Wo liegt das Problem?
Mit Hilfe der von Microsoft angebotenen Anwendungen wie Exchange, OneDrive und SharePoint wird die cloudbasierte Nutzung bekannter Produkte wie Excel, Outlook, Power Point, Word oder Teams ermöglicht, d.h. Daten (oder auch die Software selbst) werden nicht mehr nur lokal, sondern via Internet auf externen Rechnernetzwerken gespeichert, die prinzipiell überall auf der Welt stehen können. Bei US-amerikanischen Firmen ist der Standort in der Regel Nordamerika.
Die Datenübertragung in die USA ist durch sog. EU-Standardvertragsklauseln legitimiert. Allerdings ist es aufgrund des „CLOUD Act“ US-amerikanischen Behörden unter bestimmten Bedingungen offiziell möglich, auf von inländischen IT-Dienstleistern verarbeitete personenbezogene Daten zuzugreifen – und zwar unabhängig davon, wo sich der Sitz des Datenverantwortlichen befindet. Das gilt sogar dann, wenn die Daten zwar in Europa gespeichert, die Cloud aber von einem US-Unternehmen betrieben wird.
Zudem ist bekannt, dass beispielsweise der technische Support von Microsoft auch aus als unsicher im Sinne der DSGVO klassifizierten Drittländern (wie z.B. Indien) erfolgt oder Telemetriedaten übermittelt werden, die als personenbezogene Daten klassifiziert sind.
Kann Microsoft 365 überhaupt datenschutzrechtkonform eingesetzt werden?
Die gewerbliche Nutzung von Microsoft 365 steht also grundsätzlich im Widerspruch zur DSGVO und den kirchlichen Datenschutzgesetzen (DSG-EKD und KDG).
Beim Einsatz von Microsoft 365 entstehen ggf. Datenübertragungen ohne Rechtsgrundlage. Ein Verantwortlicher kann Datenverarbeitungen grundsätzlich nicht vollends bestimmen bzw. kontrollieren. Nicht alle Informationspflichten können eingehalten und nicht alle Betroffenenrechte gewährleistet werden.
Das spricht gegen eine Auftragsverarbeitung und für getrennte Verantwortlichkeit i.S.d. Art. 4 Nr. 7 DSGVO, die auch in den Online-Nutzungsbedingungen (OST) durch Microsoft teilweise widergespiegelt wird. Die Durchsetzung von Betroffenenrechten und Haftungsfragen ist allerdings weiterhin nicht endgültig geklärt. Entgegen der öffentlichen Annahme ist aber keine gemeinsame Verantwortlichkeit (Art. 26 DSGVO) geregelt.
Was also tun?
Aus datenschutzrechtlicher Sicht ist der Einsatz von Microsoft 365 als Cloud-Lösung aktuell nicht unproblematisch. Ein wichtiger Faktor ist z.B. die Art der verarbeiteten Daten und insb. ob es sich um besondere Kategorien personenbezogener Daten i.S.v. Art. 9 DSGVO handelt, an deren Verarbeitung erheblich höhere Anforderungen gestellt werden. Es empfiehlt sich daher in jedem Fall eine dokumentierte Risikoabwägung und -entscheidung. Je nach individueller Sachlage kann das dazu führen, dass
- personenbezogene Daten nur lokal gespeichert werden dürfen, was erheblichen administrativen Aufwand bedeutet,
- das Risiko der Einsichtnahme durch US-Behörden und die unsichere rechtliche Beurteilung hinsichtlich der Verantwortlichkeit bei der Verarbeitung besonderer Kategorien personenbezogener Daten akzeptiert werden muss,
- eine Zusatzvereinbarung für Berufsgeheimnisträger mit Microsoft abgeschlossen werden muss (§ 203 StGB).
Dennoch sollte, je nach Berufsstand sowie den individuellen Umständen und Zuständigkeiten von einzelnen Aufsichtsbehörden, eine Risikoprüfung im jeweiligen Fall vorgenommen werden; eine Datenschutz-Folgenabschätzung ist also dringend angeraten.