Die Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder („DSK“) gab Anfang Oktober eine Pressemitteilung zum Thema Microsoft Office 365 und Datenschutz heraus. Ein von der DSK eingesetzter Arbeitskreis hatte festgestellt, dass „kein datenschutzgerechter Einsatz möglich ist“. Hießt das, man darf Office 365 jetzt nicht mehr nutzen, weil rechtswidrig?
Nein, so einfach ist es nicht.
Uneinigkeit der DSK
Zum einen vertritt der „Arbeitskreis Verwaltung und Auftragsverarbeitung bei Microsoft Office 365“ nicht per se die Gesamtheit der DSK. Ganz im Gegenteil hat die GSK dessen Ansicht auch nur „mehrheitlich zur Kenntnis genommen“. Acht der 17 Datenschutzbehörden waren gegen diese Entscheidung, vier hielten die Aussage sogar für verfrüht. Zum anderen ist die Mitteilung der Behörden nicht rechtsverbindlich – es handelt sich weder um eine gesetzgeberische Gestaltung, noch um einen verbindlichen Verwaltungsakt, oder gar um eine (gar höchstrichterliche) rechtskräftige gerichtliche Entscheidung.
Natürlich sollte man die Aussagen und Stellungnahmen der DSK nicht unbeachtet lassen. Immerhin handelt es sich dabei um den Zusammenschluss aller deutschen Behörden, die nach dem Gesetz für die Aufsicht über die Einhaltung der Datenschutzvorschriften, insbesondere der DS-GVO und des BDSG, verantwortlich sind. Das sind nämlich jene Behörden, die entsprechende Prüfungen eines Unternehmens bzw. deren Datenschutzprozesse vornehmen und im Falle von Datenschutzverstößen Bußgelder verhängen (sollen). Wenn diese Expertenschaar also Handreichungen zur Auslegung der DS-GVO oder zum Einsatz bestimmter Tools herausgibt, dann ist man in der Regel gut beraten, dies auch zu beherzigen, es jedenfalls nicht einfach zu ignorieren. Denn es ist anzunehmen, dass die Behörden sich an die sich selbst gesetzten Maßstabe im Rahmen einer Prüfung halten werden.
Die doch auffällige Uneinigkeit – jedenfalls fehlende Einstimmigkeit – innerhalb der DSK deutet allerdings bereits darauf hin, dass es ganz so glasklar, schwarz und weiß, in Sachen Office 365 nicht ist. Vielmehr – Achtung: Anwaltssprech – kommt es ganz darauf an.
Gegenstand der Prüfung
Um zu prüfen, ob die konkrete eigene Nutzung von Office 365 okay ist, ist folgendes zu berücksichtigen:
Der Arbeitskreis der DSK hatte für seine am 15. Juli abgegebene Bewertung die von Microsoft für das Produkt eingesetzten „Online Service Terms“ („OST“) und „Data Processing Addendum“ („DPA“) geprüft – und zwar Stand Januar 2020! Die Pressemitteilung der DSK erschien Anfang Oktober, jetzt ist – seien wir ehrlich – bald Weihnachten. Jede etwaige behördliche Prüfung Ihrer Nutzung „des Produktes“ Office 365 (dazu unten mehr) erfolgte, wenn dann zu der jeweils aktuellen Sach- und Rechtslage in der Zukunft, also doch einige Zeit nach der Aussage des Arbeitskreises.
Auch hat Microsoft in der Vergangenheit oftmals Anpassungen der Software bzw. der Services und der Vertragsgrundlagen (AGB wie die OST und DPA) vorgenommen, um rechtskonform zu bleiben, oder sonst reagiert und um seine Rechtsposition gekämpft. Das ist hier nicht ausgeschlossen; nach meinem Wissen hat Microsoft seit Jahresanfang bereits Änderungen vorgenommen, insbesondere an der Dokumentation zur Software. Und die hat, da sie die Funktionen der Anwendungen (einschließlich der Datenverarbeitung) darlegt, erheblichen Einfluss auf die Auslegung des Vertragswerkes.
Was bedeutet das für Sie?
Für Sie heißt das, dass die Beurteilung der DSK zum für Sie relevanten Zeitpunkt einer Prüfung schon nicht mehr, jedenfalls nicht so pauschal zutreffen muss. Es ist immer der konkrete Einzelfall, die konkrete Nutzung der verschiedenen zu Office 365 gehörenden Produkte und Funktionen und die dann für diese geltenden Microsoft-AGB zu prüfen (siehe oben: „Es kommt darauf an.“). Und dabei ist auch zu beachten, dass es sich hier eigentlich um ein Bündel an Microsoft-Produkten und Funktionen handelt, aktuell unterschieden in die Produktgruppen Office 365 und Microsoft 365 mit jeweils verschiedenen „Plänen“ (so nennt Microsoft seine Lizenzen usw.), Branchenspezifika und all den Konfigurationsmöglichkeiten. (Ich habe nicht verstanden, ob und was davon die DSK neben OST und DPA konkret geprüft hat.)
Zugegeben, die Aussage der DSK sorgt nach alldem nicht für ein Mehr an Rechtssicherheit. Das ist wie immer erst einmal ein Risiko für die Anwender. Andererseits heißt das auch, dass man juristisch streiten, also verschiedene Ansichten dazu vertreten kann. Es ist also längst nicht final ausgemacht, ob man Office 365 als rechtswidrig betrachten muss. Auf der Basis drohen meines Erachtens noch keine Sanktionen der Aufsichtsbehörden. Zumal, wenn – was abzuwarten bleibt – Microsoft reagiert.
Es wäre andererseits auch nicht verkehrt, sich einmal die gewählten Produkte, Pläne und vor allem Konfigurationen der eigenen Nutzung von Office 365 daraufhin anzusehen, ob die vorgegebenen und gewählten Grundeinstellungen wohl datenschutzkonform sind.