Ein­satz von Micro­soft 365 durch öffent­li­che Stellen

Wie umge­hen mit Daten­flüs­sen an Microsoft?

Set­zen Behör­den, Uni­ver­si­tä­ten, Schu­len oder ande­re öffent­li­che Stel­len Micro­soft 365 ein, neh­men sie bezüg­lich der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten nach der DSGVO die Rol­le eines Ver­ant­wort­li­chen ein. Aller­dings ver­ar­bei­tet Micro­soft in einem gerin­gen Umfang auch Daten zu eige­nen Zwe­cken. Die Daten­ver­ar­bei­tun­gen sind nach dem aktu­el­len DPA von Micro­soft auf die fol­gen­den Zwe­cke beschränkt:

  • Abrechnungs- und Kontoverwaltung,
  • Ver­gü­tung wie etwa Berech­nung von Mit­ar­bei­ter­pro­vi­sio­nen und Partner-Incentives,
  • inter­ne Bericht­erstat­tung und Geschäfts­mo­del­lie­rung wie etwa Pro­gno­se, Umsatz, Kapa­zi­täts­pla­nung und Pro­dukt­stra­te­gie und
  • Finanz­be­richt­erstat­tung.

Umstrit­te­ne Offen­le­gung der Daten gegen­über Microsoft

Für die Ver­ar­bei­tung von Daten zu eige­nen Zwe­cken ist Micro­soft grund­sätz­lich selbst daten­schutz­recht­lich ver­ant­wort­lich. Inso­weit obliegt Micro­soft die Ein­hal­tung der Vor­ga­ben der DSGVO. Teil­wei­se wird jedoch ver­tre­ten, dass der Ver­ar­bei­tung durch Micro­soft eine Über­mitt­lung bzw. Offen­le­gung durch die öffent­li­che Stel­le vor­aus­geht. Die­se aus­ufern­de Aus­le­gung des Begriffs der Offen­le­gung ist mit Blick auf die Rol­le der Micro­soft 365 ein­set­zen­den öffent­li­chen Stel­le jedoch abzu­leh­nen, da eine blo­ße Gele­gen­heit zur Daten­ver­ar­bei­tung noch kei­ne Offen­le­gung oder Über­mitt­lung im Sin­ne des Daten­schutz­rechts dar­stellt. Die deut­schen und euro­päi­schen Daten­schutz­auf­sichts­be­hör­den ver­tre­ten hier­zu unter­schied­li­che Auffassungen.

Rechts­grund­la­ge für die Offenlegung

Geht man den­noch von einer Offen­le­gung bzw. Über­mitt­lung der ent­spre­chen­den Daten an Micro­soft aus, ist für die­se eine Rechts­grund­la­ge erfor­der­lich. Unter­neh­men und ande­re nicht-öffentliche Stel­len kön­nen sich inso­weit in der Regel auf ein berech­tig­tes Inter­es­se beru­fen. Die­se Rechts­grund­la­ge gilt gem. Art. 6 Abs. 1 S. 2 DSGVO jedoch nicht für die von öffent­li­chen Stel­len in Erfül­lung ihrer Auf­ga­ben vor­ge­nom­me­ne Ver­ar­bei­tung. So äußert sich auch der Lan­des­be­auf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit Baden-Württemberg (LfDI BW) in einer Emp­feh­lung zum Ein­satz von Micro­soft Office 365 an Schu­len:

„Es lie­gen für eini­ge Ver­ar­bei­tun­gen für den Betrieb an einer Schu­le kei­ne Rechts­grund­la­gen vor – vor allem für Über­mitt­lun­gen an Micro­soft zu eige­nen Geschäfts­tä­tig­kei­ten oder Geschäfts­in­ter­es­sen. Schu­len unter­lie­gen in die­sem Bereich deut­lich enge­ren recht­li­chen Vor­ga­ben als Unter­neh­men, wel­che Microsoft-Produkte einsetzen.“

Mit § 25 Abs. 2 Nr. 2 BDSG bzw. ver­gleich­ba­ren Rege­lun­gen in den jewei­li­gen Lan­des­da­ten­schutz­ge­set­zen hat der Gesetz­ge­ber jedoch eine Grund­la­ge für die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten durch öffent­li­che Stel­len an nicht öffent­li­che Stel­len geschaf­fen, wenn „der Drit­te, an den die Daten über­mit­telt wer­den, ein berech­tig­tes Inter­es­se an der Kennt­nis der zu über­mit­teln­den Daten glaub­haft dar­legt und die betrof­fe­ne Per­son kein schutz­wür­di­ges Inter­es­se an dem Aus­schluss der Über­mitt­lung hat“.

Uni­ons­rechts­wid­rig­keit des § 25 Abs. 2 Nr. 2 BDSG?

Teil­wei­se bestehen aller­dings Zwei­fel an der Ver­ein­bar­keit des § 25 Abs. 2 Nr. 2 BDSG mit dem Euro­pa­recht: Art. 6 Abs. 2 DSGVO soll nur eine Öff­nungs­klau­sel für Ver­ar­bei­tun­gen zur Erfül­lung einer recht­li­chen Ver­pflich­tung bzw. einer Auf­ga­be im öffent­li­chen Inter­es­se erhal­ten, nicht jedoch für das berech­tig­te Inter­es­se. Zur Lösung die­ser miss­li­chen Situa­ti­on schla­gen meh­re­re Stim­men aus Lite­ra­tur und Recht­spre­chung mit guten Argu­men­ten vor, dass sich öffent­li­che Stel­len in die­sem Fall (ggfs. ana­log) auf ein berech­tig­tes Inter­es­se beru­fen kön­nen. Dass die­ses für öffent­li­che Stel­len eigent­lich kei­ne Anwen­dung fin­det, soweit die öffent­li­che Stel­le mit der Über­mitt­lung eine öffent­li­che Auf­ga­be wahr­nimmt, soll in die­sem Fall unschäd­lich sein, da inso­weit § 25 Abs. 2 Nr. 1 BDSG als Erlaub­nis­tat­be­stand her­an­ge­zo­gen wer­den kann. Ange­sichts der vehe­men­ten Kri­tik, die eini­ge deut­sche Daten­schutz­auf­sichts­be­hör­den am Ein­satz von Micro­soft 365 üben, ist mehr als ver­wun­der­lich, dass zu die­ser The­ma­tik noch kei­ne öffent­li­che Stel­lung­nah­me vorliegt.

Fazit

Die Ver­ar­bei­tung von Daten durch Micro­soft zu eige­nen Zwe­cken bleibt daten­schutz­recht­lich umstrit­ten. Nimmt man eine Offen­le­gung oder Über­mitt­lung an, kön­nen sich Unter­neh­men und ande­re nicht öffent­li­che Stel­len auf ein berech­tig­tes Inter­es­se beru­fen. Für Behör­den und ande­re öffent­li­che Stel­len ist dies zwar nicht unmit­tel­bar mög­lich. Mit­tel­bar kön­nen öffent­li­che Stel­len jedoch sehr wohl ein berech­tig­tes Inter­es­se von Micro­soft berück­sich­ti­gen. Öffent­li­che Stel­len, die Micro­soft 365 daten­schutz­kon­form ein­set­zen möch­ten (fünf Tipps dazu hier), soll­ten die­se Erwä­gung in ihre recht­li­che Bewer­tung ein­flie­ßen lassen.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.