Datenschutzkonferenz gegen Microsoft 365
Stammtischrunde der Datenschützer
Microsoft 365 werde laut Datenschutzkonferenz (DSK) hierzulande rechtswidrig eingesetzt. Aber es gibt kein gesetzliches Verbot für den Einsatz der Software. Wie ist das zu erklären? Was ist die DSK eigentlich? Rechtsanwalt Wilfried Reiners über Macht und Ohnmacht echter und vermeintlicher Behörden.
Rechtsanwalt Wilfried Reiners, einer der renommiertesten Juristen im Umfeld digitaler Themen, CEO der PRW Group und Mitbegründer der PRW Legal Tech GmbH, nimmt zur laufenden Diskussion im Streit zwischen der DSK und Microsoft im ICT CHANNEL-Gastkommentar Stellung.
Vor 25 Jahren gab es die Wutrede von Herrn Trapattoni mit dem Ausruf: „Was erlauben Strunz?" Jeder mag sich seine Meinung zu Microsoft 365 bilden, aber heute müsste der Ausruf lauten: „Was erlauben DSK?"
In einem Artikel der FAZ vom 13. Januar 2023 beginnen die Autoren Kristin Benedikt, Thomas Kranig und Professor Dr. Rolf Schwartmann ihren Beitrag mit: „Die deutschen Datenschutzaufsichtsbehörden haben Ende November 2022 eine Stellungnahme zu Microsoft 365 veröffentlicht, die es in sich hat. Microsoft-Kunden können danach einen rechtmäßigen Einsatz der Software nicht nachweisen, mit anderen Worten: Microsoft 365 ist rechtswidrig.“ Weiter schreiben die Autoren an anderer Stelle: „Die DSK ist ein loser Zusammenschluss der unabhängigen Datenschutzaufsicht des Bundes und der Länder.“
Wer ist die DSK, dass sie so kraftvolle Aussagen treffen kann? Was könnte die Rechtsfolge sein, wenn die Aussage falsch ist?
Keinerlei rechtlich anerkannte Befugnisse
Die Datenschutzkonferenz besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder. Sie ist ein rechtlich nicht festgelegter, also ein loser Zusammenschluss der vorgenannten Behörden. Das beliebteste Beispiel für einen losen Zusammenschluss ist der Stammtisch. Der aktuelle Koalitionsvertrag sieht zwar vor, die DSK zu institutionalisieren, damit sie einheitlich rechtlich verbindliche Beschlüsse fassen kann. Das ist aber (noch) nicht umgesetzt. Solange dies nicht umgesetzt ist, hat die ‚Stammtischrunde‘ keinerlei rechtlich anerkannte Befugnisse.
Wäre die DSK eine Behörde mit Befugnissen, wäre ihre Warnung vor Microsoft 365 so etwas wie ein Verwaltungsakt. Microsoft hätte dann die Möglichkeit, diesen für sie negativen Verwaltungsakt von einem Verwaltungsgericht überprüfen zu lassen. Stammtischrunden können Sprüche klopfen, aber keine Verwaltungsakte erlassen.
Rechtsunsicherheit verbreitet
Art. 16 der Charta der Grundrechte der Europäischen Union schützt die unternehmerischen Grundrechte. Ein Eingriff darin ist nur zulässig, wenn es dazu eine gesetzliche Erlaubnisvorschrift gibt. Das ist hier nicht der Fall. Organisationen und EntscheiderInnen, die Microsoft 365 entweder im Einsatz haben oder implementieren möchten, finden sich nun in einer unangenehmen Situation. Denn es herrscht vielfach Rechtsunsicherheit unter den Verantwortlichen. Zusammenfassend hat also ein loser Zusammenschluss einen gewaltigen ‚Spruch rausgehauen,‘ der so vom Gesetzgeber nicht vorgesehen ist. Und was ist die Rechtsfolge?
Warum keine Untersagungsverfügung?
Bisher ist keine Rechtsfolge bekannt. Lediglich die Reaktion von Microsoft, in der das Unternehmen seine Sicht der Dinge darstellt. Was lehrt uns das Vorgehen der DSK? Wenn eine Behörde das Risiko scheuen möchte, mit einer Untersagungsverfügung zu unterliegen, wählt sie das sanktionslose, aber stark fremdbelastende Stammtisch-Modell. Warum hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), das derzeit die Hausanschrift der DSK vorhält, nicht einfach eine Untersagungsverfügung der Nutzung von M365 an die Microsoft Deutschland GmbH ausgesprochen? Dann könnte das Verfahren seinen rechtsstaatlichen Weg nehmen.
Lesen Sie mehr zum Thema
