Datenschutzaufsicht Niedersachsen bewertet Office 365 als "sehr kritisch"! Ist das richtig? Wir meinen nein.

Stefan Hessel

Status Quo

Zahlreiche Meldungen und Produktwarnungen zu Microsoft Office 365 und anderen Kollaborations- und Videokonferenzplattformen verunsichern seit Beginn der Pandemie Unternehmen und andere Nutzer. Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen teilte diese Woche mit, dass sie den Einsatz von Office 365 als "sehr kritisch" einschätzt und aus datenschutzrechtlicher Sicht dringend von einem Einsatz abrät. Auch die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat sich in der Vergangenheit mit der Frage eines datenschutzkonformen Einsatzes von Office 365 im öffentlichen und nicht-öffentlichen Bereich befasst und war in einer denkbar knappen Entscheidung von 9:8 Stimmen zum Ergebnis gekommen, dass auf Basis der geprüften Unterlagen "jedenfalls mit Stand Januar 2020 kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich war".

Seither befinden sich die Aufsichtsbehörden in einem Dialog mit Microsoft, der die datenschutzrechtlichen Bedenken der Behörden ausräumen soll. Weitere Maßnahmen, wie z. B. die Untersagung von Verarbeitungen mit Office 365, haben die Behörden unseres Wissens nach nicht unternommen und bis zum Abschluss der Gespräche scheinen entsprechende Verfügungen sehr unwahrscheinlich. Dafür spricht auch, dass die Datenschutzaufsicht Niedersachsen betont "bislang keine entsprechende Anordnung oder Untersagung ausgesprochen" zu haben. Ein weiterer Einsatz von Office 365 zeichnet sich unterdessen in Schulen ab. Nachdem der hessische Beauftragte für den Datenschutz und Informationsfreiheit (HBDI) eine Duldung des Einsatzes aller Videosysteme, die nicht im vollen Umfang die datenschutzrechtlichen Anforderungen erfüllen, bis zum 31.07.2021 begrenzt hatte, wurde nun angekündigt die Duldung aufgrund eines Nachtrags im Vergabeverfahren bis auf Weiteres zu verlängern. Grundlegende Kritik an einem Ausschluss funktionierender digitaler Technologien wegen Datenschutzbedenken äußerte zuletzt der saarländische Ministerpräsident Tobias Hans und forderte eine entsprechende Lockerung der datenschutzrechtlichen Vorgaben.

Kritikpunkte der Datenschutzaufsicht Niedersachsen

In der aktuellen Pressemitteilung kritisiert die niedersächsische Datenschutzaufsichtsbehörde vor allem zwei Aspekte. Zunächst betont sie, dass die Auftragsverarbeitungsverträge von Microsoft problematisch seien. Was die Behörde damit genau meint und ob die Kritik der Behörde über die Anmerkungen der DSK zu älteren Versionen der Verträge hinausgeht, bleibt jedoch leider unklar. Darüber hinaus bemängelt die Datenschutzaufsicht Niedersachsen die Übertragung von Telemetriedaten im Hintergrund, für die es nach derzeitigem Stand keine Rechtsgrundlage gäbe. Auch hier ist unklar, ob die Kritik der Behörde über die bereits von der DSK angeführten Aspekte zur Verarbeitung von Telemetriedaten, die sich in erster Linie auf die Nutzung von Office 365 durch öffentliche Stellen bezogen hatten, hinausgeht. Letztlich ist damit festzuhalten, dass die aktuelle Pressemitteilung der niedersächsischen Datenschutzaufsicht keinen Rückschluss auf neue datenschutzrechtliche Kritikpunkte an Office 365 zulässt. Unternehmen, die einen Einsatz von Office 365 evaluieren, können für die Einbeziehung der aufsichtsbehördlichen Position in ihre datenschutzrechtliche Analyse also weiterhin auf den von den Aufsichtsbehörden teils selbst deutlich kritisierten Beschluss der DSK aus dem vergangenen Jahr zurückgreifen.

Dürfen die das?

Die DSGVO weist den Aufsichtsbehörden keine Kompetenz für allgemeine Produktbewertungen zu. Eine fehlende Rechtsgrundlage könnte demnach Grundlage für zahlreiche Schadensersatzansprüche betroffener Hersteller sein. Ein vorläufiges Gutachten der DSK kommt zu dem Ergebnis, dass sofern bisherige behördliche Bewertungen und Produktwarnungen noch als Sensibilisierungsmaßnahmen nach Art. 57 Abs. 1 DSGVO eingestuft werden, eine Rechtsgrundlage gegeben sein kann. Jedoch bleibt fraglich, ob in jedem Einzelfall den Grundsätzen der Sachlichkeit und Richtigkeit genüge getan wurde. Prominentes Beispiel der Pandemie bildet dabei der Videokonferenzen-Dienst Zoom. Insgesamt erscheint vor dem Hintergrund der enormen Wirkungskraft von Produktwarnungen und drohenden Schadensersatzansprüchen bei behördlichem Fehlverhalten ein zurückhaltendes Vorgehen der Aufsichtsbehörden begrüßenswert.

Was raten wir Unternehmen?

Aufgrund der aktuell noch unklaren Situation und den noch nicht abgeschlossenen aufsichtsbehördlichen Prüfungen sind Unternehmen angehalten, den Einsatz von Office 365 genau zu überprüfen. Hierbei sollten die Meinungen und Stellungnahmen einzelner Aufsichtsbehörden, insbesondere wenn sie keine konkrete Kritik erkennen lassen, jedoch nicht überbewertet werden. Basis der datenschutzrechtlichen Bewertung von Office 365 und anderen Kollaborations- und Videokonferenzdiensten sollte stets die DSGVO und sowie die einschlägige Rechtsprechung sein. In diesem Kontext sollten insbesondere auch die sich aus der "Schrems II"-Entscheidung des EuGH ergebenden Anforderungen beachtet werden. Diese datenschutzrechtliche Bewertung sollte durch das Unternehmen stets umfassend dokumentiert werden. Dabei sind auch individuelle Einstellungsmöglichkeiten ggfs. unter der Zuhilfenahme von technischen Experten auszuschöpfen.

Sollten Sie weitergehende Fragen zum Datenschutz bei Office 365 oder anderen Kollaborations- oder Videokonferenzdiensten haben, wenden Sie sich gerne jederzeit an unsere Digital Business Unit.

[Juli 2021]