Die DSK als Konferenz der der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat am 2.10.2020 eine Pressemitteilung zur datenschutzrechtlichen Bewertung von Office365 herausgegeben. Der von der DSK beschlossene Arbeitskreis „Verwaltung zur Auftragsverarbeitung bei Microsoft Office 365“ hatte die dem Einsatz des Produktes Microsoft Office 365 zu Grunde liegenden Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft-Onlinedienste (Data Processing Addendum / DPA) – jeweils Stand: Januar 2020“ geprüft und in seiner Bewertung vom 15. Juli 2020 angegeben, „dass auf Basis der genannten Unterlagen kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich ist„.
Die DSK hat die Bewertung seines Arbeitskreises mehrheitlich zustimmend zur Kenntnis genommen. Die Entscheidung der Datenschutzkonferenz erging mit einer knappen Mehrheit von 9 Stimmen bei 8 Gegenstimmen. Gegen die uneingeschränkte Zustimmung sprachen sich unter anderem die Landesbeauftragten für den Datenschutz Baden-Württemberg, Bayern, Hessen und im Saarland sowie der Präsident des Bayerischen Landesamts für Datenschutzaufsicht aus, das für die Microsoft Deutschland GmbH zuständig ist.
Praktische Auswirkungen sind erstmal eher weniger zu beführchten, denn einerseits haben sich die der Prüfung zugrunde liegenden Dokumentationen zwischenzeitlich wohl deutlich geändert, was auch Auswirkungen auf die vertraglichen Regelungen haben kann. Andererseits ist der Leistungsumfang von Microsoft Office sehr unterschiedlich, es gibt zahlreiche unterschiedliche Produkte bzw. Lizenzen – von Microsoft „Pläne“ genannt. Was im Einzelnen geprüft wurde ist, soweit ersichtlich, nicht veröffentlicht worden.
De Aufsichtsbehörde in Saaland führt hierzu aus:
„Die Datenschutzaufsichtsbehörden Baden-Württembergs, Bayerns, Hessens und des Saarlands stellen klar, dass auch sie bei Microsoft Office 365 erhebliche datenschutzrechtliche Verbesserungspotenziale sehen, gerade auch mit Blick auf die jüngste Entscheidung des Europäischen Gerichtshofs zu internationalen Datentransfers vom 16. Juli 2020 (C-311/18 – Schrems II). Sie unterstützen deshalb im Grundsatz die Zielsetzungen des Arbeitskreises, soweit er Ansatzpunkte für datenschutzrechtliche Verbesserungen des Produkts Microsoft Office 365 formuliert. Seine Gesamtbewertung können sie allerdings schon deshalb nicht teilen, weil sie zu undifferenziert ausfällt. Überdies hat der Arbeitskreis Verwaltung seine Bewertung auf der Grundlage von Vertragsbestimmungen getroffen, die Microsoft zwischenzeitlich bereits zweimal überarbeitet hat. Schließlich konnten noch nicht die Feststellungen des Europäischen Gerichtshofs zu den Anforderungen der Datenschutz-Grundverordnung an internationale Datentransfers berücksichtigt werden.“ (Hervorhebung durch uns).
