Die Datenschutzkonferenz, ein Gremium der Aufsichtsbehörden der Länder, hat das Protokoll der 3. Zwischenkonferenz 2021 der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder am 22. September 2021.pdf veröffentlicht. In dem zehnseitigen Protokoll geht es auf Seite 7 um die Bemühungen der Arbeitsgruppe bestehend aus dem BfDl und den Aufsichtsbehörden der Bundesländer Baden-Württemberg, Mecklenburg-Vorpommern, Sachsen und Schleswig-Holstein und unter Federführung der Landesdatenschutz Beauftragten Brandenburgs und des LDA Bayern um die datenschutzrechtliche Bewertung der Auftragsverarbeitung bei MSOffice 365 (Microsoft-Online-Dienste). In der vorangegangenen Sitzung war die Arbeitsgruppe damit beauftragt worden, Kontakt mit Microsoft aufzunehmen, „um datenschutzgerechte Nachbesserungen und Anpassungen an die durch die Schrems ll-Entscheidung des EuGH aufgezeigten Maßstäbe an Drittstaatentransfers für die Anwendungspraxis öffentlicher und nicht öffentlicher Stellen zu erreichen.“ Wie aus dem Protokoll zu erfahren, kamen auch andere in der Vergangenheit von den Aufsichtsbehörden bemängelte Themen mit Microsoft zur Sprache, etwa die „Zweckbestimmung der Datenverarbeitung im Hinblick auf die Frage der Abgrenzung eigener Verantwortlichkeit zur Auftragsverarbeitung.“ Hier geht es um den Vorwurf, dass Microsoft sich in den Datenschutzbestimmungen das Recht einräumt, personenbezogene Daten zu eigenen Zwecken zu verarbeiten, wofür es nach Ansicht der Aufsichtsbehörden keine Rechtsgrundlage gibt. Auch die in der Vergangenheit als unzureichend kritisierten Angaben zu von Microsoft beauftragen Unterauftragnehmern wurde angesprochen. Dem LDA Bayern nach soll es hier bereits Fortschritte gegeben haben. Microsoft will, wie aus Ankündigungen des Konzerns bekannt, auch die Verarbeitung von Telemetriedaten komplett in den EU Raum verlagern. Die Arbeitsgruppe hat sich mit Blick auf Schrems II allem Anschein auch mit dieser Maßnahme beschäftigt, scheint aber im Zweifel, ob dadurch gewährleistet werden kann, dass keine Datenübermittlung in die USA erfolgt.
Bewertung
Irgendwie überrascht der Zwischenstandsbericht der Arbeitsgruppe Microsoft-Online-Dienste der Datenschutzkonferenz nicht wirklich. Die Aufsichtsbehörden stellen Fragen und diskutieren mit Microsoft und ab und an bewegt sich etwas. Ob das aber ein Ergebnis der Bemühungen der Aufsichtsbehörden bzw. der Arbeitsgruppe ist, sei dahin gestellt. Wie das Beispiel Niederlande eindrücklich zeigt, kommt es sehr darauf an, welche Player am Prozess beteiligt sind und wie sie vorgehen. In den Niederlanden werden Datenschutz Folgenabschätzungen (DSFA) zu Plattformen wie Microsoft 365 oder Google Workspace von offiziellen Stellen wie Ministerien in Auftrag gegeben. Die Aufsichtsbehörde der Niederlande berät dann die Auftraggeber zum Umgang mit den Ergebnissen. Mit den in der DSFA festgestellten datenschutzrechtlichen Mängeln und dort vorgeschlagenen möglichen Abhilfemaßnahmen geht man dann in Verhandlungen mit dem Anbieter und es werden Vereinbarungen getroffen, aus denen hervorgeht, welche Mängel bis wann durch den Anbieter abgestellt werden. Die Niederländer haben mit diesem Verfahren in wenigen Jahren mehr erreicht als die deutschen Aufsichtsbehörden in einem Vielfachen dieser Zeit.
Es sollte mittlerweile auch in deutschen Ministerien klar sein, dass der seit Jahren beschrittene Weg nicht zielführend ist. Es reicht nicht aus, wenn die Aufsichtsbehörden und ihre Arbeitsgruppe die Kohlen aus dem Feuer holen sollen und dabei nicht mehr tun können als Mängel aufzuzeigen, wenn Aufsichtsbehörden nur darauf verweisen können, dass sie eine Nutzung für öffentliche Stellen, was Schulen einschließt, nicht empfehlen können, Schulen raten, einen Einsatz kritisch zu überdenken, Duldungen aussprechen, aufheben und verlängern, und sie bei Unternehmen Fragebögen zum Einsatz der Plattform verschicken und damit drohen, einen Einsatz möglicherweise untersagen zu müssen.
Schulministerien etwa müssen, wenn es um Schulen und die Nutzung von Microsoft 365 geht, selbst aktiv werden und mit Microsoft verhandeln und Vereinbarungen treffen, ganz nach dem Vorbild der Niederlande, von deren Handeln seither alle profitieren.