1. Die DSK nimmt den Bericht der Arbeitsgruppe DSK „Microsoft-Onlinedienste“ und dessen Zusammenfassung zur Kenntnis.
2. Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann. Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.
3. Für eine vertiefte Bewertung der Gesprächsergebnisse stellt die DSK die beigefügte Zusammenfassung der Arbeitsgruppenergebnisse zur Verfügung.
Hierzu eine kurze Erläuterung: Die Bewertung der Datenschutzkonferenz wendet sich nicht direkt an Microsoft, sondern an die Verantwortlichen und besagt, dass diese Microsoft 365 nicht datenschutzrechtskonform verwenden können. Warum? Die Verantwortlichen müssen nach Art. 5 Abs. 2 DS-GVO nachweisen können, dass Microsoft 365 transparent und rechtmäßig verwendet werden kann. Das können sie aber nicht, solange Microsoft seinen eigenen Unterlagen zufolge personenbezogene Daten (von wem?) für eigene Zwecke (welche?) verwendet und hierüber auch keine weiteren Angaben macht. Ein Beispiel: Wenn eine Schulleitung als Verantwortliche die einwilligenden Eltern und die Lehrerschaft nicht darüber informieren kann, ob bei der Verwendung von Microsoft 365 Daten von Kindern oder Lehrer:innen verarbeitet werden und wenn ja, für welche Zwecke, dann können die Eltern und die Lehrerschaft gar nicht informiert (s. Art. 4 Nr. 11 DS-GVO) einwilligen und den entsprechenden Informationspflichten (Art. 13 DS-GVO) kann der Schulleiter auch nicht nachkommen. Gleichwohl erteilte Einwilligungen wären unwirksam und damit fehlte es an einer Rechtsgrundlage für die verantwortliche Schulleitung (s. Art. 6 Abs. 1 DS-GVO), die Daten mit Microsoft 365 verarbeiten zu dürfen. Überdies kann vor diesem Hintergrund der Verantwortliche den Auftragsverarbeiter (Microsoft) gar nicht anweisen, die Daten in bestimmter Weise zu verarbeiten oder eben nicht zu verarbeiten, solange sich Microsoft vorbehält, die Daten für eigene Zwecke zu verarbeiten – ein Verstoß gegen Art 28 DS-GVO. Hinzu kommen die Fragen der Datenübermittlung in die USA.
Dr. Lutz Hasse: “Zunächst freut mich die positive Resonanz in der Datenschutzkonferenz. Meine Aufsichtsbehörde wird nun – wie die anderen Datenschutzaufsichtsbehörden auch – mit den Verantwortlichen im öffentlichen und nicht-öffentlichen Bereich den Kontakt suchen, um eine verhältnismäßige Umsetzung dieser Rechtslage zu erörtern. Hierbei werden zeitliche Aspekte und alternative Pfade Gegenstand der Erörterung sein.“
Thüringer Landesbeauftragter für den Datenschutz
Häßlerstraße 8
99096 Erfurt
Telefon: +49 (361) 57-3112900
Telefax: +49 (361) 57-3112904
http://www.tlfdi.de
Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit
Telefon: +49 (361) 3771-901
E-Mail: poststelle@datenschutz.thueringen.de