Wie umgehen mit Datenflüssen an Microsoft?
Setzen Behörden, Universitäten, Schulen oder andere öffentliche Stellen Microsoft 365 ein, nehmen sie bezüglich der Verarbeitung personenbezogener Daten nach der DSGVO die Rolle eines Verantwortlichen ein. Allerdings verarbeitet Microsoft in einem geringen Umfang auch Daten zu eigenen Zwecken. Die Datenverarbeitungen sind nach dem aktuellen DPA von Microsoft auf die folgenden Zwecke beschränkt:
- Abrechnungs- und Kontoverwaltung,
- Vergütung wie etwa Berechnung von Mitarbeiterprovisionen und Partner-Incentives,
- interne Berichterstattung und Geschäftsmodellierung wie etwa Prognose, Umsatz, Kapazitätsplanung und Produktstrategie und
- Finanzberichterstattung.
Umstrittene Offenlegung der Daten gegenüber Microsoft
Für die Verarbeitung von Daten zu eigenen Zwecken ist Microsoft grundsätzlich selbst datenschutzrechtlich verantwortlich. Insoweit obliegt Microsoft die Einhaltung der Vorgaben der DSGVO. Teilweise wird jedoch vertreten, dass der Verarbeitung durch Microsoft eine Übermittlung bzw. Offenlegung durch die öffentliche Stelle vorausgeht. Diese ausufernde Auslegung des Begriffs der Offenlegung ist mit Blick auf die Rolle der Microsoft 365 einsetzenden öffentlichen Stelle jedoch abzulehnen, da eine bloße Gelegenheit zur Datenverarbeitung noch keine Offenlegung oder Übermittlung im Sinne des Datenschutzrechts darstellt. Die deutschen und europäischen Datenschutzaufsichtsbehörden vertreten hierzu unterschiedliche Auffassungen.
Rechtsgrundlage für die Offenlegung
Geht man dennoch von einer Offenlegung bzw. Übermittlung der entsprechenden Daten an Microsoft aus, ist für diese eine Rechtsgrundlage erforderlich. Unternehmen und andere nicht-öffentliche Stellen können sich insoweit in der Regel auf ein berechtigtes Interesse berufen. Diese Rechtsgrundlage gilt gem. Art. 6 Abs. 1 S. 2 DSGVO jedoch nicht für die von öffentlichen Stellen in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung. So äußert sich auch der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) in einer Empfehlung zum Einsatz von Microsoft Office 365 an Schulen:
„Es liegen für einige Verarbeitungen für den Betrieb an einer Schule keine Rechtsgrundlagen vor – vor allem für Übermittlungen an Microsoft zu eigenen Geschäftstätigkeiten oder Geschäftsinteressen. Schulen unterliegen in diesem Bereich deutlich engeren rechtlichen Vorgaben als Unternehmen, welche Microsoft-Produkte einsetzen.“
Mit § 25 Abs. 2 Nr. 2 BDSG bzw. vergleichbaren Regelungen in den jeweiligen Landesdatenschutzgesetzen hat der Gesetzgeber jedoch eine Grundlage für die Übermittlung personenbezogener Daten durch öffentliche Stellen an nicht öffentliche Stellen geschaffen, wenn „der Dritte, an den die Daten übermittelt werden, ein berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft darlegt und die betroffene Person kein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat“.
Unionsrechtswidrigkeit des § 25 Abs. 2 Nr. 2 BDSG?
Teilweise bestehen allerdings Zweifel an der Vereinbarkeit des § 25 Abs. 2 Nr. 2 BDSG mit dem Europarecht: Art. 6 Abs. 2 DSGVO soll nur eine Öffnungsklausel für Verarbeitungen zur Erfüllung einer rechtlichen Verpflichtung bzw. einer Aufgabe im öffentlichen Interesse erhalten, nicht jedoch für das berechtigte Interesse. Zur Lösung dieser misslichen Situation schlagen mehrere Stimmen aus Literatur und Rechtsprechung mit guten Argumenten vor, dass sich öffentliche Stellen in diesem Fall (ggfs. analog) auf ein berechtigtes Interesse berufen können. Dass dieses für öffentliche Stellen eigentlich keine Anwendung findet, soweit die öffentliche Stelle mit der Übermittlung eine öffentliche Aufgabe wahrnimmt, soll in diesem Fall unschädlich sein, da insoweit § 25 Abs. 2 Nr. 1 BDSG als Erlaubnistatbestand herangezogen werden kann. Angesichts der vehementen Kritik, die einige deutsche Datenschutzaufsichtsbehörden am Einsatz von Microsoft 365 üben, ist mehr als verwunderlich, dass zu dieser Thematik noch keine öffentliche Stellungnahme vorliegt.
Fazit
Die Verarbeitung von Daten durch Microsoft zu eigenen Zwecken bleibt datenschutzrechtlich umstritten. Nimmt man eine Offenlegung oder Übermittlung an, können sich Unternehmen und andere nicht öffentliche Stellen auf ein berechtigtes Interesse berufen. Für Behörden und andere öffentliche Stellen ist dies zwar nicht unmittelbar möglich. Mittelbar können öffentliche Stellen jedoch sehr wohl ein berechtigtes Interesse von Microsoft berücksichtigen. Öffentliche Stellen, die Microsoft 365 datenschutzkonform einsetzen möchten (fünf Tipps dazu hier), sollten diese Erwägung in ihre rechtliche Bewertung einfließen lassen.
zurück