Bußgelder und Unterlassungsverfügungen in Bezug auf Microsoft 365 in Deutschland?

Immer wieder kursiert es, dass in Deutschland Bußgelder nach den Voraussetzungen des Art. 83 DSGVO in Deutschland in Bezug auf Microsoft 365 verhängt wurden. Insbesondere Kritiker, die den Einsatz konform zu europäischen und deutschen Datenschutzrecht generell für nicht möglich ansehen sprechen oft von Bußgeldern und sogar von Unterlassungsverfügungen. Diesem wollte ich einmal auf den Grund gehen.

Bußgelder und Unterlassungsverfügungen

Die Landesdatenschützer und der Bundesdatenschutzbeauftragte haben die in Art. 58 DSGVO beschriebenen Befugnisse:

  1. Untersuchungsbefugnisse
  2. Abhilfebefugnisse
  3. Genehmigungsbefugnisse

Im Rahmen dessen können Sie Bußgelder verhängen, aber auch Verwarnungen aussprechen oder den Betroffenen zu benachrichtigen oder auch die Aussetzung der Übermittlung von Daten in ein Drittland, was bei Microsoft 365 auch zu einer Einstellung der Nutzung führen würde. 

Im Rahmen dessen stellt sich nun die Frage, ob bekannt geworden ist, ob die Behörde/n diese Rechte bereits und insbesondere Bußgelder und Einstellungsverfügungen ausgesprochen haben.

Dienliche Hinweise bitte an: raphael.koellner@rakoellner.com 

Twitter-Umfrage

Ein erster Einblick bietet hier zum Beispiel eine Umfrage bei Twitter. Leider sind die Antworten oft auch geraten oder erwartete, dennoch zeigen Ergebnisse mit vielen Stimmen zumindest eine Tendenz.

Diese Tendenz geht auf Null und bekannte Namen aus der #Teamdatenschutz Community haben sich um den Tweet herum auch entsprechend geäußert.

Recherche

Im Anschluss folgte eine zwei tägige Recherche zunächst per bekannter Suchmaschinen und dann in online Datenbanken wie Juris und Beck-Online, sowie über die Webseiten der Landesdatenschutzbeauftragten und der DSK. Wenn die Nutzung wirklich untersagt ist oder so hohe Hürden hat, dann müsste es zumindest ein Bußgeld geben oder eine Einstellung geben. Diese könnte auch nicht lange unter Verschluss gehalten werden, da in allen Fällen die Betroffenen informiert werden müssen, sei über den Wechsel des Tools oder eben als Betroffene im Sinne des Datenschutzes. 

Weiterhin verschickte ich in meinem Netzwerk der Datenschutzbeauftragten Anfragen oder fragte in Telefonaten einmal nach. 

Ergebnis

Das Ergebnis war:

Bußgelder: 0

Einstellungen der Verarbeitung: 0

Einstellung der Übertragung von Daten in ein Drittland: 0

Negative Prüfung und keine Empfehlung der Nutzung: 

  • BW: Microsoft Teams Begutachtung des LDSB BW  EDU für Schulen in BW
  • EDU: Hochschulen (privat oder öffentlich): Teams & Zoom & WebEx (z.B. FU Berlin mit WebEx)

Aufruf zu sachdienlichen Hinweisen

Nun ist mein Netzwerk auch nicht das größte und exklusivste. Deshalb kommt hiermit der Aufruf, dass ihr mir bitte schreibt! Gesucht werden Bußgelder oder Verfügungen/Anweisungen der Landesdatenschützer/innen und Bundesdatenschutzes in Deutschland, die konkret auf die Herausforderungen:

  • Telemetrie- und Diagnosedaten
  • Drittlandübermittlung
  • NSA/CIA usw. Behördenanfragen aus den USA
  • etc. 

NICHT gesucht werden Bußgelder, die den Schwerpunkt in anderen Dingen, die Berechtigungen, Nutzung, falsche Rechtsgrundlage liegen. Diese können oft und in den aktuell vorliegenden Fällen nicht auf Microsoft 365 zurückzuziehen sein, es wäre auch bei anderen IT-Systemen passiert. Dies wird nicht gesucht.

Dienliche Hinweise bitte an: raphael.koellner@rakoellner.com 

Hinweise sollten enthalten: Aktenzeichen, LDSB, Bußgeldhöhe / wichtig: Aktenzeichen als Nachweis oder Link zu einem öffentlichen Link (z.B. FU Berlin/ AStA mit Webex)