Datenschutz bei Microsoft 365

Spätestens seit dem sog. Schrems II-Urteil vom 16.07.2020 (Az: C-311/18), mit dem der Europäische Gerichtshof das EU-US-Privacy-Shield- Abkommen für unwirksam erklärt hat, stellt sich die Frage, ob das cloudbasierte Microsoft 365 (früher Office 365) überhaupt noch rechtskonform eingesetzt werden kann. Aus rein rechtlicher Sicht ist diese Frage derzeit mit einem ganz klaren „Nein!“ zu beantworten. Derzeit ist der Datenschutz bei Microsoft 365 nicht hinreichend gewährleistet.

Folgen des Schrems II-Urteils

Mit der Schrems II- Entscheidung hat der EuGH Datentransfers in die USA generell einen klaren Riegel vorgeschoben. Da es sich bei den USA datenschutzrechtlich um ein sog. Drittland handelt, ist ein Datentransfer nur dann zulässig, wenn das besagte Drittland ein angemessenes Datenschutzniveau bietet oder der Betroffene, dessen Daten transferiert werden sollen, eingewilligt hat. Da letzteres die Einholung einer solchen Einwilligung voraussetzt, spielt dies bei Microsoft 365 keine Rolle. Es muss also ein angemessenes Datenschutzniveau in den USA vorliegen. Dieses kann entweder durch einen sog. Angemessenheitsbeschluss der EU-Kommission festgestellt werden, oder vertraglich garantiert werden. Letzteres setzt aufgrund des jüngsten EuGH-Urteils neben dem Abschluss der EU-Standardvertragsklauseln auch voraus, dass das hierin garantierte Datenschutzniveau in dem betroffenen Drittland auch tatsächlich eingehalten werden kann, was im Einzelfall zu beurteilen ist.

Nun war es bis zu eben jedem Urteil des EuGH so, dass die EU-Kommission per Angemessenheitsbeschluss festgestellt hatte, dass in den USA ein angemessenes Datenschutzniveau vorlag, wenn das sog. Privacy Shield-Abkommen eingehalten worden ist. Diesen Angemessenheitsbeschluss erklärte der EuGH nun für unwirksam. Als Begründung führte das Gericht an, dass US-Behörden z. B. nach Section 702 des Foreign Intelligence Surveillance Acts (FISA 702) auch ohne einen gerichtlichen Beschluss und Rechtsschutz auf personenbezogene Daten von EU-Bürgern, die auf Servern von US-Unternehmen gespeichert sind, zugreifen können. Durch diese Zugriffsbefugnisse sei in den USA kein angemessenes Datenschutzniveau gewährleistet. Die somit für eine rechtmäßige Nutzung von Microsoft 365 derzeit einzige verbleibende Möglichkeit des Abschlusses der EU-Standardvertragsklauseln wird ebenfalls durch eben jene Befugnisse der US-Behörden torpediert. Denn aufgrund dieser Befugnisse ist die Einhaltung des in den EU-Standardvertragsklauseln vereinbarten Datenschutzniveaus gar nicht möglich.

Die Nutzung von Microsoft 365 ist also bereits vor diesem Hintergrund rechtlich unzulässig.

Generelle datenschutzrechtliche Bedenken

Doch auch unabhängig von der Entscheidung des EuGH bestehen erhebliche Bedenken gegen die Verwendung von Microsoft 365. So hat die Datenschutzkonferenz des Bundes und der Länder (DSK) am 22.09.2020 mit knapper Mehrheit beschlossen, dass derzeit „kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich ist“. Als Begründung führte sie an, dass schon die Arten der personenbezogenen Daten und der Zweck der Datenverarbeitung aus den Online Service Terms (OST) sowie dem „Data Processing Addendum“ (DPA) nicht ersichtlich sei. Daher sei es auch nicht möglich, gegebenenfalls gesonderte datenschutzrechtliche Anforderungen und Risikostufen zu bestimmen. Zudem bestehe für den Transfer weiterer personenbezogener Informationen vom Nutzer an Microsoft – wie etwa beim Sammeln von Telemetrie-Diagnosedaten – neben dem Auftragsverarbeitungsvertrag keine weitere Rechtsgrundlage, heißt es in dem Papier.

Der EU-Datenschutzbeauftragte Wojciech Wiewiórowski hatte jüngst die betreffenden Dokumente von Microsoft geprüft und war zu ähnlichen Ergebnissen wie die DSK gekommen.

Die undurchsichtige Datenverarbeitung durch Microsoft ist also ein weiterer Grund, weshalb die Nutzung von Microsoft 365 aus datenschutzrechtlicher Sicht nicht zu empfehlen ist.

Ausblick

Als Konsequenz aus dem Schrems II-Urteil ist derzeit damit zu rechnen, dass die EU mit den USA zeitnah ein Nachfolgeabkommen hinsichtlich des angemessenen Datenschutzniveaus abschließen wird. Dies dürfte als Grundlage für einen neuen Angemessenheitsbeschluss der EU-Kommission dienen.

Doch auch die generellen Baustellen im Datenschutz bei Microsoft 365 könnten in Zukunft geschlossen werden. Die DSK hat einstimmig eine Arbeitsgruppe eingesetzt, die zeitnah Gespräche mit Microsoft aufnehmen soll. Es ist davon auszugehen, dass hier eine praktikable Lösung erarbeitet wird.

Weiterer interessanter Artikel zum Thema: Das Erfordernis zusätzlicher Schutzmaßnahmen bei Datentransfers in Drittländer