Viele Unternehmen setzen derzeit Microsoft Office 365 zur Verarbeitung ihrer Daten ein. Dass sie sich dabei aus datenschutzrechtlicher Sicht möglicherweise auf dünnem Eis bewegen, ist vielen gar nicht bewusst. Folgend wird daher ein Überblick über die Rechtslage aus Perspektive des Datenschutzes gegeben.

Ausgangslage: Office 365 als Auftragsdatenverarbeitung?

Grundsätzlich findet die Verarbeitung und Speicherung von Daten in der Microsoft-Cloud – wozu auch Office 365 zählt – mittlerweile wohl auf Servern innerhalb der Europäischen Union statt. Damit wäre eigentlich eine einfache Regelung nach den Vorschriften über die Verarbeitung von Daten im Auftrag (ADV) möglich. Nun ist aber in den allgemeinen Geschäftsbedingungen von Microsoft, die bei der Nutzung von Office 365 gelten, folgendes zu lesen:

„Kundendaten, die Microsoft im Namen des Kunden verarbeitet, dürfen in die USA oder ein anderes Land, in dem Microsoft oder ihre Verbundenen Unternehmen oder Vertragspartner Einrichtungen haben, übertragen, dort gespeichert und verarbeitet werden. Der Kunde ermächtigt Microsoft, eine solche Übertragung von Kundendaten in ein solches Land sowie die Speicherung und Verarbeitung von Kundendaten durchzuführen, um die Microsoft-Onlinedienste bereitzustellen.“

Microsoft erlaubt sich also, Daten in Drittstaaten zu verbringen, sie dort zu speichern und zu verarbeiten. Insbesondere erfolgt auch die Administration der Server wohl nicht ausschließlich von europäischem Boden aus. Diese Fernadministration stellt aus datenschutzrechtlicher Sicht jedoch eine Weitergabe der Daten dar, die nur erfolgen darf, wenn eine Rechtsgrundlage besteht.

Eine Ausgestaltung als Auftragsdatenverarbeitung ist nicht möglich, da nach geltendem deutschem Recht eine Auftragsdatenverarbeitung mit Dienstleistern außerhalb der Europäischen Union nicht möglich ist. In diesem Punkt unterscheidet sich das deutsche vom europäischen Datenschutzrecht, da letzteres eine Ausgestaltung als Auftragsdatenverarbeitung grundsätzlich zulässt.

Voraussetzungen der Weitergabe von Daten

Die rechtmäßige Weitergabe von personenbezogenen Daten in Länder außerhalb der Europäischen Union unterliegt dabei grundsätzlich zwei Voraussetzungen. Erstens muss eine Rechtsgrundlage für die Weitergabe bestehen. Dies kann eine gesetzliche Ermächtigung oder die Einwilligung der Betroffenen sein.

Zweitens muss beim Empfänger ein angemessenes Datenschutzniveau hergestellt werden. Aus Sicht der Europäischen Union gibt es zwar einige Staaten, bei denen ein angemessenes Datenschutzniveau formell anerkannt wird – hier entfällt die zweite Frage. Alle anderen Staaten, die nicht in der EU oder dem EWR gelegen sind, gewährleisten ein solches Niveau grundsätzlich aber nicht; dies gilt auch für die USA.

Gibt es eine Rechtsgrundlage?

Vor allem wird es in der Praxis aber fast ausgeschlossen sein, dass sich Unternehmen tatsächlich auf eine zweifelsfreie Einwilligung aller Betroffenen berufen können. Mag man das bei einer Nutzung mit ausschließlich internen Daten noch andenken, scheidet dies realistischer Weise aus, sobald sich auch Informationen über externe Personen in den verarbeiteten Daten befinden.

Von den gesetzlichen Erlaubnistatbeständen kommt einzig § 28 Abs. 1 Nr. 2 BDSG in Betracht. Erlaubt ist hiernach, was für eigene berechtigte Interessen erforderlich ist und die schutzwürdigen Interessen des Betroffenen nicht über Gebühr beeinträchtigt. In vielen Fällen wird man mit dieser Norm gut argumentieren können.

Die Vorschrift jedoch pauschal als Freibrief einzusetzen, ist gefährlich. Oft kann gar nicht vorab beurteilt werden, welches Interesse des Unternehmens eine Weitergabe erforderlich macht und warum dieses Interesse dasjenige der Betroffenen, dass ihre Daten nicht in unsicherere Drittstaaten gelangen, überwiegen soll. Immerhin steht den Unternehmen ja die Möglichkeit offen, eine europäische Cloud zu nutzen bzw. Office-Produkte lokal auf ihren Systemen zu betreiben.

Normaler oder besonderer Schutzbedarf der Daten

Weshalb also soll gerade diese eine Cloud-Lösung „erforderlich“ sein? Und wo ist der Anhaltspunkt dafür, dass Interessen aller Betroffenen den eigenen immer nachstehen müssen? Spätestens in dem Moment, in dem besondere Arten personenbezogener Daten betroffen sind, wird es juristisch eng.

Als allgemeine Regelung tritt § 28 Abs. 1 Nr. 2 BDSG hier hinter die sehr viel engeren § 28 Abs. 6 ff BDSG zurück. Eine Interessensabwägung ist nicht mehr zulässig. Mangels Rechtsgrundlage ist daher zumindest die Weitergabe von besonderen Arten personenbezogener Daten in Drittstaaten nicht zulässig.

Daten mit normalen Schutzbedarf dürften im Ergebnis also unter einfachen, überschaubaren Umständen in der internationalen Cloud gespeichert werden, Daten mit hohem Schutzbedarf dagegen nicht. Diese Differenzierung wird in der alltäglichen Praxis schnell sehr schwierig und nicht praktikabel, weshalb bei Einsatz entsprechender Lösungen Zurückhaltung anzuraten ist.

Deutsche Rechtslage hat Geltung

Zwar ist hier mittlerweile eine juristische Diskussion in Gang gekommen und es gibt gute Argumente dafür, dass (zumindest aus einer europarechtlichen Sicht) der Einsatz von internationalen Cloud-Lösungen im Grunde rechtkonform möglich sein sollte.

Leider ändern die Diskussionen nichts an der Tatsache, dass die bislang nicht aufgehobenen deutschen Normen hier einen engeren Rahmen vorgeben. Einen Rahmen, an den sich insbesondere Aufsichtsbehörden halten müssen. Der akademisch ausgefochtene Streit bringt also in der Praxis nicht sehr viel – solange sich die innerdeutsche Rechtslage nicht ändert; sei es durch Änderung des Gesetzes oder durch gerichtliche Entscheidung.

Fazit: Einsatz von Office 365 im Unternehmen ist nur sehr bedingt möglich

Die Nutzung von Office 365 und anderen Cloud-Anbietern, deren Datenverarbeitung oder Administration von außerhalb der Europäischen Union erfolgt, ist nach derzeit geltendem Recht nur bedingt möglich, insbesondere im Hinblick auf die Verarbeitung besonderer Arten personenbezogener Daten.

Dies könnte sich jedoch mit Einführung der europäischen Datenschutzgrundverordnung ändern, da diese eine europaweite Vollharmonisierung des Datenschutzrechts bewirkt und somit deutsche rechtliche Besonderheiten beseitigt würden.

Bitte bewerten Sie diese Inhalte!
[14 Bewertung(en)/ratings]