Dass das Schlagwort „Digitalisierung“ in Deutschland noch immer eher floskelhaft gebraucht, tatsächlich jedoch nur sehr schleppend umgesetzt wird, ist mittlerweile kein Geheimnis mehr. In diesem Zusammenhang spielt auch der Einsatz von Cloud-Technik eine herausragende Rolle. Während der durchschnittliche Anwender primär an Cloud Speicherplatz (wie bspw. Dropbox) denkt, ist der Anwendungsbereich von Cloud-Technologie bedeutend größer. Derzeit in aller Munde ist der Einsatz von Microsoft Office 365. Dies ist die cloudbasierte Variante zum „klassischen“ Microsoft Office, das auf dem Rechner lokal installiert wird. Da Cloudtechnik selten ohne die Verarbeitung personenbezogener Daten auskommt, wird gegenwärtig speziell der Dienst Office 365 in Datenschutzkreisen kritisch betrachtet. Nachdem diese Thematik im Laufe des Jahres 2020 im Kreise der deutschen Datenschutzbehörden diskutiert wurde, hat nunmehr die Datenschutzkonferenz (DSK) diesbezüglich abschließend mit folgendem Ergebnis Stellung bezogen:
Ein datenschutzkonformer Einsatz von Microsoft Office 365 sei zum derzeitigen Stand nicht möglich.
Grund hierfür ist im Wesentlichen der „Anhang Datenschutzbestimmungen für Microsoft-Onlinedienste“ (nachfolgend Online Service Terms, kurz: OST), der Grundlage für die Nutzung von Onlinediensten wie bspw. Microsoft Office 365 ist. Die DSK ist der Auffassung, dass diese Bestimmungen nicht den Anforderungen des europäischen Datenschutzrechts nach der DSGVO entsprechen.
Rechtliche Ausgangslage
Bei den OST handelt es sich nach einschlägiger Auffassung um einen Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO. Die Anforderungen an einen solchen Vertrag sind hierbei gesetzlich vorgeschrieben (Art. 28 Abs. 3 DSGVO). Die DSK kam in diesem Zusammenhang bereits im Jahre 2019 zu dem Schluss, dass die OST nicht den dort festgelegten Anforderungen entspricht. Auch die im Januar 2020 vorgelegte überarbeitete Version stellte die Datenschützer nicht zufrieden. Gegenstand der jüngsten Betrachtung war daher nunmehr die nochmals überarbeitete Version aus Juli 2020.
Kritik der DSK
1.
Die DSK bemängelt unter anderem, dass die Art der personenbezogenen Daten sowie deren Zwecke zu denen sie verarbeitet werden, unklar bleibt. Nach Art. 28 Abs. 3 ist dies jedoch zwingend erforderlich. Die DSK verlangt zumindest eine abstrakte Darstellung bzw. eine entsprechende Auswahl.
Die Festlegung der Art der personenbezogenen Daten in den OST erfolgt lediglich dahingehend, dass solche Daten verarbeitet werden, die der jeweilige Kunde selbst in das Vertragsverhältnis einbringt sowie solche, die „in Artikel 4 DSGVO“ ausdrücklich genannt werden. Die DSK lässt hierbei nicht gelten, dass Microsoft es nicht in der Hand hat bzw. nicht absehen kann, welche Daten die Kunden einbringen, um damit in den bereitgestellten Onlinediensten zu arbeiten. Nicht zu vergessen ist hierbei, dass der Kunde selbst dafür Sorge trägt, welche Daten er Microsoft als Auftragsverarbeiter zur Verfügung stellt.
Im Hinblick auf die Kundendaten dürfte eine weitere Eingrenzung bzw. Spezifizierung jedoch wohl auch kaum möglich sein; vor allem im Hinblick darauf, dass es sich bei den betreffenden Onlinediensten um solche handelt, die rund um den Planeten zum Einsatz kommen.
2.
Problematisch sind weiterhin auch die Telemetrie-Diagnosedaten, die an Microsoft zur weiteren Auswertung übermittelt werden. Hierfür sieht die DSK auch im Rahmen des Auftragsverarbeitungsvertrages keine Rechtsgrundlage.
Der Kernpunkt der Problematik liegt hierbei darin, dass solche Daten auch dann offengelegt werden können und müssen, wenn dies gesetzlich so vorgeschrieben sei. Dies DSK sieht dies kritisch. Die Offenlegung von Daten dürfte nur dann erfolgen, wenn EU-Recht oder das Recht einzelner Mitgliedsstaaten dies vorschreibe. Denn diese müssen mit dem europäischen Datenschutzrecht harmonisiert sein. Bei Diagnosedaten, die in den USA gespeichert werden und damit dem amerikanischen Recht unterliegen, ist dies jedoch nicht gewährleistet.
3.
Problematisch war außerdem der Einsatz von Unterauftragnehmern durch Microsoft. Hierzu hatte sich Microsoft ursprünglich vorab die schriftliche Zustimmung ihrer Kunden durch Unterzeichnung der OST eingeholt. Gleichzeitig sollten die Kunden lediglich über eine bereitgestellte Website über die Unterauftragnehmer (passiv) informiert werden. Dies wurde seitens der DSK verworfen. Kritisiert wurde insbesondere, dass eine passive Information der Kunden nicht ausreiche.
Im Falle der aktuellen OST werden die Kunden (je nach Art der Daten) mindestens 6 Monate bzw. 30 Tage vor Einschaltung des Unterauftragsverarbeiters informiert und erhalten Gelegenheit zum Einspruch. Problematisch könnte hier höchstens sein, dass der Kunde keine „echte“ Möglichkeit zum Einspruch hat, da Microsoft den Unterauftragsverarbeiter so oder so zuschaltet; allerdings erhält der Kunde im Falle des Einspruchs die Möglichkeit zur Sonderkündigung.
Eine derartige Lösung ist durchaus praxistauglich und berücksichtigt die Belange von Microsoft und seinen Kunden in gleichem Maße. Denn Ziel der gesetzlichen Regelung ist es, dem Verantwortlichen (also dem Kunde) nicht zumuten zu müssen, sich der Auswahl der Unterauftragsverarbeiter durch den Auftragsverarbeiter schutzlos gegenüber zu stellen. Weil dies in diesem Fall praktisch nicht möglich ist, erhält der Kunde „als Ausgleich“ die Möglichkeit zur Kündigung.
Hinsichtlich der Informationspolitik wird sich der Endverbraucher wohl die Frage stellen müssen, ob permanenten Push-Benachrichtigungen von Microsoft nicht eher als störend, statt hilfreich empfunden werden würden.
Fazit
Die aktuelle Entscheidung der DSK dürfte den Digitalisierungsplänen sowohl der freien Wirtschaft, als auch dem Staat, einen gehörigen Strich durch die Rechnung machen. Im Angebot von Microsoft Office 365 steckt unter anderem der beliebte Dienst Microsoft Teams, der sich in Zeiten der COVID-19 Pandemie größter Beliebtheit erfreut und ein halbwegs normales Arbeiten auch in Lockdown Zeiten, ermöglicht.
Im Ergebnis ist klar, dass Microsoft Office 365 unter Datenschutzgesichtspunkten „kein Heiliger“ ist. Im Hinblick auf die nachgebesserten OST sollte jedoch auch der Aspekt Berücksichtigung finden, dass die Erfüllung der strengen Anforderungen des Art. 28 Abs. 3 DSGVO, bei einem weltweit agierenden Unternehmen, unter Umständen nicht bis ins tiefste Detail möglich sein wird. Dass die Entscheidung der DSK mit Vorsicht zu genießen ist, zeigt auch das Abstimmungsergebnis. So gab es zu den 9 Zustimmungen immerhin 8 Gegenstimmen. Unter den Gegenstimmen befand sich sowohl die bayrische Datenschutzbehörde und (erfreulicherweise) die saarländische Datenschutzbehörde. Gleichwohl befindet sich die DSK in guter Gesellschaft, da auch der europäische Datenschutzbeauftragte Wojciech Wiewiórowski den Einsatz von Office 365 kritisch bewertet.
Gerade in Zeiten, in denen digitaler Fortschritt dringend nötig geworden ist, sollte sich jedoch die Frage gestellt werden, ob derart strenge Maßstäbe an die Anforderungen des Datenschutzes zielführend sind; denn ansonsten bleibt zu befürchten, dass „Digitalisierung“ nur eine inhaltsleere Floskel bleibt.