NJW-Editorial
Ein Bärendienst
NJW-Editorial
Lorem Ipsum

Die Datenschutzkonferenz von Bund und Ländern (DSK) hat den Einsatz von Microsoft 365 in Deutschland im Ergebnis für unzulässig erklärt – der Nachweis eines daten­schutzkonformen Einsatzes könne nicht geführt werden. Denn es fehle an der notwendigen Transparenz über die Verarbeitung persönlicher Daten aus dem Auftragsverarbei­tungsvertrag von Microsoft. Ist der Einsatz somit generell unzulässig in Deutschland? Ich meine: nein.

15. Dez 2022

Außer Acht gelassen wird, dass das US-amerikanische IT-Unternehmen seit der „ersten“ Bewertung von Microsoft 365 durch die DSK erhebliche Anstrengungen unternommen hat, um die „Bedenken“ und „Kritikpunkte“, insbesondere der deutschen Datenschutzaufsichtsbehörden, auszuräumen. Damals hatte sich das Gremium mit dem Einsatz des Cloud-Dienstes Microsoft Office 365 (jetzt: Microsoft 365) sowie den zugrunde liegenden Lizenzbedingungen auseinandergesetzt. Bereits damals wurde apodiktisch festgehalten, dass auf Basis der zur Verfügung gestellten Unter­lagen ein datenschutzgerechter Einsatz nicht möglich sei bzw. insofern keine Bewertung erfolgen könne.

Ein Nutzungsverbot – soweit dies tatsächlich intendiert sein sollte – würde zu erheblichen Wettbewerbsnachteilen für die deutsche Wirtschaft, zu Nachteilen in der Ausbildung oder beim Wettbewerb um Bewerber und Ähnliches führen. Festzuhalten ist: Die Entscheidung der DSK führt zu erheblicher Verunsicherung in der Praxis. Dies war unnötig. Angesichts der Gesprächsbereitschaft von Microsoft und der bereits ergriffenen Maßnahmen war sie weder gerechtfertigt noch verhältnismäßig.

Vielleicht ist es an der Zeit, den Datenschutz bzw. die Zuständigkeiten dafür in Deutschland neu zu denken. Benötigen wir wirklich 16 Landesdatenschutzbehörden – neben dem Bundesdatenschutzbeauftragten? Wie sind die Kompetenzen dieser Aufsichtsbehörden in Bezug auf den nicht-öffentlichen Bereich zu organisieren? Wäre es nicht sinnvoll, zumindest diese Zuständigkeit zentral beim Bundesdatenschutzbeauftragten zu verorten, um eine einheitliche Stimme zu bekommen? Überdies stellt sich die Frage nach der Legitimität und Kompetenz der DSK. Deren Entscheidung zu Micro­soft 365 sollte zudem gesamteuropäisch gedacht werden: Sie müsste wohl vom European Data Protection Board getroffen werden – ein nationaler Alleingang hilft hier nicht weiter. Das letzte Wort ist somit noch nicht gesprochen. Festzuhalten bleibt, dass die DSK dem nicht-öffentlichen Bereich einen Bärendienst erwiesen hat: Das gilt insbesondere für die deutschen Unternehmen mit ihren vielfältigen internationalen Verflechtungen, die inzwischen auf zentrale, marktetablierte Office-Lösungen angewiesen sind.

Dieser Inhalt ist zuerst in der NJW erschienen. Sie möchten die NJW kostenlos testen? Jetzt vier Wochen gratis testen inkl. Online-Modul NJWDirekt.

Thorsten Sörup ist Fachanwalt für IT-Recht, Fachanwalt für Arbeitsrecht sowie externer Datenschutz­beauftragter in Frankfurt a. M..