Nutzung von Office- und Clouddiensten prüfen, bevor es die Datenschutz-Aufsichtsbehörde tut

Schrems II und die Konsequenzen auf den Büroalltag

Viele Unternehmen haben im vergangenen Jahr einen Crashkurs zum Thema Home-Office gemacht bzw. machen müssen. Die technischen Voraussetzungen waren vielfach nicht gegeben und mussten schnell geschaffen werden. Die Softwarelösung ‚Office 365‘ von Microsoft bot auf den ersten Blick eine schnelle und einfache Lösung für einige Themen: Plattformunabhängig, von überall zu benutzen, verschiedene Endgeräte werden automatisch synchronisiert. Datenschutzrechtlich kann hier aber ein böses Erwachen drohen: Ein Urteil des Europäischen Gerichtshofes gewinnt nun mehr und mehr praktische Relevanz.

Mit seinem „Schrems II“-Urteil im Juli 2020 hat der Europäische Gerichtshof Klarheit geschaffen: Personenbezogene Daten dürfen nur an ein Drittland außerhalb des Europäischen Wirtschaftraums übermittelt werden, wenn in dem jeweiligen Land ein gleichwertiges Datenschutzniveau wie in der EU vorherrscht. Für die USA wurde dies explizit verneint. Die ‚Privacy Shield‘-Vereinbarung zwischen den beiden Wirtschaftsräumen wurde damit faktisch ungültig.

Für die Softwarelösung Office 365 wird laut aktuellem Kenntnisstand ein Teil der Daten in den USA verarbeitet. Rechtliche Grundlage hierfür war ‚Privacy Shield‘, das nun nicht mehr existiert. Microsoft hat seither die Vertragsbedingungen mehrfach angepasst und aktualisiert. Die Vereinbarkeit mit europäischem Recht ist nach wie vor nicht abschließend geklärt und steht auf sehr wackeligen Füßen. Bis heute herrscht auch keine Klarheit über konkrete Details, welche Daten von Microsoft wo verarbeitet und gespeichert werden.

Über die Plattform ‚fragdenstaat‘ ist nun auf die Anfrage eines Bürgers ein Fragebogen des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit veröffentlicht worden, der Unternehmen im Beschwerdefall zur Beantwortung zugeschickt wird. Konkret wird beispielsweise gefragt, ob und aufgrund welcher Rechtsgrundlage personenbezogene Daten in Office 365 eingefügt werden, ob seit dem ‚Schrems II‘-Urteil Anpassungen gemacht wurden oder ob geplant ist, künftig eine andere Software zu nutzen.

„Die Entscheidung des Europäischen Gerichtshofs kann Unternehmen in die Bredouille bringen, wenn jetzt nicht gehandelt wird“, erläutert der Wuppertaler Datenschutzfachmann und UIMC-Geschäftsführer Dr. Jörn Voßbein. „So praktisch cloudbasierte Office-Lösungen auch sein mögen, der Einsatz kann teuer werden, wenn es keine belastbaren datenschutzrechtlichen Grundlagen gibt.“ Betroffenen Unternehmen rät er dringend, die Nutzung zu prüfen und sich im Zweifel fachlich beraten zu lassen.