Nachdem die Datenschutzkonferenz (DSK), bestehend aus den unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, der Feststellung seines Arbeitskreises, Microsoft Office 365 sei datenschutzkonform nicht anwendbar, mehrheitlich zugestimmt hatte, stellt sich die Frage, inwiefern hierdurch nun Rechtssicherheit geschaffen wurde und die Anwendung weiterhin genutzt werden darf oder lieber nicht weiter verwendet werden sollte.

Zuvor hatte der zuständige Arbeitskreis der Datenschutzkonferenz die dem Einsatz des Produktes Microsoft Office 365 zu Grunde liegenden Online Service Terms (OST) und die Datenschutzbestimmungen für Microsoft Onlinedienste (Data Processing Addendum/ DPA Stand: Januar 2020) überprüft.

Auch wenn die Datenschutzkonferenz ihrem Arbeitskreis hinsichtlich möglicher Verbesserungsvorschläge zustimmt, unterstützt sie das bisherige Gesamtergebnis insofern nicht, als dass er dieses lediglich «zur Kenntnis genommen hat» und es insgesamt «nicht differenziert genug» sei, so die Ansicht der Konferenz am 15.Juli 2020.

Daneben gibt die Konferenz zu bedenken, dass die überprüften OST zwischenzeitlich mehrfach überarbeitet, sowie erhebliche Änderungen in der Dokumentation der Software vorgenommen wurden. Letztere sind aufgrund der enthaltenen Beschreibungen zu Funktionen wie Datenverarbeitungen der verschiedenen Applikationen auch für die Beurteilung der Verträge (OST) relevant, da sie diese jeweils konkretisieren können. Zudem sei die jüngste EuGH Rechtsprechung bei der Ergebnisfindung noch nicht berücksichtigt worden, so die DSK.

Festgehalten werden kann daher, dass die Bewertungen des Arbeitskreises nicht vergebens sind, denn sie dienen als erhebliche Grundlage gerade auch für die anstehenden Verhandlungen der neu eingesetzten Arbeitsgruppe der Datenschutzkonferenz mit Microsoft. Inwiefern diese zu Verbesserungen aus datenschutzrechtlicher Sicht führen werden, bleibt abzuwarten. Aufgrund der dargestellten (nicht eindeutigen) Äußerungen der DSK bleiben die Entwicklungen in Sachen Datenschutz indes abzuwarten. Klar ist aber auch, dass der Einsatz von Microsoft Office 365 auch nach der «Entscheidung» der DSK nicht rechtsicher als rechtswidrig eingestuft werden kann. Aber eben auch nicht als 100% rechtskonform.

Besonders vor dem Hintergrund des EuGH Urteils zur internationalen Datenübermittlung (16.Juli 2020; C-311/18 Schrems II) sehen die einzelnen Aufsichtsbehörden der Länder u.a. aus Baden-Württemberg, Bayern und Hessen Handlungsbedarf um Microsoft Office 365 datenschutzkonform nutzen zu können. Zumindest dieser Nachbesserungsbedarf auf Seiten des US-Anbieters dürfte dringend erforderlich sein, um die Nutzbarkeit für den Endverbraucher einigermaßen datenschutzkonform zu gestalten. Ob sich hier zeitnahe Ergebnisse erzielen lassen, bleibt aber zu bezweifeln.