Datenschutzkonform machbar (?), ein Sachstandsbericht
Ausgangssituation
Spätestens seit die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) die Bewertung des „Arbeitskreises Verwaltung“ zur Auftragsverarbeitung bei Microsoft Office 365 mehrheitlich zustimmend zur Kenntnis genommen hat gilt: Im Ergebnis ist danach derzeit kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich.
Der Arbeitskreis hatte die Office 365 zu Grunde liegenden „Online Service Terms“ (OST) sowie die Datenschutzbestimmungen für Microsoft-Onlinedienste (Data Processing Addendum / DPA – Stand Januar 2020) geprüft. Die Entscheidung erging mit einer knappen Mehrheit von 9 Stimmen bei 8 Gegenstimmen. Gegen die uneingeschränkte Zustimmung sprachen sich u. a. die Landesbeauftragten für den Datenschutz Baden-Württemberg, Bayern, Hessen und im Saarland sowie der Präsident des Bayerischen Landesamts für Datenschutzaufsicht aus, dar für die Microsoft Deutschland GmbH zuständig ist. Diese Datenschutzaufsichtsbehörden stellten klar, dass sie bei Microsoft Office 365 erhebliche datenschutzrechtliche Verbesserungspotenziale sehen, gerade auch mit Blick auf die jüngste Entscheidung des EuGH (ZD 2020, 511 m. Anm. Moos/Rothkegel – Schrems II). Sie unterstützen deshalb im Grundsatz die Zielsetzungen des Arbeitskreises, soweit er Ansatzpunkte für datenschutzrechtliche Verbesserungen des Produkts formuliert. Die Gesamtbewertung könnten sie allerdings schon deshalb nicht teilen, weil sie zu undifferenziert ausfalle. Überdies habe der Arbeitskreis seine Bewertung auf der Grundlage von Vertragsbestimmungen getroffen, die Microsoft zwischenzeitlich bereits zweimal überarbeitet hat. Schließlich konnten noch nicht die Feststellungen des EuGH zu den Anforderungen an internationale Datentransfers berücksichtigt werden.
Vor diesem Hintergrund haben die o. g. Datenschutzaufsichtsbehörden die Bewertung des Arbeitskreises v. 15.7.2020 zwar als relevante Arbeitsgrundlage, aber noch nicht als entscheidungsreif angesehen. Das gelte umso mehr, als bislang noch keine förmliche Anhörung von Microsoft zu den Bewertungen erfolgt ist, wie es zu einem fairen, rechtsstaatlichen Verfahren gehöre. Umso mehr begrüßten die fünf Datenschutzaufsichtsbehörden, dass die DSK einstimmig eine Arbeitsgruppe eingesetzt hat, die unter Federführung der Landesbeauftragten für den Datenschutz Brandenburg und des Bayerischen Landesamts für Datenschutzaufsicht zeitnah Gespräche mit Microsoft aufnehmen soll. In dem Dialog müssten die Maßstäbe zur Sprache kommen, die der EuGH zum Drittstaatentransfer beschlossen hat. (ZD-Aktuell 2020, 07330)
Die doch recht große Uneinigkeit der Landes- und des Bundesfürst:innen ermöglicht nach meiner Einschätzung derzeit einen Einsatz von MS 365 ohne das Damoklesschwert eines drohenden Bußgeldes.
Einschub: EuGH-Urteil sog. Schrems II – Urteil
Dieses Urteil verkompliziert die Situation um eine weitere Facette:
Der EuGH hat die „Privacy Shield“-Vereinbarung gekippt. Folglich ist die Datenübertragung persönlicher Daten von der EU in die USA in vielen Fällen illegal.
Der EuGH kommt zu einer sehr kritischen Auslegung des Abkommens durch eine konsequente Anwendung der Charta der Grundrechte der Europäischen Union, kurz GRCh. Wenn man die GRCh als Maßstab für die internationale Anwendung der DS-GVO ansieht, zeigt sich, dass das amerikanische Recht in Bezug auf Privatsphäre in keiner Weise den europäischen Schutzstandards entspricht. Der europäische Schutzstandard nach der DS-GVO erlaubt den Transfer von Daten in ein Nicht-EU-Land nur, wenn die Daten dort ebenfalls hinreichend geschützt sind. Für die USA hat der EuGH das Vorliegen eines effektiven Datenschutzes abgelehnt: Die Überwachungsgesetze der USA seien zu weitreichend, als dass der sog. Privacy Shield die EU-Bürger angemessen vor ihnen schützen könne. I.R.d. Privacy Shield hatte zwar die EU-Kommission versucht, einen effektiveren Schutz europäischer Daten über die Einrichtung einer Ombudsperson auf US-amerikanischer Seite zu installieren. An diese sollten sich EU-Bürger mit Beschwerden wenden können, wenn sie ihre Privatsphäre durch US-Unternehmen verletzt sähen. Doch deren Stellung war den Richtern nicht unabhängig genug. Zu Recht bezweifeln sie, dass diese Ombudsperson über hinreichende Kompetenzen verfügt, um sich wirklich für die Belange der EU-Bürger einzusetzen. In der Tat war der Ombudsmann immer eine gehasste Figur im amerikanischen Denken der Trump-Regierung, den man nach Möglichkeit nicht ernst nahm und als „Hampelmann“ der europäischen Datenschutzpanik verunglimpfte. Das muss wohl auch der EuGH gespürt haben, der ohnehin noch weitere Missstände in der Haltung zu Themen der Überwachung und des Datenschutzes der Trump-Administration monierte. So finden sich mehrfach Hinweise auf die Überwachungsprogramme PRISM und Upstream sowie auf weitere Begehrlichkeiten der US-amerikanischen Überwachungsbehörden. Auch werden mit deutlichen Worten die allgemeinen und völlig unkonkreten Bestimmungen des US-Rechts kritisiert, die den Vorgaben des EU-Rechts im Hinblick auf dieses Prinzip der Verhältnismäßigkeit überhaupt nicht entsprechen.
Übertragen Unternehmen nun weiter nach den Privacy-Shield-Regeln personenbezogene Daten, könnte es hohe Bußgelder nach der DS-GVO nach sich ziehen. Man ahnt deshalb schon die Resonanz in der Wirtschaft und deren Angst vor einer europäischen Datenschutztrutzburg.
Der EuGH hat aber noch etwas in aller Klarheit formuliert: Es geht nämlich alles, was nach den Standardvertragsklauseln der EU zulässig ist. Der Gerichtshof hatte am streitgegenständlichen irischen Beschluss über die Standardvertragsklauseln im Grundsatz nichts auszusetzen. Man habe diesen gründlich geprüft, dabei habe sich aber nichts ergeben, was seine Gültigkeit berühren könnte, heißt es aus Luxemburg. Nach Ansicht des EuGH sind die Behörden in der Tat verpflichtet, den Datenexport auszusetzen oder zu verbieten, wenn sie der Meinung sind, „dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können“. Der Beschluss der EU-Kommission zu den Mustervertragsklauseln (SDK-Beschluss) werde jedoch nicht dadurch infrage gestellt, dass Klauseln „auf Grund ihres Vertragscharakters die Behörden des Drittlands, in das möglicherweise Daten übermittelt werden, nicht binden“. Denn dieser Beschluss enthalte wirksame Mechanismen, die in der Praxis absichern könnten, dass das vom EU-Recht verlangte Schutzniveau eingehalten werde und „auf solche Klauseln gestützte Übermittlungen personenbezogener Daten ausgesetzt oder verboten werden, wenn gegen diese Klauseln verstoßen wird oder ihre Einhaltung unmöglich ist“.
Der Weg wird daher künftig über die EU-Standardvertragsklauseln laufen. Das klingt erst einmal nervig. Sofern europäische Unternehmen mit amerikanischen Partnern kooperieren, müssen sie künftig nahezu jedweden Austausch personenbezogener Daten über den Mustervertrag der EU laufen lassen und dessen Einhaltung auch kontrollieren. Für US-Unternehmen kommen erhebliche Mehraufwände für die Einrichtung solcher Mustervertragsvereinbarungen und deren Kontrolle zu. Aber fremd ist ihnen eine solche Kontrolle nicht, bedenkt man den Protest der USA gegen den Transfer von Daten amerikanischer Bürger über Tiktok und Huawei nach China.
Dennoch bleiben die Folgen der Entscheidung im Einzelnen noch vielfältig und ungeklärt. So stellt sich etwa die Frage, was sich aus dem Urteil für die Schweiz ergibt. Das Swiss-US-Privacy-Shield entspricht in weiten Teilen dem EU-US-Privacy-Shield. Ist nun mit dem Urteil auch diese Schweizer Vereinbarung hinfällig? Und wenn die Schweiz ihr Abkommen beibehält, welche Auswirkungen wird das für die Beurteilung der Angemessenheit des Schweizer Datenschutzrechts haben? Was passiert mit Großbritannien? Kann Großbritannien dann noch ein Tool erfinden, das ähnlich wie der Privacy Shield funktioniert? Professor Dr. Thomas Hoeren, ITM, Universität Münster, EuGH: EU-US-Datenschutzschild ungültig – Schrems II, MMR 2020, 597
Empfehlungen
Auf Grund der unklaren Rechtssituation, auf deren zügige Klärung ich kaum zu hoffen wage, sollten Entscheidungen über eine Umstellung/Investition ggf. zurückgestellt werden.
In jedem Falle sind angebotene Alternativen zu prüfen. Vor- und Nachteile der Alternativen sind aufzulisten und mit den eigenen vorformulierten Bedarfsfeststellungen (was brauche ich unbedingt, unverzichtbar warum und wofür) abzugleichen. Gelangt man dann zu dem Schluss, das MS 365 (nahezu) unverzichtbar ist, sollte einem Einsatz zumindest derzeit nichts im Wege stehen. Hierbei dürfen auch die Kosten einer Umstellung von MS 365 auf eine Alternative berücksichtigt werden, wenn diese vollkommen unverhältnismäßig wären (aber Vorsicht: allein Sparsamkeit ist kein datenschutzrechtliches Argument).
Selbstverständlich ist der Vorgang (best-ausführlich) zu Dokumentieren.
Ebenfalls muss der Versuch unternommen werden, zu der größt-möglichen datenschutz-freundlichen Einstellung von MS 365 zu gelangen. Glücklicherweise hat sich Johannes Nehlsen von der Universität Würzburg genau damit befasst und auf der Webseite der Universität ein Lösungsangebot mit umfassenden Informationen bereitgestellt. Dort findet man verschiedene Anleitungen für die Einrichtung von MS 365.
Hierzu gehört auch zumindest der Versuch mit Microsoft die (nach den Vorgaben ergänzten) Standardvertragsklauseln zu vereinbaren (s. Einschub Schrems II – Urteil).
Natürlich ist auch dieser Vorgang ausführlich zu dokumentieren.
Hiernach bleibt dann zu hoffen, dass die angestrebten Gespräche mit Microsoft dann zu einer neuen Bewertung der Datenschutzkompatibilität durch die Fürst:innen führt.
Hier der Link zu dem Lösungsvorschlag der Universität Würzburg:
https://www.rz.uni-wuerzburg.de/dienste/it-recht/it-vertraege/microsoft-365/
Von Bedeutung sollte auch der unter diesem Link zu findende Hinweis auf die auch m.E. notwendige Prüfung von Alternativen sein, dieses mit Link zum Malt-Projekt von Cern.
https://malt.web.cern.ch/malt/global/malt-table/
Stand März 2021
