Der Ein­satz von Micro­soft 365 in Frankreich

Die deut­schen Daten­schutz­auf­sichts­be­hör­den ste­hen einem Ein­satz von Micro­soft 365 bekann­ter­ma­ßen kri­tisch gegen­über. Nicht zuletzt wegen der Voll­har­mo­ni­sie­rung der DSGVO sind bei daten­schutz­recht­li­chen Bewer­tun­gen jedoch auch die Stim­men ande­rer Daten­schutz­auf­sichts­be­hör­den rele­vant. Inter­es­sant ist dies­be­züg­lich ins­be­son­de­re ein „Blick über den Tel­ler­rand“ nach Frankreich.

Fran­zö­si­sche Regie­rung setzt auf eige­ne Cloud-Lösungen

In einem Rund­schrei­ben vom 15. Sep­tem­ber 2021 hat der inter­mi­nis­te­ri­el­le Direk­tor für die Digi­ta­li­sie­rung des Staa­tes die fran­zö­si­schen Behör­den wegen eines mög­li­chen Zugriffs von US-Nachrichtendiensten dazu auf­ge­for­dert, bei Digi­ta­li­sie­rung der Minis­te­ri­en nicht mehr auf Micro­soft 365 zu set­zen. Der Ein­satz von Micro­soft 365 sei nicht mit der fran­zö­si­schen „Cloud-Doktrin“ ver­ein­bar. Die im Mai 2021 vor­ge­stell­te Dok­trin hat zum Ziel, die fran­zö­si­schen Ver­wal­tungs­ab­läu­fe in die Cloud zu migrie­ren – jedoch nicht zu Micro­soft. Statt­des­sen soll auf vom fran­zö­si­schen Staat ent­wi­ckel­te oder mit dem Label „SecNum­Cloud“ von der fran­zö­si­schen Cyber­si­cher­heits­be­hör­de zer­ti­fi­zier­te Lösun­gen zurück­ge­grif­fen werden.

Auf­grund einer par­la­men­ta­ri­schen Anfra­ge hat sich kürz­lich auch der fran­zö­si­sche Bil­dungs­mi­nis­ter zu Micro­soft 365 an Bil­dungs­ein­rich­tun­gen geäu­ßert. Die par­la­men­ta­ri­sche Anfra­ge eines Abge­ord­ne­ten ziel­te eigent­lich auf die Fra­ge, ob die von Micro­soft (aber auch Goog­le) für Bil­dungs­ein­rich­tun­gen kos­ten­los bereit­ge­stell­ten Ver­sio­nen der jewei­li­gen Cloud-Produkte nicht eine Wett­be­werbs­ver­zer­rung dar­stel­len wür­den. Statt näher auf die­se Fra­ge ein­zu­ge­hen, erklär­te der zustän­di­ge Minis­ter, dass die Bil­dungs­ein­rich­tun­gen gebe­ten wer­den, die jewei­li­gen Lösun­gen nicht einzusetzen.

Kei­ne aus­drück­li­che Fest­le­gung der CNIL

Bei­de zuvor genann­ten Fäl­le geben aller­dings ledig­lich die poli­ti­sche Auf­fas­sung der fran­zö­si­schen Regie­rung wie­der und bezie­hen sich mit den Minis­te­ri­en und Bil­dungs­ein­rich­tun­gen zudem auf indi­vi­du­ell ein­ge­grenz­te Berei­che. Die zustän­di­ge fran­zö­si­sche Daten­schutz­auf­sichts­be­hör­de, die Com­mis­si­on Natio­na­le de l’Informatique et des Liber­tés (CNIL), hat sich bis­her nicht gene­rell zu einem Ein­satz bzw. der Daten­schutz­kon­for­mi­tät von Micro­soft 365 geäu­ßert. In einem Infor­ma­ti­ons­schrei­ben vom 27. Mai 2021 hat­te die CNIL in Reak­ti­on auf das „Schrems II“-Urteil des EuGH aller­dings die Emp­feh­lung aus­ge­spro­chen, dass Hoch­schu­len auf Pro­duk­te von euro­päi­schen Anbie­tern zurück­grei­fen soll­ten. Zugleich hat­te die CNIL jedoch betont, dass auf­grund der Her­aus­for­de­run­gen der Pan­de­mie und zur Auf­recht­erhal­tung der Bildungs- und For­schungs­auf­ga­ben eine Über­gangs­zeit gerecht­fer­tigt sei.

Fazit

Die CNIL hat sich in Frank­reich bis­her nicht aus­drück­lich gegen einen Ein­satz von Micro­soft 365 posi­tio­niert und kei­ne abschlie­ßen­de daten­schutz­recht­li­che Bewer­tung vor­ge­nom­men. Auf­fal­lend ist, dass sich sämt­li­che, teils meh­re­re Jah­re zurück­lie­gen­de Stel­lung­nah­men maß­geb­lich auf den auf­ge­ho­be­nen Ange­mes­sen­heits­be­schluss zum EU-US Pri­va­cy Shield bezie­hen. Zwi­schen­zeit­lich hat Micro­soft jedoch zahl­rei­che Ände­run­gen an sei­nem Auf­trags­ver­ar­bei­tungs­ver­trag vor­ge­nom­men und mit der Ein­füh­rung des EU Data Boun­da­ry begon­nen. Dar­über hin­aus ist eine neue Exe­cu­ti­ve Order des US-Präsidenten in Kraft getre­ten und ein Ange­mes­sen­heits­be­schluss der EU-Kommission zum Trans-Atlantic Data Pri­va­cy Frame­work kann zeit­nah erwar­tet wer­den. Die Grund­la­gen der dama­li­gen Bewer­tung haben sich folg­lich dra­ma­tisch geän­dert und es ist eine Neu­be­wer­tung erfor­der­lich. Unse­ren Erkennt­nis­sen nach dürf­te sich die CNIL hier­zu in abseh­ba­rer Zeit erneut positionieren.