Die Bewertung der DSK zu Microsoft 365 schafft für Microsoft einige Probleme, da sie bei der zu erwartenden Durchsetzung dieser Einschätzung gegenüber Schulen wie auch anderen öffentlichen und nicht-öffentlichen Stellen zu einem massiven Verlust von Kunden und und damit von Einnahmen führen dürfte. Deshalb reagierte Microsoft direkt am 25.11.2022 mit einer eigenen Pressemeldung. Unter dem Titel Microsoft erfüllt und übertrifft europäische Datenschutzgesetze nimmt man Stellung zur Bewertung und versucht, die dort getätigten Aussagen zu widerlegen. Vor allem kann man die Bewertung der DSK nicht nachvollziehen, da man nach eigener Einschätzung „während des gesamten Überprüfungsprozesses … eng mit der DSK zusammengearbeitet, und auf die vorgebrachten Bedenken mit mehreren weitreichenden Änderungen reagiert habe.“ Dass beim Thema Transparenz noch mehr möglich ist, scheint Microsoft hingegen anzuerkennen: „Wir nehmen uns die Forderung der DSK nach mehr Transparenz zu Herzen. Während unsere Transparenzstandards schon jetzt die der meisten anderen Anbieter in unserem Sektor übertreffen, verpflichten wir uns, noch besser zu werden.“ Microsoft beschreibt, wie man in Zukunft mehr Transparenz herstellen will und adressiert mit der Zusage von weiteren „Dokumentationen über die Datenströme unserer Kunden und die Zwecke der Verarbeitung“ und Informationen“ über die Standorte und die Verarbeitung durch Unterauftragsverarbeiter und Microsoft Mitarbeiter außerhalb der EU“ Kritiken der DSK. Aber auch ohne diese, so ist man bei Microsoft der Ansicht, können Kunden schon jetzt „M365-Produkte weiterhin bedenkenlos und rechtssicher nutzen.“
Dass eine rechtssichere Nutzung von Microsoft 365 möglich ist, davon geht nicht nur Microsoft selbst aus. Stefan Hessel und Christina Kiefer von Reuschlaw vertraten diese Ansicht schon vor Veröffentlichung der aktuellen Bewertung der DSK und vertreten sie noch immer. In einem Dokument mit dem Titel Stellungnahmen zu Microsoft 365: Eine Gegenüberstellung der wesentlichen Aussagen der Datenschutzkonferenz und von Microsoft (PDF) vom 28.11.2022, welcher die wesentlichen Streitpunkte darstellt und bewertet, kommen die Autoren zu dem Schluss, „dass weiterhin ein datenschutzkonformer Einsatz von Microsoft 365 möglich ist.“ Stefan Hessel traut sich gar zu, dieses auch vor Gericht gegen eine Aufsichtsbehörde durchzufechten, denn für ihn geht es lediglich um unterschiedliche Rechtsauffassungen: „Pretty easy. Unterschiedliche Rechtsauffassungen, vgl. https://www.reuschlaw.de/news/datenschutz-bei-microsoft-365/. Freue mich schon den Einsatz von M365 für unsere Mandanten gerichtlich durchzusetzen, wenn die Aufsichtsbehörden weitere Maßnahmen ergreifen sollten. 😎“
Bezüglich ihrer Schlussfolgerung zur Nutzbarkeit von Microsoft 365 geben die beiden Autoren allerdings zu bedenken, dass diese Einschätzung nur die Zusammenfassung der Bewertung durch die DSK berücksichtige. Solange die DSK ihre komplette Bewertung von Microsoft 365 nicht veröffentlicht habe, sei eine abschließende Bewertung der Aussagen noch nicht möglich.
Bewertung
Die Stellungnahme Microsofts wie auch die Gegenüberstellung der Bewertung durch die DSK und anschließende Bewertung durch Stefan Hessel und Christina Kiefer von Reuschlaw machen deutlich, dass die Rechtsauffassung der Aufsichtsbehörden längst nicht von jedermann geteilt wird. Nicht nur manche Fachjuristen vertreten andere Ansichten bezüglich der Auslegung und Anwendung der Vorgaben der DS-GVO, auch zwischen den Aufsichtsbehörden der verschiedenen EU Länder gibt es hier große Unterschiede. Letzteres spiegelt sich nicht zuletzt auch in der sehr unterschiedlichen Handhabung der schulischen Nutzung von Microsoft 365, Google Workspace for Education und Apple (managed Apple IDs, iCloud, …) wider. Schulen in Deutschland hilft dieses freilich wenig, denn für sie ist die Rechtsauffassung der deutschen Aufsichtsbehörden maßgeblich. Und anders als Firmen kommt die gerichtliche Anfechtung einer Untersagung durch eine Aufsichtsbehörde für sie vermutlich nicht in Frage.