Auf ein Word…

Prof. Dr. Alexander Golland
Schriftleitung
Datenschutz-Berater

Es ist Ende März, und ich tippe diese Zeilen in einem Textverarbeitungsprogramm auf meinem dienstlichen Notebook. Mein Arbeitgeber hat eine Lizenz erworben – für, Sie ahnen es, Microsoft 365 (vormals Office 365).

So weit, so gut (je nach individueller Präferenz; LibreOffice und LaTeX sollen hier nicht unerwähnt bleiben). Nun können wir uns vortrefflich darüber streiten, ob ich gerade einen sogenannten Verarbeitungsexzess begehe: Ist das Verfassen eines Editorials für eine juristische Fachzeitschrift noch von der Zweckbestimmung meines Dienstherrn gedeckt? Bislang jedenfalls dürfte es unproblematisch sein; personenbezogene Daten – hier in Form von Telemetriedaten – sind lediglich von mir selbst angefallen. Das könnte sich ändern, wenn ich beginne, personenbezogene Daten ernstzunehmender, real existierender Personen zu verarbeiten. Olaf Scholz. Rainer Winkler. Darkwing Duck. Alf.

Am heutigen Tage gab es aber noch eine andere, womöglich für eine Vielzahl von Unternehmen relevante Neuigkeit betreffend erwähntes Microsoft 365: Der Europäische Datenschutzbeauftragte, die Aufsichtsbehörde für die Institutionen und Organe der Europäischen Union, stellte fest, dass der Einsatz von Microsoft 365 durch die Europäische Kommission unzulässig sei. Die unter Case 2021-0518 geführte, 180 Seiten umfassende Entscheidung stellt die Ergebnisse voran: Die Kommission könne das Gebot der Zweckbindung nicht einhalten, der Datentransfer in die USA sei problematisch, die Grenze der Auftragsverarbeitung würde beim Einsatz von Microsoft-Services überschritten, es sei nicht sichergestellt, dass Daten nicht in unzulässiger Weise anderen Stellen offengelegt würden.

Nun erging die Entscheidung zur Verordnung (EU) 2018/1725, also nicht zur DSGVO. Diese sind jedoch in ihren materiellen Bestimmungen (nahezu) wortgleich – da liegt es nicht fern, diese Wertung auf Microsoft-einsetzende Unternehmen in der EU zu übertragen. Allerdings beruht das Ganze auf den zwischen Kommission und Microsoft geschlossenen Verträgen mit Stand vom Jahre 2021. Microsoft hat seitdem mehrfach die Online Services Termins und ebenso das Data Protection Addendum überarbeitet. Als eine Microsoft-einsetzende Stelle kann ich also „Betrifft mich nicht, dat is‘ eh veraltet“ als Argument auf der Haben-Seite verbuchen.

Was aber bleibt, ist ein Geschmäckle; eine indirekte Produktwarnung: Wird Microsoft 365 eingesetzt, steht ein Diskurs mit der Aufsicht an. Die wirtschaftlichen Konsequenzen, insbesondere durch Unternehmen, die nunmehr vom Einsatz des Produktes absehen, lassen sich nur schwer quantifizieren. Wirtschaftlich benachteiligt ist Microsoft – datenschutzrechtliche Handhabe gegen die Entscheidung hat jedoch allein die Kommission. Ob diese beim EuG Klage gegen die Entscheidung einreichen wird? So oder so: Wir brauchen schnellere Entscheidungen, kein Katz-und-Maus-Spiel. Einen einheitlichen Rechtsrahmen für die Kommunikation vermeintlich „niedrigschwelliger“ Warnungen. Einen Rechtsweg für Benachteiligte.

An dieser Stelle wünsche ich Ihnen nicht nur viel Spaß bei der Lektüre (natürlich bleiben wir in der Causa Microsoft am Ball!), sondern auch die nötige Gelassenheit, das tägliche Datenschutz-Tohuwabohu zu ertragen.

Ihr

Alexander Golland