Dortmund, 13.01.2023: Als Folge des „Schrems II“-Urteils des Europäischen Gerichtshofes (EuGH) im Juli 2020 kann das sog. Privacy Shield nicht mehr als Grundlage für die datenschutzkonforme Übermittlung personenbezogener Daten in die USA verwendet werden. Auch die Standardvertragsklauseln, die der EuGH ausdrücklich weiterhin für anwendbar hält, können aus Sicht des Gerichts für Datenübermittlungen in die USA im Regelfall nicht genutzt werden, da das Gericht Zweifel hatte, ob die notwendigen technischen und organisatorischen Schutzmaßnahmen, die in den Verträgen vereinbart werden, in der Praxis vom US-Vertragspartner und vom Verantwortlichen auch eingehalten und durchgesetzt werden können.
In der Praxis musste das Katholische Datenschutzzentrum daher zu diesem Urteil und dessen Folgen viel beraten und die kirchlichen Einrichtungen u. a. auf die Notwendigkeit einer datenschutzrechtlichen Risikobewertung (Datenschutz-Folgenabschätzung) im Einzelfall hinweisen. Auf Basis der Bewertung des Einzelfalls kann dann vor dem Hintergrund der Rechtsprechung des EuGH beurteilt werden, ob eine datenschutzkonforme Datenübermittlung möglich ist. Dies gilt für alle Übermittlungen personenbezogener Daten in die USA bzw. Verträgen mit Unternehmen, deren Sitz in den USA liegt oder mit deren (europäischen) Tochterunternehmen.
Am 24.11.2022 hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) eine Festlegung speziell zu Microsoft 365 getroffen und den entsprechenden Bericht ihrer Arbeitsgruppe veröffentlicht.
Die DSK äußert sich in der Festlegung kritisch zur Möglichkeit, Microsoft 365 datenschutzkonform zu nutzen. Sie legt dabei aber den Schwerpunkt nicht auf die Problematik der Drittlandsübermittlung von Daten, sondern macht darauf aufmerksam, dass Microsoft die personenbezogenen Daten der Kunden auch zu eigenen Zwecken nutze und diese Nutzung für die Verantwortlichen nicht transparent sei. In der Folge könnten die Verantwortlichen als datenverarbeitende Stellen nicht bewerten bzw. nachweisen, ob diese Verarbeitungen durch Microsoft zu eigenen Zwecken gesetzeskonform erfolgen und könnten hierzu auch nicht den gesetzlichen Transparenzerfordernissen gegenüber den betroffenen Personen nachkommen.
Mit dieser Festlegung weist die DSK auf einen Problemkreis beim Einsatz von Microsoft 365 hin, der nicht durch die derzeit laufenden Verhandlungen für eine Nachfolge des Privacy Shield gelöst würde. Auch mit einem neuen Abkommen zwischen der EU und den USA würde dieser zu klärende Punkt bestehen bleiben.
Die DSK spricht damit die Problematik einer unbewussten Verarbeitung durch den Verantwortlichen bei Microsoft an. Während die Weitergabe der Daten vom Verantwortlichen an Microsoft z. B. zur vereinbarungsgemäßen Nutzung von OneDrive als Cloud-Dienst, eine wissentliche Übergabe der Daten darstellt und auch die folgende Speicherung in der Cloud bei Microsoft vom Verantwortlichen gewollt wäre, sieht dies im hier angesprochenen Fall anders aus. Die Verarbeitung der Kundendaten zu eigenen Zwecken durch Microsoft findet ohne (detaillierte) Kenntnisse des Verantwortlichen statt.
Damit Microsoft die Daten nicht mehr zu eigenen Zwecken verarbeiten kann, müsste der Zugriff auf die personenbezogenen Daten vom Verantwortlichen unterbunden werden. Neben der Nutzung pseudonymisierter Nutzerkonten könnte auch die Nutzung des Cloud-Speichers ausgeschlossen werden. Ob durch Einstellungen in den Microsoft-Produkten oder durch externe Programme eine vollständige Verhinderung nicht vom Nutzer veranlasster Datenübermittlungen an Microsoft (z. B. von Telemetriedaten) bewirkt werden kann, kann so allgemein nicht beurteilt werden und müsste Gegenstand einer Einzelfallbetrachtung sein.
Verantwortliche müssen bei bestehender oder geplanter Nutzung von Microsoft 365 beide Problemkreise im Blick behalten und dazu in der Datenschutz-Folgenabschätzung Antworten finden. Eine datenschutzkonforme Nutzung des Produktes ist nicht möglich, so lange nicht für alle Aspekte eine datenschutzkonforme Lösung gefunden wird.