Deutschlands Datenschutzaufsichtsbehörden verunsichern Unternehmen und Behörden durch eine Warnung vor der Nutzung von Microsoft 365. Das ist rechtlich fragwürdig.

Rolf Schwartmann
Eine Kolumne
Diese Kolumne stellt die Sicht von Rolf Schwartmann dar. Informieren Sie sich, wie unsere Redaktion mit Meinungen in Texten umgeht.

Das Software-Paket Microsoft 365 ist rechtswidrig. So haben es zumindest Deutschlands Datenschutzaufsichtsbehörden kürzlich verkündet. Sie warnen vor dem Einsatz von Word, PowerPoint, Teams & Co. Weil es keine alternative Software gibt, die in Unternehmen und Behörden vom Dax-Konzern bis zur Grundschule in der Fläche einsetzbar ist, muss Deutschland digital stillstehen, wenn man sich an die Vorgabe hält.

Mehr zum Thema Digitales

Es geht den Behörden dabei gar nicht primär um Microsoft, sondern um die Microsoftkunden, also Unternehmen und Behörden. Unternehmen müssen nun damit rechnen, dass Bußgelder gegen Unternehmen verhängt werden, die die Software weiter nutzen.

Warum soll Microsoft 365 verboten sein?

Darüber, ob die Verlautbarung und die Auffassung der Behörden rechtens ist, kann man gut streiten und namhafte Datenschützer äußern gewichtige Gegenargumente. Warum soll die Nutzung denn gegen Datenschutzrecht verstoßen? Das liegt – so die Behörden – an einem Verstoß gegen die sogenannte Rechenschaftspflicht.

Wer Daten als Behörde oder Unternehmen verarbeitet, muss danach lückenlos belegen können, dass das rechtmäßig geschieht. Wer das nicht kann, der darf auch keine Daten verarbeiten. Da Mircosoft in den Nutzungsbedingungen den Umgang mit Kundendaten und die Verarbeitungszwecke nicht hinreichend beschreibe und auch die angebotenen technischen und organisatorischen Maßnahmen zum Schutz der Daten nicht ausreichen sollen, wird die Datenverarbeitung für verboten erklärt.

Zudem müsse Microsoft auch Daten in den USA und anderen Ländern außerhalb der EU verarbeiten, um sein Produkt anzubieten. Das führe zur Rechtswidrigkeit.

Wer ist die Datenschutzkonferenz?

Die Datenschutzkonferenz (DSK) hat diese Warnung ausgesprochen. Das ist ein loser Zusammenschluss von deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder. Nach außen ist die DSK aber rechtlich gar nicht handlungsfähig.

Aber auch die handlungsbefugten Landesbehörden und der Bundesbeauftragte haben keine vollständige technische Prüfung von Microsoft 365 vorgenommen. Das ist aber, wenn man als Behörde vor Produkten warnt, rechtlich geboten.

Die Warnung schreckt ab

Auch wenn die Verlautbarung der DSK nur ein unverbindliches Meinungsbild über die Rechtsauffassung der Datenschutzaufsichtsbehörden abgibt, hat sie eine deutliche Abschreckungsfunktion.

Unternehmen und Behörden haben Investitionsentscheidungen getroffen und sich – nicht zuletzt mangels Alternativen – vertraglich an Microsoft gebunden. Aber wer nutzt schon guten Gewissens eine Software, die nach der laut geäußerten Meinung von Datenschutzbehörden ein Bußgeld nach sich ziehen kann?

Welche Konsequenzen müssen Verantwortliche befürchten?

Die unkalkulierbaren Risiken, auf die eine konkrete Aufsichtsbehörde eine Untersagung des Einsatzes von Microsoft 365 stützen könnte, haben bislang weder die DSK noch eine einzelne Behörde ermitteln können. Dass gegenüber einem Unternehmen ohne technische Prüfung tatsächlich ein Bußgeld verhangen wird, ist kaum wahrscheinlich.

Näher läge da schon eine Untersagung der Nutzung der Software, die der Empfänger dann gerichtlich angreifen könnte. Aber auch dieser müsste eine Prüfung einer Behörde vorausgehen, die konkrete Risiken benennt. Bis zur Entscheidung des Gerichts, das im Zweifel selbst Microsoft 365 nutzt, ist die Nutzung nicht verboten.

Druck gegenüber Microsoft ist richtig

Richtig und wichtig ist, dass die Datenschutzbehörden Druck aufbauen, damit Microsoft das Datenschutzrecht einhält. Das geschieht seit Jahren und es hat dazu geführt, dass Microsoft das Risiko der Datenverarbeitung deutlich minimiert.

Das Unternehmen führt in Reaktion auf die DSK-Verlautbarung dezidiert und plausibel aus, dass mehr als nur die Mindestanforderungen der DSGVO erfüllt werden, um die Kundendaten weltweit zu schützen. Internationale Zertifizierungen und vertragliche Zusicherungen lägen vor, die Rechtsansicht der Behörden seien technologiefeindlich und überzogen.

Beratung ist wichtig

Der zurecht beklagte Überwachungskapitalismus durch Tech-Giganten ist Fakt und er muss bekämpft werden. Dass er aber hinter Word und Teams lauert, bedürfte erst eines Nachweises. Die DSGVO ist das Gegenmittel gegen nicht vertretbare Risiken der Datenverarbeitung.

Datenschutzbehörden müssen im Rechtsstaat aber genau hinsehen und von Amts wegen ermitteln, welche Risiken konkret drohen und nicht hingenommen werden können. Wenn eine Behörde nach einer belastbaren Überprüfung zum Ergebnis gelangt, dass eine Software unbeherrschbar und gefährlich ist, dann muss sie diese untersagen. Vorher darf sie das nicht.

Lesen Sie auch:

Sie hat vielmehr den Auftrag, Behörden und Unternehmen beim rechtskonformen Einsatz von Software konstruktiv zu beraten. Dabei könnte man etwa begründet konkrete Anwendungen untersagen, deren Gefährlichkeit man ermittelt hat. Wo kein konkretes Risiko feststellbar ist, ist eine Warnung reines Bangemachen.

Verwendete Quellen:

  • baden-wuerttemberg.datenschutz.de: Podcast Datenfreiheit – Folge 25: Transparenzgesetz, MS365, Verhaltensregeln
  • dataagenda.de: Folge 26: Microsoft 365 – Die Anforderungen der DSK auf dem rechtlichen Prüfstand
Interessiert Sie, wie unsere Redaktion arbeitet? In unserer Rubrik "So arbeitet die Redaktion" finden Sie unter anderem Informationen dazu, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte kommen. Unsere Berichterstattung findet in Übereinstimmung mit der Journalism Trust Initiative statt.
JTI zertifiziert JTI zertifiziert

"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.