In einem Dilemma befindet man sich unter anderem, wenn man sich zwischen zwei Möglichkeiten entscheiden muss und beide zu einem unerwünschten Ergebnis führen. Weiterhin stellt sich dann das Problem, dass man nur eine Möglichkeit wählen kann. Stark vereinfacht ausgedrückt kommt die DSK zu der Einschätzung, das ein datenschutzkonformer Einsatz von M365 nicht möglich ist. Microsoft vertritt jedoch die Position, dass dies sehr wohl möglich ist. Damit sind es diese beiden Verhandlungsführer[1], die es nicht geschafft haben ein langjähriges Dilemma der (potenziellen) Anwender aufzulösen. Genau das sollten sie aber als ihre Aufgabe begreifen und das wurde bereits im Jahr 2020 von beiden Parteien in Aussicht gestellt. Tatsächlich haben die Parteien lediglich über einige vertragliche Formulierungen diskutiert. An einer Auflösung des Dilemmas haben sie nicht gearbeitet.

Der aktuelle Status ist, dass die DSK Microsoft vorhält „intransparent“ zu handeln und der Nachweis der Datenschutzkonformität von Verantwortlichen auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann. Weiter heißt es: „Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden“. Zentrale und wiederkehrende Fragestellung der Gesprächsreihe war es aus Sicht der DSK, in welchen Fällen Microsoft als Auftragsverarbeiter tätig ist und in welchen als Verantwortlicher. Dies konnte abschließend nicht geklärt werden. Das wiederum habe zur Folge, dass es für den öffentlichen Bereich keine Rechtsgrundlage in Art. 6 Datenschutz-Grundverordnung (DSGVO) gäbe, der die Nutzung von Daten für eigene Zwecke erlaube. Microsoft stellt dies in Abrede.  Quelle: Festlegung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Stand: 24.11.2022). Der ausführliche Bericht dazu wurde am 25.11.2022 veröffentlicht.

Microsoft begegnet dieser Argumentation inzwischen deutlich entschiedener als bisher mit der klaren Aussage, der Auslegungsmaßstab einiger deutscher Datenschutzaufsichtsbehörden sei nicht sachgerecht und überzogen. Microsoft weist auf die zum Teil unterschiedliche bis widersprüchliche Auslegung der DSGVO seitens der Behörden in Europa hin. Dies wird von der DSK auch so gesehen. Die Arbeitsgruppe der DSK wünscht sich gleichwohl aus ihrer Sicht substantielle Verbesserungen. Tatsache ist, dass die DSGVO eine einheitliche Norm im europäischen Wirtschaftsraum ist. Dieser Dissens der nationalen Behörden stellt viele Organisationen vor eine faktisch hohe Hürde, nicht jedoch vor eine faktisch unüberwindbare Hürde, wie Microsoft ausführt. In der Folge stellt Microsoft den Bedenken der DSK seine Position gegenüber. Quelle: Stellungnahme von Microsoft Deutschland zur datenschutzrechtlichen Bewertung von Microsoft 365 durch die DSK mit Stand vom 25.11.2022.

Hier mag jeder Leser sich seine eigene Meinung zu den jeweiligen Argumenten bilden. Das folgende Zitat aus dem Bericht der DSK zeigt aber das wahre Dilemma und die Verursacher:

„Die DSK hat in ihrer Sitzung am 22. September 2020 eine Arbeitsgruppe unter Federführung Brandenburgs und des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) gebeten, Gespräche mit Microsoft aufzunehmen, „um zeitnah datenschutzgerechte Nachbesserungen sowie Anpassungen an die durch die Schrems II-Entscheidung des EuGH aufgezeigten Maßstäbe an Drittstaatentransfers für die Anwendungspraxis öffentlicher und nicht öffentlicher Stellen zu erreichen. Daraufhin hat eine Arbeitsgruppe Ende 2020 Gespräche mit Microsoft begonnen. Teilnehmer der AG waren: Brandenburg und BayLDA (beide Leitung), BfDI, Baden-Württemberg, Berlin, Hessen, Mecklenburg-Vorpommern, Sachsen, Saarland und Schleswig-Holstein. Für Microsoft haben Beschäftigte der Microsoft Deutschland GmbH einschließlich eines Mitgliedes der Geschäftsleitung sowie je nach Schwerpunkt Ansprechpartner der Microsoft Corporation (USA) teilgenommen. Im Rahmen der Gespräche fanden 14 mehrstündige Videokonferenzen statt“.

Wer sagt, dass 14 mehrstündige Videokonferenzen ausreichen? Sie reichen bisher nur aus, um aufzuzeigen, wie Gesprächsrunden erfolglos verlaufen. Es klingt wie ein Unverständnis für das eigene Versagen.

• Position 3.1… keine signifikanten Nachbesserungen
• Position 3.2… keine substanziellen Verbesserungen
• Position 3.4… es bleiben Rechtsunsicherheiten
• Position 3.5… Nach Bewertung der Arbeitsgruppe genügt die Ausgestaltung der Rückgabe- und Löschverpflichtung nicht in jedem Fall den gesetzlichen Anforderungen aus Art. 28 Abs. 3 UAbs. 1 Satz 2 Buchstabe g DSGVO.

• Es ist eine vollständige datenschutzrechtliche Bewertung des Cloud-Dienstes Microsoft 365 vorzunehmen.
• Es sind über die AK Verwaltung hinausgehende Prüfungen vorzunehmen.
• Es sind eigenständige technischen Untersuchungen durch die verantwortliche Organisation und damit eine Prüfung der tatsächlich stattfindenden Datenflüsse und Verarbeitungen durchzuführen.
• Es ist eine Prüfung der Umsetzung der vertraglich festgelegten Verarbeitungen, bzw. der tatsächlich stattfindenden Verarbeitungen vorzunehmen.
• Es ist eine Prüfung der Einzelkomponenten des Cloud-Dienstes, insbesondere eine Prüfung einzelner Funktionalitäten auf ihre Datenschutzkonformität (z. B. im Bereich Beschäftigtendatenschutz und Überwachung der Mitarbeitenden durch Verantwortliche) vorzunehmen.
• Es ist eine Prüfung der einzelnen Verarbeitungstätigkeiten vorzunehmen
• Es ist eine Prüfung des gesamten einschlägigen Vertragswerks von Microsoft sowie
• eine Prüfung der datenschutzrechtlichen Anforderungen aus dem TTDSG und der Fragen, die sich aus dem Telekommunikationsrecht und des Fernmeldegeheimnisses ergeben, vorzunehmen.
• Was bei den DSK Vorgaben fehlt, ist u. a. die sorgfältige Durchführung einer Datenschutzfolgen-Abschätzung (DSFA).