Microsoft 365 haben Datenschutzbeauftragte spätestens seit der Corona-Zeit immer wieder auf dem Schirm – ist es noch DSGVO-konform oder nicht? Der Europäische Datenschutzbeauftragte hatte am 12. Mai 2021 begonnen, zu überprüfen, ob die Verwendung von Microsoft 365 durch die EU-Kommission rechtmäßig ist. Nun ist er zu dem Schluss gekommen, dass die Nutzung gegen zentrale Bestimmungen des Datenschutzrechts verstößt und forderte die Kommission auf, bis zum 9. Dezember 2024 alle Datenflüsse an Microsoft und dessen Unterauftragsverarbeiter (!) auszusetzen.
Hauptkritikpunkte sind, dass im Lizenzvertrag zwischen der EU und Microsoft aus dem Jahr 2021 die Arten und Zwecke der verarbeiteten personenbezogene Daten unzureichend definiert sind, dass eine Übermittlung in Drittländer stattfindet und dass gegen die unerlaubte Weitergabe von Daten nur mangelhaft Vorkehrungen getroffen wurden. Allerdings blieben die während des langen Untersuchungszeitraums eingetretenen Änderungen (Angemessenheitsbeschluss der EU für die USA, Data Protection Addendum von Microsoft vom 2. Januar 2024 und die Umsetzung der EU Data Boundary von Microsoft) unberücksichtigt, sodass fraglich ist, welche praktischen Folgen die Entscheidung haben wird.
Derzeit läuft die erste große Evaluation der DSGVO. Der deutsche Bundesrat hat sich in diesem Rahmen, wie auch viele Datenschutz-Aufsichtsbehörden, dafür ausgesprochen, dass IT-Produkte und -Dienstleistungenverpflichtend auf ihre DSGVO-Konformität geprüft und entsprechend zertifiziert werden. Da die DSGVO nur die Verarbeitung personenbezogener Daten regelt, sind die Hersteller entsprechender Software bisher nicht unmittelbar zu deren Einhaltung verpflichtet.
Welche Kriterien Hersteller genau einhalten sollen, und wie ein Verfahren zur Bewertung der DSGVO-Konformität ausgestaltet sein könnte, darauf ging der Bundesrat nicht näher ein. In letzter Zeit waren zum Beispiel immer wieder Debatten um Microsoft Outlook entbrannt, von dessen Verwendung vielfach abgeraten wird. Das Beispiel Outlook verdeutlicht auch, dass der Markt für Software mitunter sehr konzentriert ist, sodass DSGVO-Tauglichkeit „ab Werk“ eine sinnvolle Idee darstellen könnte, die wirklich zu einer Entlastung der Nutzer führt.
Zum Schluss möchte ich noch auf eine Orientierungshilfe der Datenschutzkonferenz zum Einholen von Selbstauskünften bei Mietinteressenten hinweisen. Da werden ja gefühlt immer mehr Daten verlangt, und wer Auskünfte verweigert, riskiert, keine Wohnung zu bekommen – eine Zwickmühle. Die DSK weist nun darauf hin, dass nur Fragen zulässig sind, an denen der Vermieter das berüchtigte „berechtigte Interesse“ hat bzw. die für die Erstellung des Mietvertrags erforderlich sind. Auf Basis einer Interessenabwägung muss das Recht der Mietinteressenten auf informationelle Selbstbestimmung Beachtung finden. Alle Empfehlungen finden sich hier.