Daten­schutz­auf­sicht Nie­der­sach­sen bewer­tet Office 365 als “sehr kri­tisch”! Ist das rich­tig? Wir mei­nen nein.

Sta­tus Quo

Zahl­rei­che Mel­dun­gen und Pro­dukt­war­nun­gen zu Micro­soft Office 365 und ande­ren Kollaborations- und Video­kon­fe­renz­platt­for­men ver­un­si­chern seit Beginn der Pan­de­mie Unter­neh­men und ande­re Nut­zer. Die Lan­des­be­auf­trag­te für den Daten­schutz (LfD) Nie­der­sach­sen teil­te die­se Woche mit, dass sie den Ein­satz von Office 365 als “sehr kri­tisch” ein­schätzt und aus daten­schutz­recht­li­cher Sicht drin­gend von einem Ein­satz abrät. Auch die Kon­fe­renz der unab­hän­gi­gen Daten­schutz­be­hör­den des Bun­des und der Län­der (DSK) hat sich in der Ver­gan­gen­heit mit der Fra­ge eines daten­schutz­kon­for­men Ein­sat­zes von Office 365 im öffent­li­chen und nicht-öffentlichen Bereich befasst und war in einer denk­bar knap­pen Ent­schei­dung von 9:8 Stim­men zum Ergeb­nis gekom­men, dass auf Basis der geprüf­ten Unter­la­gen “jeden­falls mit Stand Janu­ar 2020 kein daten­schutz­ge­rech­ter Ein­satz von Micro­soft Office 365 mög­lich war”.

Seit­her befin­den sich die Auf­sichts­be­hör­den in einem Dia­log mit Micro­soft, der die daten­schutz­recht­li­chen Beden­ken der Behör­den aus­räu­men soll. Wei­te­re Maß­nah­men, wie z. B. die Unter­sa­gung von Ver­ar­bei­tun­gen mit Office 365, haben die Behör­den unse­res Wis­sens nach nicht unter­nom­men und bis zum Abschluss der Gesprä­che schei­nen ent­spre­chen­de Ver­fü­gun­gen sehr unwahr­schein­lich. Dafür spricht auch, dass die Daten­schutz­auf­sicht Nie­der­sach­sen betont “bis­lang kei­ne ent­spre­chen­de Anord­nung oder Unter­sa­gung aus­ge­spro­chen” zu haben. Ein wei­te­rer Ein­satz von Office 365 zeich­net sich unter­des­sen in Schu­len ab. Nach­dem der hes­si­sche Beauf­trag­te für den Daten­schutz und Infor­ma­ti­ons­frei­heit (HBDI) eine Dul­dung des Ein­sat­zes aller Video­sys­te­me, die nicht im vol­len Umfang die daten­schutz­recht­li­chen Anfor­de­run­gen erfül­len, bis zum 31.07.2021 begrenzt hat­te, wur­de nun ange­kün­digt die Dul­dung auf­grund eines Nach­trags im Ver­ga­be­ver­fah­ren bis auf Wei­te­res zu ver­län­gern. Grund­le­gen­de Kri­tik an einem Aus­schluss funk­tio­nie­ren­der digi­ta­ler Tech­no­lo­gien wegen Daten­schutz­be­den­ken äußer­te zuletzt der saar­län­di­sche Minis­ter­prä­si­dent Tobi­as Hans und for­der­te eine ent­spre­chen­de Locke­rung der daten­schutz­recht­li­chen Vorgaben.

Kri­tik­punk­te der Daten­schutz­auf­sicht Niedersachsen

In der aktu­el­len Pres­se­mit­tei­lung kri­ti­siert die nie­der­säch­si­sche Daten­schutz­auf­sichts­be­hör­de vor allem zwei Aspek­te. Zunächst betont sie, dass die Auf­trags­ver­ar­bei­tungs­ver­trä­ge von Micro­soft pro­ble­ma­tisch sei­en. Was die Behör­de damit genau meint und ob die Kri­tik der Behör­de über die Anmer­kun­gen der DSK zu älte­ren Ver­sio­nen der Ver­trä­ge hin­aus­geht, bleibt jedoch lei­der unklar. Dar­über hin­aus bemän­gelt die Daten­schutz­auf­sicht Nie­der­sach­sen die Über­tra­gung von Tele­me­trie­da­ten im Hin­ter­grund, für die es nach der­zei­ti­gem Stand kei­ne Rechts­grund­la­ge gäbe. Auch hier ist unklar, ob die Kri­tik der Behör­de über die bereits von der DSK ange­führ­ten Aspek­te zur Ver­ar­bei­tung von Tele­me­trie­da­ten, die sich in ers­ter Linie auf die Nut­zung von Office 365 durch öffent­li­che Stel­len bezo­gen hat­ten, hin­aus­geht. Letzt­lich ist damit fest­zu­hal­ten, dass die aktu­el­le Pres­se­mit­tei­lung der nie­der­säch­si­schen Daten­schutz­auf­sicht kei­nen Rück­schluss auf neue daten­schutz­recht­li­che Kri­tik­punk­te an Office 365 zulässt. Unter­neh­men, die einen Ein­satz von Office 365 eva­lu­ie­ren, kön­nen für die Ein­be­zie­hung der auf­sichts­be­hörd­li­chen Posi­ti­on in ihre daten­schutz­recht­li­che Ana­ly­se also wei­ter­hin auf den von den Auf­sichts­be­hör­den teils selbst deut­lich kri­ti­sier­ten Beschluss der DSK aus dem ver­gan­ge­nen Jahr zurückgreifen.

Dür­fen die das?

Die DSGVO weist den Auf­sichts­be­hör­den kei­ne Kom­pe­tenz für all­ge­mei­ne Pro­dukt­be­wer­tun­gen zu. Eine feh­len­de Rechts­grund­la­ge könn­te dem­nach Grund­la­ge für zahl­rei­che Scha­dens­er­satz­an­sprü­che betrof­fe­ner Her­stel­ler sein. Ein vor­läu­fi­ges Gut­ach­ten der DSK kommt zu dem Ergeb­nis, dass sofern bis­he­ri­ge behörd­li­che Bewer­tun­gen und Pro­dukt­war­nun­gen noch als Sen­si­bi­li­sie­rungs­maß­nah­men nach Art. 57 Abs. 1 DSGVO ein­ge­stuft wer­den, eine Rechts­grund­la­ge gege­ben sein kann. Jedoch bleibt frag­lich, ob in jedem Ein­zel­fall den Grund­sät­zen der Sach­lich­keit und Rich­tig­keit genü­ge getan wur­de. Pro­mi­nen­tes Bei­spiel der Pan­de­mie bil­det dabei der Videokonferenzen-Dienst Zoom. Ins­ge­samt erscheint vor dem Hin­ter­grund der enor­men Wir­kungs­kraft von Pro­dukt­war­nun­gen und dro­hen­den Scha­dens­er­satz­an­sprü­chen bei behörd­li­chem Fehl­ver­hal­ten ein zurück­hal­ten­des Vor­ge­hen der Auf­sichts­be­hör­den begrüßenswert.

Was raten wir Unternehmen?

Auf­grund der aktu­ell noch unkla­ren Situa­ti­on und den noch nicht abge­schlos­se­nen auf­sichts­be­hörd­li­chen Prü­fun­gen sind Unter­neh­men ange­hal­ten, den Ein­satz von Office 365 genau zu über­prü­fen. Hier­bei soll­ten die Mei­nun­gen und Stel­lung­nah­men ein­zel­ner Auf­sichts­be­hör­den, ins­be­son­de­re wenn sie kei­ne kon­kre­te Kri­tik erken­nen las­sen, jedoch nicht über­be­wer­tet wer­den. Basis der daten­schutz­recht­li­chen Bewer­tung von Office 365 und ande­ren Kollaborations- und Video­kon­fe­renz­diens­ten soll­te stets die DSGVO und sowie die ein­schlä­gi­ge Recht­spre­chung sein. In die­sem Kon­text soll­ten ins­be­son­de­re auch die sich aus der “Schrems II”-Entscheidung des EuGH erge­ben­den Anfor­de­run­gen beach­tet wer­den. Die­se daten­schutz­recht­li­che Bewer­tung soll­te durch das Unter­neh­men stets umfas­send doku­men­tiert wer­den. Dabei sind auch indi­vi­du­el­le Ein­stel­lungs­mög­lich­kei­ten ggfs. unter der Zuhil­fe­nah­me von tech­ni­schen Exper­ten aus­zu­schöp­fen.

Soll­ten Sie wei­ter­ge­hen­de Fra­gen zum Daten­schutz bei Office 365 oder ande­ren Kollaborations- oder Video­kon­fe­renz­diens­ten haben, wen­den Sie sich ger­ne jeder­zeit an unse­re Digi­tal Busi­ness Unit.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.