Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz, DSK) hat heute eine Pressemitteilung zur datenschutzrechtlichen Bewertung von Office365 herausgegeben. Die DSK hatte einen „Arbeitskreis Verwaltung zur Auftragsverarbeitung bei Microsoft Office 365“ eingesetzt. Der Arbeitskreis hatte „die dem Einsatz des Produktes Microsoft Office 365 zu Grunde liegenden Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft-Onlinedienste (Data Processing Addendum / DPA) – jeweils Stand: Januar 2020“ geprüft. Dieser Arbeitskreis hat am 15. Juli 2020 eine Bewertung abgegeben. Diese Bewertung ergibt, „dass auf Basis der genannten Unterlagen kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich ist„.

Diese Bewertung wurde von der DSK „mehrheitlich zustimmend zur Kenntnis genommen„. Eine interessante Formulierung, die schon erahnen lässt, dass die Sach- und Rechtslage im Hinblick auf die Beurteilung wohl so eindeutig nicht ist.

Dennoch werden mit an Sicherheit grenzender Wahrscheinlichkeit in Kürze Headlines wie „Deutsche Datenschutzbehörden erklären Office365 für rechtswidrig“ durch die Lande ziehen. Damit werden zahlreiche Unternehmen, die Office365 im Einsatz haben, hochgradig verunsichert sein und sich fragen, ob ihnen nun bei jedwedem Einsatz ihrer Office365 Software ein Bußgeld der zuständigen Aufsichtsbehörde droht.

In Folge dessen werde ich diese Aussage der DSK hier nun einmal kurz einordnen:

Eine rechtshistorische Prüfung

Zunächst einmal ist festzuhalten, dass die geprüften Dokumente den „Stand Januar 2020“ aufweisen. Wer sich näher mit Microsoft Office365 Produkten in den letzten Jahren beschäftigt hat, der weiß, dass Microsoft seit Januar 2020 nicht nur Änderungen in den Verträgen, sondern vor allem auch umfängliche und erhebliche Änderungen in der Dokumentation vorgenommen hat. Das heißt, ob die OST und das DPA aus 2020 einen datenschutzgerechten Einsatz ermöglichen oder nicht, ist nur noch aus rechtshistorischer Sicht interessant.

Exkurs Dokumentation: Warum verweise ich hier auf die maßgeblichen Änderungen in der Dokumentation, wenn es doch um die OST und das DPA geht? Die Dokumentation der Software einschließlich der dort vorfindlichen Beschreibungen zu Funktionen wie Datenverarbeitungen der verschiedenen Applikationen ist durchaus wesentlich für die Bewertung der Verträge. Wie bei hochkomplexen Produkten üblich, sind die Verträge recht abstrakt gestaltet. In der Zusammenschau mit der jeweiligen Dokumentation können diese abstrakt gehaltenen vertraglichen Regelungen jedoch im Hinblick auf die jeweiligen Applikationen konkretisiert werden. Und während die Dokumentationen bis ins Jahr 2019 und in Teilen auch noch bis Anfang 2020 nahezu nichts sagend waren, lassen sich nun mehr tatsächlich detailliert sämtliche Funktionen und Datenverarbeitungen nachlesen. (Obacht! Nothings perfect. In Sachen Auffindbarkeit und damit Transparenz der Dokumentation kann MS immer noch hart nacharbeiten. Aber das scheint nach meinem Eindruck der letzten Monate auch stetig weiter der Fall zu sein.)

Es gibt kein Produkt „Office365“

Daneben ist es wirklich wichtig zu bemerken, dass es kein Produkt „Office365“ gibt, dass prüfbar wäre. Office365 ist ein Oberbegriff für eine ganze Produktgruppe. Und selbst dieser Oberbegriff ist inzwischen veraltet, weil es derzeit zwei Produktgruppen gibt, nämlich Office365 und Microsoft365. Innerhalb dieser beiden Produktgruppen gibt es zum einen zahlreiche Produkte bzw. Lizenzen – von Microsoft „Pläne“ genannt. (Business, E1, E3, E5 uvm.). Diese beiden Produktgruppen mit den jeweiligen Plänen gibt es dann noch branchenspezifisch angepasst. Für privat (Microsoft365 „zu Hause“), für Unternehmen, Behörden oder Bildungseinrichtungen. Und alle diese Pläne in den unterschiedlichen Produktgruppen werden in unterschiedlichen Grundkonfigurationen und mit unterschiedlichen Konfigurationsmöglichkeiten ausgeliefert.

Da lautet die Frage: Was ist denn hier überhaupt geprüft worden!? Ich weiß das bis heute nicht.

Nun kann man zu recht kritisieren, dass die unterschiedlichen Pläne und Produktgruppen auch im Hinblick auf den Datenschutz und die Datensicherheit (derzeit) mit unterschiedlich guten Grundkonfigurationen und Einstellungsmöglichkeiten ausgeliefert werden. Und ja, natürlich müssten alle Produkte schlicht schon in den Default-Einstellungen DSGVO-konform sein. Geschenkt.

Wenn die Behörden sich aber zu der Aussage hinreißen lassen, dass „kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich ist“, dann muss mindestens die Frage erlaubt sein, was genau denn da bitte geprüft wurde. Denn auch für die Prüfung „nur“ der Verträge und damit der datenschutzrechtlichen Seite des Ganzen, ist auch ein Blick auf die zu prüfende Software notwendig (oder ich hab meinen Job bisher nicht so richtig verstanden. Who knows.).

We only agree to disagree – Die Behörden sind sich eben nicht einig

Diese Bewertung wurde von der DSK „mehrheitlich zustimmend zur Kenntnis genommen„. Wie oben schon geschrieben steht, ist dies eine interessante Formulierung, die schon erahnen lässt, dass die Sach- und Rechtslage im Hinblick auf die Beurteilung wohl so eindeutig nicht ist.

Die Entscheidung der DSK erging äußert knapp. Nämlich 9:8. Das heißt, neun Aufsichtsbehörden stimmten der Wertung zu. Acht Aufsichtsbehörden konnten und wollten dieser Wertung nicht uneingeschränkt zustimmen.

Die Aufsichtsbehörden Baden-Württembergs, Bayerns, Hessens und des Saarlands stellten ausdrücklich klar, dass sie „die Bewertung des Arbeitskreises Verwaltung vom 15. Juli 2020 zwar als relevante Arbeitsgrundlage, aber noch nicht als entscheidungsreif angesehen“ haben. Eben diese Behörden brachten heute auch eine eigene Pressemitteilung heraus, in der sie das Vorstehende noch einmal betonten. Sie kritsierten unter anderem, dass eben Microsoft die Vertragsbedingungen zwischenzeitlich bereits zwei Mal überarbeitet hat und dass bisher keine förmliche Anhörung Microsoft zu den Bewertungen des Arbeitskreises erfolgt ist.

Einig sind sich die Behörden augenscheinlich (nur) dahingehend, dass Microsoft seine Produkte noch nicht zur Perfektion gebracht hat. (Okay, okay, das war nur spitz ausgedrückt.)

Und nun? – Eine weitere Arbeitsgruppe nimmt die Arbeit auf

Was sicher im Rahmen der Aufregung untergehen oder jedenfalls nicht hinreichend Beachtung finden wird, ist das die DSK einstimmig dafür votiert hat, einen neue Arbeitsgruppe unter der Führung der Aufsichtsbehörden Brandenburgs und Bayerns einzusetzen, die zeitnah mit Microft Gespräche aufnehmen soll.

Fazit

Auf Basis veralteter Vertragsdokumente und eines unklaren Prüfungsfokus ist der Arbeitskreis der DSK zu der Wertung gelangt, dass kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich ist. Dass einer solchen auf dieser Basis vorgenommenen Wertung gerade einmal neun von 17 Aufsichtsbehörden zugestimmt haben, finde ich jetzt nicht erstaunlich. Mich erstaunt viel eher, dass einer solchen pauschalen Wertung auf dieser Basis überhaupt eine Aufsichtsbehörde zugestimmt hat. (Zur Frage, ob Behörden „Produktwarnungen“ aussprechen dürfen und wenn ja, in welchen Umfang, haben wir uns schon hier auseinandergesetzt.)

Und nach all dem ist nun hoffentlich klar, dass der Einsatz von Office365 oder Microsoft365 eben nicht seit heute klar datenschutzwidrig ist.

Ebenso klar dürfte aber hoffentlich auch sein, dass man sich als Unternehmen leider (noch?) nicht darauf verlassen kann, dass die Produkte und Pläne von 365 einfach ohne jedwede Konfiguration der Grundeinstellungen oder jedenfalls die Nachprüfung dieser Konfiguration datenschutzkonform genutzt werden kann. [Sidenote: Obwohl ich letztens bei der Prüfung eines Microsoft365 Plan beinahe Bauklötze gestaunt habe, was alles per Default aus ist. Ich vermutete fast, ich sei gar nicht in einem MS-Admin-Center. ;)] Vielmehr muss ich mir als Unternehmen genau überlegen, welche Produkte und Pläne in welcher Konfiguration einen datenschutzkonformen Einsatz ermöglichen (könnten).

In diesem Sinne,

Augen auf bei dem Einsatz Ihrer Office-Software – gleich von welchem Hersteller.

PS: Nein, leider werde ich immer noch nicht von Microsoft für Äußerungen dieser Art bezahlt. Damn!

Die Hamburger Datenschutzbehörde hat heute morgen mittels einer Pressemitteilung bekannt gegeben, dass gegenüber der Modekette H&M ein Bußgeldbescheid in Höhe von 35,3 Millionen erlassen wurde.

Ruuuummmsss!

Die Gesellschaft H&M Hennes & Mauritz Online Shop A.B. & Co. KG hat ihren Sitz in Hamburg, so dass der Hamburger Beauftragte für Datenschutz und Informationssicherheit (HmbBfDI) für Datenschutzverstöße dieses Unternehmens zuständig ist. Konkret ging es um ein Servicecenter des Unternehmens in Nürnberg. Dort fand eine „Mitarbeiterbetreuung“ statt, wie man sie bis dato wohl nur aus Schleckerfilialen kannte. Seit dem Jahr 2014 wurden von Beschäftigten in großem Umfang private Lebensumstände dokumentiert. Dies meint, dass nicht nur Urlaubs- oder Krankentage erfasst wurden (soweit normal wie zur Abrechnung notwendig), sondern freundliche „Welcome Back Talks“ geführt wurden. Dabei wurden dann sowohl Urlaubserlebnisse wie auch Krankheitssymptome und Diagnosen dokumentiert. Ebenso fanden sich Aufzeichnungen zum Privatleben der Mitarbeiter, die die Führungskräfte wohl dem Flurfunk entnahmen, wie religöse Bekenntnisse oder familiäre Probleme. Damit das ganze seine Ordnung hat, wurden diese Erkenntnisse digital gespeichert und waren einem Kreis von bis zu 50 Führungskräften zugänglich. Schließlich wurden diese Erkenntnisse auch zu Auswertungen von individuellen Arbeitsleistungen sowie zur Erstellung von Profilen der Beschäftigten genutzt, um daraus Maßnahmen und Entscheidungen das Arbeitsverhältnis betreffend zu ergreifen.

Den ganzen Artikel lesen.

Die eine oder andere LeserIn entsinnt sich oder war gar als TeilnehmerIn dabei: Am 18. Juni 2020 griffen wir (Dr. Patrick Zeising und ich) das Thema „Mobiles Arbeiten aus arbeits- und datenschutzrechtlicher Sicht“ in Form eines Webinars auf. Das hat nicht nur viel Spaß gemacht, sondern kam bei den TeilnehmerInnen auch außerordentlich gut an. Jedenfalls wenn man dem vielen netten Feedback, das wir hinterher erhielten, Glauben schenken darf. (Danke nochmal dafür!)

Die Themen Mitbestimmung und Betriebsvereinbarungen konnten wir im Rahmen dieses Webinars jedoch nur streifen. Was lag und liegt also näher, genau dazu ein eigenes Webinar aufzusetzen? Nichts. Und so haben wir uns zusammengesetzt und uns inhaltlich das Folgende überlegt:

Mobiles Arbeiten aus kollektiv- und datenschutzrechtlicher Sicht

Homeoffice | Betriebsverfassungsgesetz | DSGVO – Wie passt das zusammen?

Webinar am 20. Oktober 2020 –  9:00 Uhr bis circa 11:00 Uhr

Den ganzen Artikel lesen.

Es gibt viele Gründe, weshalb ein Unternehmen über den Wechsel des Datenschutzbeauftragten (DSB) nachdenken kann. Etwa weil er oder sie früher engagierter oder nicht so kritisch war. Möglicherweise geht der oder die DSB bald in Rente und man möchte die Übergabe frühzeitig einleiten. Vielleicht sind Sie auch schlicht über die Sichtweise des DSB nicht froh, der Ihrer Ansicht nach zu wenig pragmatisch und zu sehr als Projektverhinderer auftritt? Oder aber der externe DSB hat zu wenig Zeit für Sie und Sie möchten deshalb wechseln.

Sicherlich gibt es noch viel mehr Erwägungen, die Unternehmen zu dem Schritt bringen, den Datenschutzbeauftragten zu wechseln. Neben der Überlegung, wer die Aufgabe als nächstes übernehmen soll, steht natürlich die große Frage: Kann man eine(n) Datenschutzbeauftragte(n) kündigen und unter welchen Voraussetzungen? Die typische Juristinnen-Antwort lautet bekanntlich: Es kommt darauf an. Zum einen darauf, ob der Datenschutzbeauftragte extern oder intern ist. Ein interner DSB ist im Unternehmen beschäftigt und hat meistens zusätzlich zu den im Arbeitsvertrag vereinbarten Tätigkeiten die Aufgabe übernommen, als Datenschutzbeauftragte(r) aktiv zu sein. Ein externer DSB dagegen ist bei einem Dienstleister beschäftigt und zumeist von mehreren Unternehmen als ihr DSB benannt worden. Zum anderen kommt es darauf an, ob die Benennung zum Datenschutzbeauftragten befristet erfolgt ist.

Wir schauen uns also vier Konstellationen für die Frage der Kündigung und/oder Abberufung an:

• Interne(r) Datenschutzbeauftragte(r) ohne Befristung
• Interne(r) Datenschutzbeauftragte(r) mit Befristung
• Externe(r) Datenschutzbeauftragte(r) mit Dienstleistungsvertrag ohne feste Laufzeit
• Externe(r) Datenschutzbeauftragte(r) mit Dienstleistungsvertrag mit fester Laufzeit

Zudem wird erörtert, ob Covid19 ein Grund sein kann, die Zusammenarbeit mit dem Datenschutzbeauftragten zu beenden.

Noch ein kleiner Exkurs zur Ausräumung eines häufigen Missverständnisses, dann geht es los:

Ein Datenschutzbeauftragter hat nicht die Aufgabe, das gesamte Unternehmen – quasi im Alleingang – datenschutzkonform aufzustellen. Er kontrolliert und unterstützt das Unternehmen dabei, dass sich das Unternehmen um den Datenschutz kümmert. Verantwortlich für die Einhaltung der Vorgaben des Datenschutzes ist nach wie vor das Unternehmen selbst.

Den ganzen Artikel lesen.

Man könnte sagen, es kommt, wie es kommen musste, auch wenn wir bis zuletzt hofften, dass es anders kommen möge.

In einem Monat hätte der 2. IT JuristInnen Tag am 02. Oktober 2020 mit Armgard von Reden als Keynote-Speakerin stattfinden sollen. Wir, Marlene Schreiber, Partnerin bei Haerting Rechtsanwälte und ich, hatten uns als Organisatorinnen nach der Auftaktveranstaltung am 25. Oktober 2019, die mit hochverdichtetem Informationsaustausch während der Sessions, Networking zwischen diesen sowie zwei tollen Keynotes von Saskia Esken und Dr. Brigitte Zypries gefüllt war und – so munkelt man – mindestens einen Jobwechsel zur Folge hatte ;),  bereits ganz außerordentlich auf die zweite Auflage gefreut. Schließlich hatten wir bereits während und auch nach dem IT JuristInnen Tag unglaublich tolles Feedback von den TeilnehmerInnen erhalten (siehe zB auf Twitter unter #ITJurT19).

Doch trotz aller Hoffnung und langer Überlegung kommen wir zu keinem anderen Ergebnis:

Wir müssen dem IT JuristInnen Tag 2020 eine SARS-CoV2-bedingte Absage erteilen.

Es ist  es schon nicht möglich, eine Networking-Veranstaltung wie die unsrige mit den Auflagen, die nach der SARS-CoV2-EindämmungsVO verpflichtend sind, so durchzuführen, dass der Charakter erhalten bliebe. Schließlich wäre die Teilnehmerzahl inklusive aller Organisatoren und Mitarbeiter auf 100 begrenzt, all diese Personen müssten stets 1,5 Meter Abstand halten, pro Person müssten wir Platz in den Veranstaltungsräumen von 10 qm garantieren, ständig müsste gelüftet werden können, Buffets wären nicht erlaubt, d.h. es müsste mit Abstand am Platz gegessen werden und der Networking-Drink am Abend dürfte auf keinen Fall ein Wein oder Bier sein, da in diesem Fall nur maximal 50 Personen erlaubt wären. Zugegeben, die letzte Regelung ließe sich nur allzu leicht umsetzen. Alle anderen Regelungen sorgen aber jedoch eben dafür, dass der Networking-Charakter der Veranstaltung nicht mehr vorhanden wäre. Auch lässt sich aus unserer Sicht eine solche Veranstaltung, anders als klassische Konferenzen, nicht in die digitale Welt übertragen.

Das alles ist schon Grund genug für eine Absage.

Darüber hinaus finden wir es auch nicht richtig, mit dem Herbst vor der Tür, dem anerkannten Übertragungsweg durch Aerosole und den grundlegende Empfehlungen des RKI möglichst Veranstaltungen bzw. Menschenansammlungen zu vermeiden, selbst eine solche Veranstaltung durchzuführen und damit möglicherweise zur weiteren SARS-CoV2-Verbreitung sowie zu weiteren Ausbrüchen von COVID-19 beizutragen.

Better safe than sorry.

Mit den schlechten Nachrichten kommen aber auch zu gleich die guten:

Der zweite IT JuristInnnen Tag wird am 10. September 2021 stattfinden!

Die Tickets behalten bis dahin ihre Gültigkeit. Selbstverständlich können die Tickets auch storniert werden (eine Stornierung ist ausschließlich via Eventbrite möglich), wir würden uns aber natürlich freuen, wenn wir uns alle einfach im nächsten Jahr wieder sehen würden. Dann ganz bestimmt mit vorhanden Impfstoffen, ohne Masken, ohne zwei Armeslängen Abstand und mit gemeinsamen Lachen am Buffet!

In diesem Sinne,

wir freuen uns schon jetzt auf Euch!

Nina Diercks & Marlene Schreiber