DSGVO – Der TLfDI, Dr. Lutz Hasse, weist auf die richtungsweisende Bewertung der Datenschutzkonferenz (DSK) zu Microsoft 365 hin:
Die DSK nimmt den Bericht der Arbeitsgruppe DSK „Microsoft-Onlinedienste“ und dessen Zusammenfassung zur Kenntnis.
- Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass derNachweis von Verantwortlichen, Microsoft 365 datenschutz- rechtskonform zu betreiben, auf der Grundlage des von Microsoft bereit- gestellten „Datenschutznachtrags vom 15.September 2022“ nicht geführt werden kann. Solange insbesondere die notwendigeTransparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.
- Für eine vertiefte Bewertung der Gesprächsergebnisse stellt die DSK die beigefügte Zusammenfassung der Arbeitsgruppenergebnisse zur Verfügung.
DSGVO – Hierzu eine kurze Erläuterung: Die Bewertung der Datenschutzkonferenz wendet sich nicht direkt an Microsoft, sondern an die Verantwortlichen und besagt, dass diese Microsoft 365 nicht datenschutzrechtskonform verwenden können. Warum? Die Verantwortlichen müssen nach Art. 5 Abs. 2 DS-GVO nachweisen können, dass Microsoft 365 transparent und rechtmäßig verwendet werden kann. Das können sie aber nicht, solange Microsoft seinen eigenen Unterlagen zufolge personenbezogene Daten (von wem?) für eigene Zwecke (welche?) verwendet und hierüber auch keine weiteren Angaben macht. Ein Beispiel: Wenn eine Schulleitung als Verantwortliche die einwilligen- den Eltern und die Lehrerschaft nicht darüber informieren kann, ob bei der Verwendung von Microsoft 365 Daten von Kindern oder Lehrer:innen verarbeitet werden und wenn ja, für welche Zwecke, dann können die Eltern und die Lehrerschaft gar nicht informiert (s. Art. 4 Nr. 11 DS-GVO) einwilligen und den entsprechenden Informationspflichten (Art. 13 DS-GVO) kann der Schulleiter auch nicht nachkommen.
DSGVO – Gleichwohl erteilte Einwilligungen wären unwirksam und damit fehlte es an einer Rechtsgrundlage für die verantwortliche Schulleitung (s. Art. 6 Abs. 1 DS-GVO), die Daten mit Microsoft 365 verarbeiten zu dürfen.Überdies kann vor diesem Hintergrund der Verantwortliche den Auftragsverarbeiter (Microsoft) gar nichtanweisen, die Daten in bestimmter Weise zu verarbeiten oder eben nicht zu verarbeiten, solange sich Microsoft vorbehält, die Daten für eigene Zwecke zu verarbeiten – ein Verstoßgegen Art 28 DS-GVO. Hinzu kommen die Fragen der Datenübermittlung in die USA.
Dr. Lutz Hasse: “Zunächst freut mich die positive Resonanz in der Datenschutzkonferenz. MeineAufsichtsbehörde wird nun – wie die anderen Datenschutzaufsichtsbehör- den auch – mit denVerantwortlichen im öffentlichen und nicht-öffentlichen Bereich den Kontakt suchen, um eineverhältnismäßige Umsetzung dieser Rechtslage zu erörtern. Hierbei werden zeitliche Aspekte und alternative Pfade Gegenstand der Erörterung sein.“
Quelle: Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit