2023 wird wegweisend für DSGVO-Compliance

Microsoft als global größter Software-Hersteller verfügt mit den Applikationen des Office-Pakets über eine ungeheure Marktmacht, Microsoft Word ist das meistgenutzte Textverarbeitungsprogramm der Welt. Die Cloud-basierte Variante Microsoft 365 hat die Arbeitsplatz-Version bezüglich der Verkaufszahlen längst überholt. Dennoch entspricht die aktuelle Version immer noch nicht den strengen DSGVO-Vorgaben der Europäischen Union. Dies hat die “Arbeitsgruppe Microsoft-Onlinedienste” der Datenschutzkonferenz (DSK) im November 2022 zum wiederholten Male attestiert. In Kombination mit der Unwirksamkeit des “Privacy Shield”-Abkommens zwischen der EU und den USA nach dem Urteil des EuGH aus dem Jahr 2020 steigt der Compliance-Druck auf Unternehmen, Institutionen und Behörden erheblich an, sofern sie immer noch Services wie Microsoft 365, Teams oder andere US-Tools wie Google Analytics 4 einsetzen.

DSK-Arbeitsgruppe: “Keine substantiellen Verbesserungen”

Als Hauptgründe für die Zurückweisung des letzten Datenschutznachtrags von Microsoft gelten zum einen die Möglichkeit, dass US-Behörden weiterhin auf Daten von EU-Bürgern zugreifen können, wenn diese auf Server von US-amerikanischen Unternehmen übertragen und/oder gespeichert werden. Jedes US-Unternehmen hat nach dem Patriot Act von 2001 dies uneingeschränkt sicherzustellen, auch wenn die Daten bei einem deutschen Tochterunternehmen gehostet werden. Dieses kann sich zwar auf die DSGVO berufen, muss dann aber damit rechnen, dass der Mutterkonzern in den USA von den dortigen Gerichten verurteilt wird – eine echte Zwickmühle.

Weiterhin konnte Microsoft im vorgelegten Datenschutznachtrag immer noch nicht eindeutig erläutern, in welchen Fällen es als Auftragsverarbeiter und wann es als Verantwortlicher tätig ist. Zudem blieb erneut unklar, was Microsoft als “legitime Geschäftszwecke” bzw. “Geschäftstätigkeiten” bezeichnet und inwieweit diese als Rechtgrundlage für die Verarbeitung personenbezogener Daten gelten können. Aufgrund dieser Defizite blieb der AG Microsoft Onlinedienste schlichtweg nichts anderes übrig, als von dem Einsatz von Microsoft 365 und anderen US-Applikationen abzuraten.

Microsoft Deutschland reagierte auf diese Einschätzung erstaunlich harsch. Die Schlussfolgerungen werden als “grundlegend falsch” beurteilt, die Auslegung einiger deutscher Datenschutzbehörden sogar als “übermäßig risikoscheu” tituliert und als Bremse der erfolgreichen Digitalisierung Deutschlands bezeichnet. Dieser verschnupften Reaktion auf berechtigte Einwände ist kaum noch etwas hinzuzufügen.

2023 müssen Alternativen gesucht und Lücken geschlossen werden

Stecken IT-Verantwortliche von Unternehmen, die noch auf veraltete Software oder US-Applikationen setzen, weiterhin den Kopf in den Sand, kann es für sie im laufenden Jahr gefährlich und teuer werden. Spätestens jetzt ist es an der Zeit, den eigenen IT-Status Quo angesichts der Einschätzungen der DSK und deren Arbeitsgruppen kritisch zu analysieren, nach DSGVO-konformen Alternativen Ausschau zu halten und ohne weitere Verzögerung sicherheitskritische Lücken zu schließen.

Wer sich bisher noch nicht mit Beschwerden von Kunden oder anderen Personen auseinandersetzen oder in anderer Form Komplikationen erfahren musste, sollte sein Glück nicht noch weiter herausfordern. Der Beschluss der DSK vom 31. Januar 2023 bezüglich extraterritorialer Zugriffe endet mit der Ankündigung, sich für eine weitere Behandlung dieser Fragestellung im Europäischen Datenschutzausschuss einzusetzen. Darüber hinaus steht zu erwarten, dass die Kontrollen und resultierenden Präzedenzfälle im laufenden Jahr erheblich zunehmen werden. Immer mehr deutsche OLGe erkennen wettbewerbsrechtliche Ansprüche nach Verstößen gegen die DSGVO an – ein klarer Weckruf, jetzt tätig zu werden!

Erfreulicherweise existieren zahlreiche Applikationen im Open-Source-Bereich, aber auch auf dem europäischen Software-Markt, die alle strengen DSGVO-Vorgaben mustergültig erfüllen – und darüber hinaus auch in Punkto Benutzerfreundlichkeit und Kompatibilität mit bereits vorhandenen Dokumentformaten überzeugen. Sich darauf zu verlassen, dass Microsoft und andere US-Firmen endlich ihre Datenschutz-Versprechungen halten und für Rechtssicherheit sorgen, kann zu unangenehmen Konsequenzen und Sanktionen führen, die angesichts der steigenden Strafen einen existenzgefährdenden Umfang annehmen können. Auch Bildungsinstitute wie Schulen und Universitäten, die eine besondere Sorgfalt bezüglich schützenswerter personenbezogener Daten walten lassen müssen, sind jetzt dringend gefordert.           

Matthias Bollwein

ist Gründer von Uniki

Hinweis der Redaktion

Kommentierende Gastbeiträge spiegeln nicht die Meinung der Redaktion wider, sollen aber zur Diskussion beitragen. Mögliche Eigeninteressen der Gastautoren können die Inhalte beeinflussen.