14 Verhandlungen in zwei Jahren haben kein Ergebnis im Streit zwischen Microsoft und deutschen Datenschützern gebracht. Dabei ist M365 auch hierzulande sehr wohl datenschutzkonform einsetzbar, sagt Rechtsanwalt Wilfried Reiners von PRW Legal Tech.
Am 25. November 2022 haben die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) Bedenken in Bezug auf die Datenschutzkonformität von Microsoft 365 (M365) öffentlich geäußert. Microsoft hat mit gleichem Datum veröffentlicht, dass es die Bedenken der DSK ernst nimmt, jedoch viele der datenschutzrechtlichen Einschätzungen sowie die Schlussfolgerungen der DSK für grundlegend falsch halte (ICT CHANNEL berichtete). Was bedeutet das für den Anwender? Zunächst einmal nichts. Das Arbeiten mit M365 und insbesondere mit Teams ist für viele Menschen inzwischen das neue Normal. Daran werden die aktuellen Publikationen der DSK und Microsofts nichts ändern.
Auch nach mehr als zwei Jahren Keine Einigung
Die DSK hat in ihrer Sitzung am 22. September 2020 eine Arbeitsgruppe unter Federführung Brandenburgs und des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) gebeten, Gespräche mit Microsoft aufzunehmen, „um zeitnah datenschutzgerechte Nachbesserungen sowie Anpassungen an die durch die Schrems II-Entscheidung des EuGH aufgezeigten Maßstäbe an Drittstaatentransfers für die Anwendungspraxis öffentlicher und nicht öffentlicher Stellen zu erreichen.“ Im Rahmen der Gespräche zwischen der DSK Delegation und Microsoft fanden in den gut zwei Jahren 14 mehrstündige Videokonferenzen statt. Das Ergebnis: Es gibt immer noch keine Einigung. Es ist beachtlich, dass in so langer Zeit der Verhandlungen nichts erreicht wurde.
„Gesetz statt Geschwätz“
Es ist indes nicht etwa so, dass die Gesprächsparteien zu einer Einigung verpflichtet wären. Der Einsatz von M365 ist davon nämlich unberührt. Die definierten Anforderungen an datenschutzkonformes Arbeiten sind nämlich durch die „verantwortliche Stelle“ oder den „Auftragsverarbeiter“ vorzunehmen. So sieht es das Gesetz vor. Die DSK glaubt, dass Anwender mit der von ihr selbst aufgezeigten Liste überfordert seien. Microsoft wiederum argumentiert, dass die Anforderungen des DSK überzogen wären. Beides ist schlicht zu kurz gesprungen. Der Blick ins Gesetz, erspart das Geschwätz.
M365 datenschutzkonform anpassen: „kein großer Aufwand“
M 365 ist im „Auslieferungszustand“ nicht datenschutzkonform einsetzbar. Das ist kein Fehler im Produkt. M365 ist schließlich für jedes Land der Welt gemacht und muss somit für die jeweilige Jurisdiktion eines Landes vom Anwender angepasst werden. Der Anwender ist gefordert, M365 für seine Bedürfnisse rechtskonform zu gestalten und entsprechend zu parametrisieren. Wer das nicht selbst bewerkstelligen kann, muss sich Unterstützung holen. Das ist weltweit so und kein deutsches Phänomen.
M365 datenschutzkonform zu gestalten, ist beispielsweise mit dem „PRW®Compliance Set: M365“ kein großer Aufwand. Dafür wurde die Lösung entwickelt. Sie wird von Unternehmen, Behörden und Organisationen eingesetzt, die vorwärts wollen und denen die Diskussionen zur Einsetzbarkeit der Software eines Weltmarktführers einfach nur die Zeit stehlen.
Wilfried Reiners, Rechtsanwalt