Berliner Datenschutzaufsicht beanstandet AV-Bestimmungen zu Microsoft Office 365

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat am 3. Juli 2020 Hinweise zu Anbietern von Videokonferenz-Diensten veröffentlicht. Untersucht wurden insbesondere die vertraglichen Bestimmungen der Anbieter Cisco, Google, Zoom und Microsoft.

Sachverhalt

Hierbei wurde zwar auch teilweise auf technische Details eingegangen, allerdings ging es vordergründig um die Frage, ob die Anbieter rechtskonforme Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO verwenden. Im Hinblick auf die Videofunktion Microsoft Teams kam die Kurzeinschätzung ab Seite 10 der Hinweise zum Ergebnis, dass die derzeit von Microsoft verwendeten Bestimmungen zur Auftragsverarbeitung nicht rechtskonform sind.

Interessant ist diese Einschätzung deshalb, da Microsoft die Bestimmungen zur Auftragsverarbeitung derzeit nicht nur für die Anwendung Microsoft Teams verwendet, sondern u.a. für das gesamte Microsoft Office 365 Paket. Damit ist derzeit aus Sicht der Datenschutzbehörde Berlin ein rechtkonformer Einsatz von Microsoft Office 365 nicht möglich. Begründet wird diese Ansicht etwa mit Ungereimtheiten im Aufbau der Dokumente, mit eigenen Rechten von Microsoft zur Verwendung der Daten (gemeinsame Verantwortung?) oder Nichteinhaltung von Mindestanforderungen der DSGVO.

Relevanz

Wenn Unternehmen noch eine Installationsversion von Microsoft Office verwenden (On-Premise), dann haben die obigen Hinweise nur Auswirkungen, wenn Microsoft im Rahmen etwaiger Serviceverträge ein Datenzugriff eingeräumt wurde, was u.W. nicht vorkommt. Falls allerdings Microsoft Office 365 im Unternehmen eingesetzt wird, dann sollten die neuen Hinweise der Berliner Datenschutzaufsicht Beachtung finden, denn aus deren Sicht liegt ein bußgeldbewährter DSGVO-Verstoß vor (Verletzung von Art. 28 DSGVO).

Handlungsempfehlungen

Die Hinweise der Berliner Aufsicht sind zum Thema Videokonferenzsysteme erlassen worden und betreffen daher vordergründig Anwendungen wie Microsoft Teams. Zudem gibt es noch 15 andere, deutsche Aufsichtsbehörden, die möglicherweise eine andere Rechtsansicht vertreten (wie z. B. kürzlich noch Hessen, wobei die AV-Bestimmungen damals sehr ähnlich ausgestaltet waren). Wir rechnen damit, dass Microsoft mit der Berliner Aufsichtsbehörde in Kontakt treten wird, um ggf. eine Anpassung der beanstandeten Stellen im Vertragswerk abzustimmen. Aufsichtsbehördliche Maßnahmen im Hinblick auf die Verwendung von Microsoft Teams oder Office 365 insgesamt als unmittelbare Konsequenz zu den Hinweisen der Berliner Aufsicht sind zwar möglich, werden von uns zunächst jedoch nicht erwartet. Allerdings rechnen wir mit einer kurzfristigen Abstimmung der Landesaufsichtsbehörden untereinander zum Thema Microsoft und Auftragsverarbeitung. Insoweit sollte das vorliegende Thema in den kommenden Wochen weiter beobachtet werden, insbesondere auch das anstehende Urteil des EuGH („Schrems II“) zum Datentransfer in Drittstaaten auf Grundlage der EU-Standardvertragsklauseln (angekündigt für den 16. Juli 2020). Unternehmen, die weiterhin Office 365 und insbesondere Microsoft Teams verwenden, sollten in der Zwischenzeit nochmals kontrollieren, ob die notwendigen internen Maßnahmen zum rechtskonformen Einsatz von Office 365 getroffen wurden, also beispielsweise Einsatz des Microsoft Compliance Manager (soweit im gebuchten Paket verfügbar), Reduzierung des konzernweiten Adressbuchs auf die nationale Gesellschaft, Deaktivierung von Aktivitäts- und Nutzungsberichten (soweit hiermit Leistungs-/Verhaltenskontrolle möglich ist) oder Aufnahme der einzelnen Office-Funktionalitäten (auch Teams) in das unternehmensinterne Verarbeitungsverzeichnis.