Die deutschen Datenschutzaufsichtsbehörden stehen einem Einsatz von Microsoft 365 bekanntermaßen kritisch gegenüber. Nicht zuletzt wegen der Vollharmonisierung der DSGVO sind bei datenschutzrechtlichen Bewertungen jedoch auch die Stimmen anderer Datenschutzaufsichtsbehörden relevant. Interessant ist diesbezüglich insbesondere ein „Blick über den Tellerrand“ nach Frankreich.
Französische Regierung setzt auf eigene Cloud-Lösungen
In einem Rundschreiben vom 15. September 2021 hat der interministerielle Direktor für die Digitalisierung des Staates die französischen Behörden wegen eines möglichen Zugriffs von US-Nachrichtendiensten dazu aufgefordert, bei Digitalisierung der Ministerien nicht mehr auf Microsoft 365 zu setzen. Der Einsatz von Microsoft 365 sei nicht mit der französischen „Cloud-Doktrin“ vereinbar. Die im Mai 2021 vorgestellte Doktrin hat zum Ziel, die französischen Verwaltungsabläufe in die Cloud zu migrieren – jedoch nicht zu Microsoft. Stattdessen soll auf vom französischen Staat entwickelte oder mit dem Label „SecNumCloud“ von der französischen Cybersicherheitsbehörde zertifizierte Lösungen zurückgegriffen werden.
Aufgrund einer parlamentarischen Anfrage hat sich kürzlich auch der französische Bildungsminister zu Microsoft 365 an Bildungseinrichtungen geäußert. Die parlamentarische Anfrage eines Abgeordneten zielte eigentlich auf die Frage, ob die von Microsoft (aber auch Google) für Bildungseinrichtungen kostenlos bereitgestellten Versionen der jeweiligen Cloud-Produkte nicht eine Wettbewerbsverzerrung darstellen würden. Statt näher auf diese Frage einzugehen, erklärte der zuständige Minister, dass die Bildungseinrichtungen gebeten werden, die jeweiligen Lösungen nicht einzusetzen.
Keine ausdrückliche Festlegung der CNIL
Beide zuvor genannten Fälle geben allerdings lediglich die politische Auffassung der französischen Regierung wieder und beziehen sich mit den Ministerien und Bildungseinrichtungen zudem auf individuell eingegrenzte Bereiche. Die zuständige französische Datenschutzaufsichtsbehörde, die Commission Nationale de l’Informatique et des Libertés (CNIL), hat sich bisher nicht generell zu einem Einsatz bzw. der Datenschutzkonformität von Microsoft 365 geäußert. In einem Informationsschreiben vom 27. Mai 2021 hatte die CNIL in Reaktion auf das „Schrems II“-Urteil des EuGH allerdings die Empfehlung ausgesprochen, dass Hochschulen auf Produkte von europäischen Anbietern zurückgreifen sollten. Zugleich hatte die CNIL jedoch betont, dass aufgrund der Herausforderungen der Pandemie und zur Aufrechterhaltung der Bildungs- und Forschungsaufgaben eine Übergangszeit gerechtfertigt sei.
Fazit
Die CNIL hat sich in Frankreich bisher nicht ausdrücklich gegen einen Einsatz von Microsoft 365 positioniert und keine abschließende datenschutzrechtliche Bewertung vorgenommen. Auffallend ist, dass sich sämtliche, teils mehrere Jahre zurückliegende Stellungnahmen maßgeblich auf den aufgehobenen Angemessenheitsbeschluss zum EU-US Privacy Shield beziehen. Zwischenzeitlich hat Microsoft jedoch zahlreiche Änderungen an seinem Auftragsverarbeitungsvertrag vorgenommen und mit der Einführung des EU Data Boundary begonnen. Darüber hinaus ist eine neue Executive Order des US-Präsidenten in Kraft getreten und ein Angemessenheitsbeschluss der EU-Kommission zum Trans-Atlantic Data Privacy Framework kann zeitnah erwartet werden. Die Grundlagen der damaligen Bewertung haben sich folglich dramatisch geändert und es ist eine Neubewertung erforderlich. Unseren Erkenntnissen nach dürfte sich die CNIL hierzu in absehbarer Zeit erneut positionieren.
zurück