Nach dem EuGH-Urteil vom 16. Juli 2020 mit dem Aktenzeichen C-311/18 ("Schrems II") war zunächst klar: Die Verwendung von Programmen, die personenbezogene Daten ausschließlich auf Basis des Privacy Shield in die USA übermitteln, ist nicht datenschutzkonform. Also untersagt!
Somit müssen die Verantwortlichen (das sind die Geschäftsführungen, Behördenleitungen oder auch Vereinsvorstände) in den meist kleineren und mittleren Organisationen prüfen, ob sie ihr Produkt tatsächlich verwenden dürfen. Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder wollte sich zu diesem Thema abstimmen. Siehe dazu auch frühere Beiträge von mir (hier rechts).
Die Arbeitsgruppe der DSK mit dem Namen "Verwaltung zur Auftragsverarbeitung bei Microsoft Office 365" hat die Online Service Terms und die Datenschutzbestimmungen für Microsoft-Onlinedienste geprüft und festgestellt, dass eine datenschutzkonforme Verarbeitung nicht gewährleistet ist. Dies hat die DSK kürzlich mit knapper Mehrheit (9:8) bestätigt. Hier ist die Pressemitteilung der Behörden, denen der Beschluss zu pauschal ist:
Die kritischen Punkte gegen und für das Verbot werden jeweils von namhaften Juristen aufgegriffen. Kritiker der Entscheidung meinen:
- die Prüfung hat im Januar 2020 stattgefunden und Microsoft hat seitdem doch sehr viel in den Vertragswerken und Dokumentationen geändert.
- Ein Produkt Office 365 gibt es nicht. Tatsächlich gibt es die Produktgruppen Microsoft 365 und Office 365 *, die ihrerseits jeweils zahlreiche Lizenzen und Produkte haben. Diese sog. Pläne (Business, Enterprise E1, E3, E5) haben zudem noch angepasste Versionen (Home, Unternehmen, Behörden, Bildung). Das ruft die Frage auf, was genau denn nun geprüft wurde.
https://www.microsoft.com/de-de/microsoft-365/enterprise/compare-office-365-plans?market=de - Insgesamt erscheinen diese Microsoft-Produkte also doch datenschutzkonform einsetzbar.
Die Befürworter der DSK-Entscheidung entgegnen:
- Gerade weil Microsoft die Verträge einseitig geändert hat, werden die Daten nicht mehr auf einer vertraglichen Grundlage verarbeitet. Änderungen würden ja erst bei Neukunden greifen.
- Die Datenschutzbestimmungen von Microsoft gestatten dem Unternehmen, dass Nutzerdaten für eigene Zwecke verarbeitet werden dürfen, also zum Beispiel die E-Mails der Beschäftigten der Kundenfirmen einsehen, verwenden und weiterleiten.
- Von daher wäre die Verarbeitung mit Microsoft-Produkten unrechtmäßig.
Meine klein- und mittelständisch geprägte Klientel kann sich kaum auf Rechtsstreitigkeiten einlassen. Ich persönlich kann letztendlich nur empfehlen, die Verarbeitung personenbezogener Daten mit Microsoft-Produkten unverzüglich einzustellen und auf Open-Source-Produkte wie LibreOffice umzusteigen. Die Verwendung von Open Source wird ohnehin von den Datenschutzbehörden favorisiert.
* Meines Erachtens wurde Office 365 umbenannt in Microsoft 365.