Microsoft ist der wohl größte und beliebteste Softwarehersteller – mit seinen Produkten wie Word, PowerPoint, Excel oder OneDrive arbeitet fast jeder damit. Jedoch gab es bislang mehrere Streitigkeiten rund um Microsoft (Office) 365 und dessen Anwendbarkeit mit der DSGVO – die Anwendung von Microsoft 365 galt von den Datenschutzbehörden anscheinend schon als ganz verboten. Wir klären auf, wie der aktuelle Stand rund um die DSGVO-konforme Anwendbarkeit von Microsoft 365 aussieht. 

Vor allem die Datenübermittlung in die USA oder die Zugriffsmöglichkeiten von US-Behörden auf deutsche Server standen in der Kritik bei den Datenschützern. 

Microsoft ist nun einmal ein US-Unternehmen. Demnach werden die Rechenzentren, auf denen die Leistung von Microsoft 365 erfolgt, aus den USA betrieben. Für europäische Unternehmen wird von Microsoft ebenfalls angeboten, die Rechenzentren auch in Europa zu betreiben. Problematisch ist hiernach jedoch, dass die US-Behörden somit Zugriff auf die personenbezogenen Daten auf europäischer Ebene gewährt bekommen. Dies folgt aus einem von Trump erlassenen Gesetz, der „Clarifying Lawful Overseas Use of Data Act“ (CLOUD Act). Demnach ist es den US-Ermittlungsbehörden wie z.B dem FBI gestattet, auch auf die in europäischen Rechenzentren gespeicherten Daten, von den USA aus, zuzugreifen. Zudem ermöglicht das Gesetz unter anderem, dass eine mit der DSGVO einhergehende Informationspflicht, die Nutzer über die Abfrage der personenbezogenen Daten aufzuklären und zu informieren, unterlassen werden kann. Dies verstößt jedoch gegen die Anforderungen der DSGVO: Gem. Art. 48 DSGVO ist es Unternehmen nämlich verboten, die in der EU gespeicherten Daten ohne Rechtshilfeabkommen weiterzuleiten und zu übergeben. Bislang gibt es jedoch noch kein etwaiges Rechtshilfeabkommen, das zu einem nächsten rechtlichen Problem führt: die Rechtsunsicherheit. Es kommt zu einer Kollision zwischen EU-Recht und amerikanischem Recht:  US-Unternehmen, die auf EU-Boden aktiv werden, müssen entscheiden, gegen welches Gesetz sie verstoßen. Fest steht, in jedem Fall ist es sicher, dass gegen ein Gesetz verstoßen wird. Sollte beispielsweise ein Durchsuchungsbefehl des FBI bestehen, kommen Unternehmen des Öfteren in ein rechtliches Dilemma. 

Übermittlung der Meta-Daten in die USA

Des Weiteren besteht ein Problem dahingehend, dass US-Behörden Zugriff auf die personenbezogenen Daten in Europa erhalten. Ein Datenfluss der europäischen Daten in die USA ist somit möglich und nicht ausgeschlossen. Auch hier wird gegen einen europäischen Grundsatz verstoßen: das Schrems-II-Abkommen. Das Privacy-Shield-Abkommen ist demnach nicht mehr gültig. Das Privacy-Shield-Übermittlungssystem wurde folglich durch sog. Standardvertragsklauseln ersetzt. Gem. Art. 46 DSGVO muss der Kunde den Standardvertragsklauseln zustimmen. Die sogenannten Standardvertragsklauseln sind Musterverträge, in denen sich die US-Anbieter verpflichten, das EU-Datenschutzniveau einzuhalten. 

Die Datenschutzbehörden äußerten sich bezüglich des EU-US-Datenflusses kritisch und sahen das Schrems-II-Abkommen als nicht eingehalten an: 

„Es ist nicht ersichtlich, dass ausreichende zusätzliche Maßnahmen getroffen worden wären, um entsprechend der Rechtsprechung des Schrems II-EuGH das unzureichende Datenschutzniveau der USA auszugleichen. Auch die „Additional Safeguards Addendum to Standard Contractual Clauses“ (in das DPA Dezember 2020 aufgenommen) genügen hierfür ersichtlich nicht, da sie insbesondere weder den Zugriff von US-Behörden auf die verarbeiteten Daten ausschließen noch betroffenen Personen eine Rechtsschutzmöglichkeit gegen Zugriffe durch US-Behörden gewähren.“

Im Zuge dessen passte Microsoft am 21.07.2021 ihre Verträge an die Standardvertragsklauseln an. Dahingehend bestehen noch keine aktuellen Begebenheiten, inwiefern die Nutzung von Microsoft im Hinblick auf die Datenübermittlung in die USA zulässig ist oder nicht.

Fazit

Es konnte folglich immer noch nicht geklärt werden, ob und inwiefern ein DSGVO-konformer Einsatz von Microsoft 365 möglich sei. Bei der Verwendung von Microsoft 365 durch Unternehmen ist jedoch Vorsicht geboten: Datenschutzverletzungen sind dementsprechend nicht fernliegend. Zu raten ist demnach, einen europäischen Anbieter zu verwenden, welcher nicht dem amerikanischen Recht unterliegt.

Bildquelle: Pixaline auf pixabay