Die aufgrund der dazugehörigen Pressemitteilung der Landesbeauftragten für den Datenschutz und die Informationsfreiheit (Baden-Württemberg) erfolgte Berichterstattung hat viele verunsichert.

Wie gehabt bietet itacs zwar keine juristische Beratung an, unterstützt aber dennoch gern bei der Einordnung des Beschlusses. Entsprechend haben wir nachfolgend einige Aspekte zusammengetragen, die für Ihre Bewertung des Beschlusses relevant sein könnten.

Gegenstand

Das geprüfte bzw. als nicht datenschutzkonform einsetzbar bezeichnete Produkt wird "Office 365" genannt, jedoch nicht weiter spezifiziert, was genau aus der Angebotspalette gemeint ist. Hier gibt es z. B. Unterschiede in den wählbaren Plänen oder der Verortung der Daten (Rechenzentren).

Beschlussgrundlage

Als Beschlussgrundlage dienten die Online Service Terms (OST) und das Data Processing Addendum (DPA) mit Stand Januar 2020. Diese Versionen sind veraltet, da Microsoft hier bereits nachgebessert hat. Beachtet werden muss dabei allerdings auch, dass stets die Versionen zu Vertragsschluss gelten, außer für neue Dienste, für die die Versionen des Einführungsmonats gelten.

Abstimmungsergebnis

Der Beschluss erfolgte mit knapper Mehrheit von neun zu acht Stimmen. Eine einheitliche Sichtweise auf den Sachverhalt innerhalb der DSK kann hier nicht abgeleitet werden.

Stellungnahme

Einige der beteiligten Behörden, namentlich die Landesbeauftragten für den Datenschutz Baden-Württemberg, Bayern, Hessen und im Saarland sowie der Präsident des Bayerischen Landesamts für Datenschutzaufsicht (zuständig für die Microsoft Deutschland GmbH mit Sitz in München), haben eine offizielle Mitteilung herausgegeben, in der sie den Beschluss der DSK als "undifferenziert" und "nicht entscheidungsreif" bezeichnen. Nichtsdestotrotz sehen auch sie Handlungsbedarf. So soll ein Arbeitskreis eine vertiefende, genauere Prüfung auf aktueller Datenbasis vornehmen.

Einbeziehung

Microsoft wurde im Rahmen dieser Beschlussfassung nicht förmlich angehört. Dies soll nun im Rahmen des neuen Arbeitskreises erfolgen, der hierzu Gespräche aufnehmen will.

Empfehlung

Informieren Sie sich bei offiziellen Stellen (siehe oben) und fachlichen Quellen, wie bspw. RA Raphael Köllner oder RA Nina Diercks. Prüfen Sie die für Sie gültigen Versionen der betrachteten Dokumente. Für einen Absicherung kann es hilfreich sein, eine Datenschutzfolgeabschätzung (DSFA) entsprechend §35 DSGVO durchzuführen bzw. juristischen Beistand zu suchen. Hierfür gibt es eine Liste der Berliner Datenschutzbehörde zu den Verarbeitungsvorgängen, für die eine DSFA durchzuführen ist (öffentlicher, nicht-öffentlicher Bereich).

Wir hoffen, Sie mit dieser Einordnung bei der Klärung des Sachverhaltes für Ihre Organisation unterstützen zu können.