilung veröffentlicht. In dieser machen sie deutlich, dass das Ergebnis der Arbeitsgruppe „zwar als relevante Arbeitsgrundlage, aber noch nicht als entscheidungsreif“ anzusehen ist. Problematisch ist aus Sicht der Behörden vor allem, dass der Prüfung durch den Arbeitskreis Versionen der Dokumente vorlagen, die in der Zwischenzeit bereits mehrfach überarbeitet wurden. Hinzu kommt, dass sich die rechtlichen Grundbedingungen durch die kürzlich ergangene Entscheidung des Europäischen Gerichtshofs zur Rechtssache „Schrems-II“ (Az. C-311/18) noch einmal stark verschoben haben.
Hauptkritikpunkt der Behörden ist aber, dass Microsoft selbst bisher keine Möglichkeit gegeben wurde, sich zu der Bewertung offiziell zu äußern, wie es „zu einem fairen, rechtsstaatlichen Verfahren“ gehöre.
Was nun?
Fakt ist: Der Einsatz von Microsoft 365 wird aus Sicht der DSK weiterhin als unrechtmäßig bewertet.
Klar ist aber auch: Die DSK ist sich hierüber uneins – und das ungewöhnlich deutlich.
Die DSK hat als Folge dieser Unklarheiten nun eine Arbeitsgruppe eingesetzt, die mit Microsoft in Kontakt treten soll, um die Fragen zu klären und so zu einem belastbaren Ergebnis zu kommen. Die Federführung bei diesem Arbeitskreis tragen die Aufsichtsbehörden aus Brandenburg und Bayern (Bayerisches Landesamt für Datenschutzaufsicht).
Was bedeutet das für Sie als Unternehmen?
Wenn Sie Microsoft 365 in Ihrem Unternehmen, Verein oder sonstigen Stellen einsetzen, besteht weiterhin ein hohes Risiko. Prüfen Sie in jedem Fall, dass Sie alle möglichen Maßnahmen zur Sicherung der Datenverarbeitung treffen, um das Risiko so gut wie möglich zu senken.
Überprüfen Sie für Ihre Microsoft-Produkte die Konfiguration der Grundeinstellungen im Hinblick auf Datenschutzkonformität. Je nach Produktgruppe und Branche werden Office 365 und Microsoft 365 in unterschiedlichen Grundkonfigurationen und mit unterschiedlichen Konfigurationsmöglichkeiten ausgeliefert.
Dokumentieren Sie die von Ihnen gewählte Konfiguration und die zugrunde liegenden Abwägungsentscheidungen.
Quellen:
Gemeinsame Pressemitteilung der Aufsichtsbehörden aus Baden-Württemberg, Bayern, Hessen und dem Saarland vom 02.10.2020:
Microsoft Office 365: Bewertung der Datenschutzkonferenz zu undifferenziert – Nachbesserungen gleichwohl geboten
Informationsanfrage auf „FragDenStaat.de“ zur Bewertung des DSK-Arbeitskreises Verwaltung, Anfrage vom 02.10.2020:
Bewertung des DSK-Arbeitskreises Verwaltung zur Auftragsverarbeitung bei Microsoft Office 365 vom 15. Juli 2020