Kurz nach der Entscheidung der DSK zu Microsoft 365 veröffentlicht der Thüringer LDSB eine eigene Stellungnahme und ein Verbot des Einsatzes von Microsoft 365 in Thüringen.
“Thüringens Landesdatenschutzbeauftragter Lutz Hasse will mit Unternehmerverbänden und Behörden über die Umsetzung eines Beschlusses der Datenschutzkonferenz zur Office-Software des US-Unternehmens Microsoft sprechen. “Dieser Beschluss richtet sich an alle Behörden und alle Unternehmen”, sagte Hasse der Deutschen Presse-Agentur (dpa).” Quelle: Bedenken zu Microsoft 365: Datenschützer will mit Wirtschaft über Office-Software reden – Golem.de
Betrachten wir einmal die Originalquelle:
Webseite des LDSB: tlfdi-typo3-10: Startseite
LDSB: Dr. Lutz Hasse
tlfdi-typo3-10: Richtungsweisende Bewertung der Datenschutzkonferenz zu Microsoft 365 »
Pressemittelung: 221126_PM_zu_Bewertung_Microsoft_365.pdf (tlfdi.de)
Herr Dr. Lutz Hasse bezieht sich auf die DSK Stellungnahme und interpretiert diese für sich und Thüringen:
“1. Die DSK nimmt den Bericht der Arbeitsgruppe DSK „Microsoft-Onlinedienste“ und dessen Zusammenfassung zur Kenntnis.
2. Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann. Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.
3. Für eine vertiefte Bewertung der Gesprächsergebnisse stellt die DSK die beigefügte Zusammenfassung der Arbeitsgruppenergebnisse zur Verfügung.
Hierzu eine kurze Erläuterung: Die Bewertung der Datenschutzkonferenz wendet sich nicht direkt an Microsoft, sondern an die Verantwortlichen und besagt, dass diese Microsoft 365 nicht datenschutzrechtskonform verwenden können. Warum? Die Verantwortlichen müssen nach Art. 5 Abs. 2 DS-GVO nachweisen können, dass Microsoft 365 transparent und rechtmäßig verwendet werden kann. Das können sie aber nicht, solange Microsoft seinen eigenen Unterlagen zufolge personenbezogene Daten (von wem?) für eigene Zwecke (welche?) verwendet und hierüber auch keine weiteren Angaben macht. Ein Beispiel: Wenn eine Schulleitung als Verantwortliche die einwilligen den Eltern und die Lehrerschaft nicht darüber informieren kann, ob bei der Verwendung von Microsoft 365 Daten von Kindern oder Lehrer:innen verarbeitet werden und wenn ja, für welche Zwecke, dann können die Eltern und die Lehrerschaft gar nicht informiert (s. Art. 4 Nr. 11 DS-GVO) einwilligen und den entsprechenden Informationspflichten (Art. 13 DS-GVO) kann der Schulleiter auch nicht nachkommen. Gleichwohl erteilte Einwilligungen wären unwirksam und damit fehlte es an einer Rechtsgrundlage für die verantwortliche Schulleitung (s. Art. 6 Abs. 1 DS-GVO), die Daten mit Microsoft 365 verarbeiten zu dürfen. Überdies kann vor diesem Hintergrund der Verantwortliche den Auftragsverarbeiter (Microsoft) gar nicht anweisen, die Daten in bestimmter Weise zu verarbeiten oder eben nicht zu verarbeiten, solange sich Microsoft vorbehält, die Daten für eigene Zwecke zu verarbeiten – ein Verstoß gegen Art 28 DS-GVO. Hinzu kommen die Fragen der Datenübermittlung in die USA.
Dr. Lutz Hasse: “Zunächst freut mich die positive Resonanz in der Datenschutzkonferenz. Meine Aufsichtsbehörde wird nun – wie die anderen Datenschutzaufsichtsbehörden auch – mit den Verantwortlichen im öffentlichen und nicht-öffentlichen Bereich den Kontakt suchen, um eine verhältnismäßige Umsetzung dieser Rechtslage zu erörtern. Hierbei werden zeitliche Aspekte und alternative Pfade Gegenstand der Erörterung sein.“
Schritte
Er möchte nun erstmal eruieren, wer und wie viele Unternehmen Microsoft 365 einsetzen. Dies soll ihm aus meiner Sicht erstmal einen Überblick über die Betroffenen und deren Anzahl bringen. Erst dann sollen Maßnahmen folgen.
Kommentierung zu den Aussagen
Diese Einlassung und Aufnahme der DSK Feststellung zu Microsoft 365 hat nicht lange auf sich warten lassen. Sie stellt nochmal sehr deutlich die Verantwortlichkeit beim Unternehmen, also Microsoft 365 einsetzenden Unternehmen, klar und damit auch die Aufgabe:
“Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.”
Sie müssen nun die notwendige Transparenz schaffen und dies führt zu einer DSFA nach Art. 35 DSGVO, Datenflussdiagramme und Anfragen bei Microsoft, die aber auch nicht weitergehen müssen, als zwingend erforderlich. Erwartet einen Fragebogen…
Quelle
Bedenken zu Microsoft 365: Datenschützer will mit Wirtschaft über Office-Software reden – Golem.de