Datenschutzkonferenz: Microsoft 365 nicht datenschutzkonform

Der datenschutzkonforme Einsatz von Microsoft 365 ist nach Ansicht einer sehr knappen Mehrheit der Datenschutzaufsichtsbehörden in Deutschland (Datenschutzkonferenz) derzeit nicht möglich. Das hat die Datenschutzkonferenz am 15. Juli 2020 entschieden (vgl. Pressemitteilung vom 2. Oktober 2020:  https://www.lda.bayern.de/media/pm/20201002_office365.pdf). Allerdings haben 8 von 9 Aufsichtsbehörden – unter anderem das Bayerische Landesamt für Datenschutzaufsicht, das für Microsoft Deutschland zuständig ist –  diese kategorische Entscheidung nicht mitgetragen. Sie haben dagegen gestimmt.

Gleichwohl hat das BayLDA hervorgehoben, dass Microsoft 365 datenschutzrechtlichen Verbesserungsbedarf hat. Man könne jedoch nicht generell feststellen, dass ein datenschutzkonformer Einsatz von Microsoft 365 unmöglich ist.  Positiv ist, dass eine Arbeitsgruppe eingerichtet wurde, um in Kooperation mit dem Hersteller eine nachhaltige Verbesserung des Datenschutzes bei Microsoft 365 zu erreichen. Dabei sollen insbesondere auch die Vorgaben des EuGH Urteils (Schrems II) zum Drittlandtransfer berücksichtigt werden.
Die Entscheidung der Datenschutzkonferenz hat keine unmittelbare Bindungswirkung gegenüber den Anwendern, sondern ist rein als Empfehlung oder Information zu betrachten. Dies ergibt sich nicht zuletzt aus der Geschäftsordnung der Datenschutzkonferenz. Sie hat das Ziel eine einheitliche Anwendung des Datenschutzrechts sowie dessen Weiterentwicklung zu erreichen.

Ihre Kanzlei für IT-Recht und Datenschutz – Fachanwalt IT-Recht – München