Bereits Ende 2018 haben wir über das Thema Office 365 berichtet. Schon damals ging es um die Frage, inwieweit Office 365 unter Datenschutzpunkten noch empfohlen werden kann.
Bisher konnte diese Frage noch nicht mit einer klaren Aussage beantwortet werden, denn bis heute sind sich die verschiedenen Datenschutzbehörden nicht einig. Zwar ist die Datenschutzkonferenz des Bundes und der Länder (DSK) in einem Arbeitskreis zu dem Mehrheitsbeschluss gekommen, dass kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich ist. Dieser war aber eben nur ein Mehrheitsbeschluss und erfolgte nicht einstimmig (9 zu 8 Stimmen).
Nicht einfacher wurde die Situation durch das sogenannte Schrems-II-Urteil des EuGH (wir berichteten). Nun hat Microsoft reagiert und eine Maßnahme ergriffen, um die Rechte von betroffenen Personen zu stärken. Hierbei handelt es sich um eine Zusatzvereinbarung mit dem Namen „Additional Safeguards Addendum to Standard Contractual Clauses”.
Was verspricht die Zusatzvereinbarung?
Die Zusatzvereinbarung ist ein wichtiger Schritt, denn die im Addendum geregelten Ergänzungen geben zwei wichtige Zusicherungen: Zum einen verpflichtet sich Microsoft darin, gegen sämtliche Regierungsanfragen nach Kundendaten (egal von welcher Regierung) vorzugehen und diese anzufechten, sofern hierfür eine rechtliche Grundlage besteht. Zum anderen verpflichtet sich Microsoft, die Nutzer der Kunden (zumindest in einem eingeschränkten Umfang) finanziell zu entschädigen, wenn deren Daten in Reaktion auf eine Regierungsanfrage unter Verletzung der DSGVO offengelegt werden.
Damit versucht Microsoft einige der von den Aufsichtsbehörden (vorangeprescht war hier der LfDI Hessen) empfohlenen Schutzmaßnahmen aufzugreifen und umzusetzen. Jedoch wird damit die „Transferproblematik in die USA“ wohl noch nicht vollständig gelöst. Dies sehen zumindest das BayLDA, der LfDI BaWü und der LfDI Hessen in Ihrer Stellungnahme so.
Grundsätzlich positive Stellungnahme der Aufsichtsbehörden
Wie bereits angedeutet, kann mit der Ergänzung nicht sichergestellt werden, dass der vom Europäischen Gerichtshof als unverhältnismäßig beanstandete Zugriff der US-amerikanischen Geheimdienste auf die Daten unterbunden wird. Grundsätzlich ist es aber eine positive Reaktion, dass sich ein Unternehmen mit einem solchen Standing im Markt in diese Richtung bewegt. Dies könnte im besten Fall dazu führen, dass weitere große internationale Konzerne nachziehen und ebenso versuchen alles Mögliche zu tun, sich an den europäischen Datenschutzvorgaben zu orientieren und diese auch ihrerseits umsetzen.
Was wird nun folgen?
Laut der DSK sollen bis zum Jahresende die Gespräche mit Microsoft zu den Office-Paketen fortgeführt werden, denn die bisher veröffentlichen Ergebnisse sind noch nicht die optimale und von den Aufsichtsbehörden gewünschte Lösung. Fraglich ist allerdings auch, ob diese optimale Lösung überhaupt in absehbarer Zukunft möglich ist. Letztlich erfordert eine solche Lösung, dass der Zugriff auf die Daten der Nutzer beschränkt und für die Auftraggeber kontrollierbar wird und dass die betroffenen Personen die Möglichkeit haben, die Ihnen aus der DSGVO zustehenden Rechte auch außerhalb der EU durchzusetzen. Das dürfte noch ein weiter Weg sein.
Our two cents
Darüber hinaus muss unseres Erachtens auch Kritik an den Aufsichtsbehörden geübt werden. Nur zu sagen, dass die Datenübermittlung in einen Drittstaat so nicht geht, hilft den Unternehmen nicht weiter. Es ist Zeit, neben der Aufzählung was alles nicht geht oder nicht erlaubt ist auch konstruktive und realistische Lösungsvorschläge für die Unternehmen aufzuzeigen. Denn ganz sicher ist, dass ein kompletter Verzicht auf US-Anbieter aktuell in vielen Fällen kein realistisches Szenario ist. Ja, Dr. Brink hatte in seiner Orientierungshilfe eine Möglichkeit aufgezeigt. Diese beinhaltet aber unter anderem eine Genehmigung durch die Aufsichtsbehörden. Das kann nicht ernst gemeint sein. Sollen wirklich alle Unternehmen Deutschlands mit einer solchen Anfrage an die Behörden herantreten, um zum Beispiel für Office365 auch die letzte Unsicherheit auszuräumen? Stattdessen sollten die Behörden unseres Erachtens ein pragmatisches Vorgehen vorschlagen, welche Maßnahmen sie für notwendig erachten und diese Maßnahmen sollten mit vertretbarem Aufwand realisierbar sein.
Wichtig ist, dass Unternehmen, vor allem kleine und mittelständische, praktikable und von den Aufsichtsbehörden abgesegnete Handlungsempfehlungen bekommen. Aktuell weiß in den Unternehmen kaum mehr jemand was genau zulässig oder notwendig ist und wie auch nur halbwegs datenschutzkonform agiert werden kann. Diese Situation ist mehr als unbefriedigend und muss möglichst schnell beseitigt werden. Aktuell werden hier die europäischen Unternehmen als Geiseln genommen, um Druck auf außereuropäische Dienstleister und vielleicht auch Regierungen auszuüben.
Nutzen Sie Office Produkte, oder verwenden US-Dienste? Dann besteht bei Ihnen mit hoher Wahrscheinlichkeit Handlungsbedarf. Kommen Sie gerne auf uns zu und wir betrachten die Thematik gemeinsam.