DA+

Aufsatz : Microsoft 365 – Die Anforderungen der Datenschutzkonferenz auf dem rechtlichen Prüfstand : aus der RDV 1/2023 Seite 35 bis 40

Die deutschen Datenschutzaufsichtsbehörden haben Ende November 2022 eine Stellungnahme zu Microsoft 365 veröffentlicht.[1] Microsoft-Kunden können danach einen rechtmäßigen Einsatz der Software nicht nachweisen. Mit anderen Worten: Microsoft 365 ist rechtswidrig. Nach dem Willen der Aufsicht soll hierzulande die Nutzung von Microsoftprodukten also faktisch eingestellt werden. Nehmen Deutschlands Unternehmen, Schulen, Städte und Gemeinden, Gerichte und Gesetzgebungseinrichtungen die Empfehlung zum digitalen Lockdown ernst, dann steht hier faktisch alles still, denn es gibt keine alternative Software, die in der Fläche einsetzbar wäre. Der Beschluss aus dem November wiederholt eine Bewertung eines Arbeitskreises der Datenschutzkonferenz (DSK) von 2020.[2] Allerdings gab es damals Widerspruch aus den eigenen Reihen. Den Datenschutzbehörden von Baden-Württemberg, Bayern, Hessen und des Saarlandes war die Bewertung zu undifferenziert. Vor allem seien nur (veraltete) Vertragsbestimmungen von Microsoft zur Entscheidungsgrundlage gemacht worden. Es habe keine eigenständige Prüfung der Technik stattgefunden. Zum anderen seien rechtsstaatliche Grundsätze verletzt worden, da Microsoft nicht förmlich angehört worden sei. Nun bekräftigt das Gremium einstimmig ihr „Microsoft-Verbot“.[3] Der Fall braucht einen konstruktiven Ausgang und verdient eine grundlegende Einordnung.

I. Die Vorgaben der DS-GVO

Europa hat 2018 die Datenschutz-Grundverordnung[4] (DS-GVO) ins Werk gesetzt und eine belastbare Grundlage für Datenverarbeitungen geschaffen. Das Gesetz ist viel besser als sein Ruf. Es gibt schon in seinem ersten Artikel weise abgewogene verbindliche Maßgaben vor. Erstens: Das Datenschutzrecht schützt natürliche Personen bei der Verarbeitung ihrer Daten. Zweitens: Das Datenschutzrecht schützt die Wirtschaft bei der Verarbeitung der Daten zu deren freien, wirtschaftlichen Verkehr im Binnenmarkt. Ergänzend legt das Recht fest: Datenschutz genießt keinen Vorrang und Datenverarbeitung ist dem Dienst an der Menschheit verpflichtet. Das Recht auf Datenschutz muss fair abgewogen werden, mit den anderen Europäischen Grundrechten. Das gilt insbesondere für die wirtschaftlichen Freiheiten im Binnenmarkt, die in praktische Konkordanz, also in einen harmonischen Wohlklang mit dem Datenschutz gebracht werden müssen. Weitere und entstehende neue Datenakte wie die Entwürfe der KI-Verordnung[5] oder des Data Act[6] unterstützen den Ansatz des vielfältigen Einsatzes von Daten zum Wohl von Gesellschaft, Wirtschaft und Staat auf Basis der DS-GVO.

II. Die Praxis der Datenschutzaufsichtsbehörden

Das Recht wirkt in seiner Anwendung. Der Gesetzgeber der DS-GVO hat die Überwachung ihrer Anwendung Europas Datenschutzaufsichtsbehörden überantwortet.[7] Diese rechtlich unabhängigen, aber der gerichtlichen Kontrolle voll unterworfenen Behörden, sollen im europäischen Verwaltungsverbund trotz Unabhängigkeit einheitlich entscheiden. Sie tragen wegen der hohen Bußgelder, die sie verhängen können, eine enorme Verantwortung für die Anwendung der DS-GVO. Heute sind die Gefahren des Überwachungskapitalismus so real wie nie. Wer behauptet, sie hätten sich nicht schon realisiert, ist naiv. Deshalb – so der Auftrag der DS-GVO – müssen die der Anwendung des Rechts verpflichteten Datenschutzaufsichtsbehörden Risiken abwägen. Wie ist das im Fall Microsoft 365 geschehen? Die DS-GVO statuiert für Unternehmen Rechenschaftspflichten über deren Datenverarbeitung.[8] Sie erzeugen Transparenz als Grundlage verantwortlichen Handelns und ermöglichen der Aufsicht ihre Prüfungen. Zu den wesentlichen Ergebnissen der DSK im November gehörte, dass Verantwortliche ihrer Rechenschaftspflicht nach der DS-GVO nicht nachkommen können.[9] Die Rechenschaftspflicht verlangt, dass Unternehmen und Behörden lückenlos belegen können, dass sie Daten rechtmäßig verarbeiten. Wie sie diese Pflicht erfüllen, legt die DS-GVO jedoch nicht fest. Für gewöhnlich reicht es aus, Vertragsunterlagen zu prüfen.[10] Allerdings sind im Fall Microsoft die Vertragsbedingungen aus Sicht der Behörde nicht transparent genug. Microsoft beschreibe den Umgang mit Kundendaten und die Verarbeitungszwecke nicht hinreichend. Auch die technischen und organisatorischen Maßnahmen zum Schutz der Daten sind aus Sicht der Behörden nicht ausreichend. Unklar bleibe auch, welche Unterauftragnehmer Microsoft beauftragt.[11] Schließlich bleibt aus Sicht der Behörden ein unlösbares Problem: Microsoft muss auch Daten in den USA und anderen Ländern außerhalb der EU verarbeiten, um sein Produkt anzubieten.

Betrachtet man den behördlichen Prüfungsmaßstab rechtlich, dann zeigt sich, dass die Bewertung der Datenschutzkonferenz auch im zweiten Anlauf auf eine vollständige Prüfung von Microsoft 365 verzichtet. Grundlage der Bewertung ist ein von Microsoft im September 2022 veröffentlichtes Vertragsdokument. Eine technische Prüfung der Behörde, die Datenflüsse und technischen Maßnahmen wie Verschlüsselung oder Pseudonymisierung hätte berücksichtigen müssen, gibt es nicht. Ebenso wenig wurde ermittelt, ob und wenn ja, welche personenbezogenen Daten durch wen verarbeitet werden. Auch in rechtlicher Hinsicht haben sich die Aufsichtsbehörden nur mit ausgewählten Themen befasst. Etwa die zentrale Frage, ob Nutzerdaten bei Videokonferenzen per Microsoft Teams oder Skype durch das Fernmeldegeheimnis geschützt sind, bleibt unbeantwortet.[12] Bemerkenswert ist auch der Zeitpunkt der Veröffentlichung. Zu Recht weist die DSK auf eine Entscheidung des europäischen Gerichtshofs zur Datenübermittlung in die USA hin. In dem Verfahren „Schrems II“[13] erklärte der EuGH das Abkommen für den Datentransfer „Privacy Shield“ für ungültig. Die EU-Kommission steht kurz vor dem Abschluss eines neuen Abkommens, das den Datentransfer zwischen der EU und den USA legitimiert. Anfang Oktober unterzeichnete der US-Präsident eine sog. Executive Order, die die Grundlage für ein angemessenes Schutzniveau nach europäischem Maßstab bilden soll.[14] Der Ball liegt nun bei der EU-Kommission, die kurzfristig einen neuen Angemessenheitsbeschluss fassen wird. Auch Microsoft ist aktiv. Man hat für Unternehmenskunden und Behörden angekündigt, bis Ende des Jahres eine EU-Datengrenze, die sog. EU-Data Boundary, zu schaffen. Microsoft sichert vertraglich zu, dass die Daten innerhalb der EU verarbeitet werden und über die gesetzlichen Anforderungen hinaus mehr Transparenz geschaffen wird.[15]

Deutschlands Datenschutzaufsichtsbehörden sind nach dem Grundgesetz beim Vollzug des Rechts unmittelbar an die Vorgaben der Verfassung im Rechtsstaat gebunden. Welche Rechtsnatur hat die Verlautbarung des Gremiums? Die DSK ist ein loser Zusammenschluss der unabhängigen Datenschutzaufsicht des Bundes und der Länder. Zwar regelt das Datenschutzrecht, dass die Aufsichtsbehörden zusammenarbeiten sollen. Zuständigkeiten, Aufgaben oder Befugnisse der DSK sind jedoch nicht geregelt. Es gibt lediglich eine behördeninterne Geschäftsordnung zur Arbeitsweise.[16] Trotz der föderalen Struktur und der Unabhängigkeit einer jeden Aufsichtsbehörde sollen die Behörden zusammenarbeiten, um einen einheitlichen Vollzug des Datenschutzrechts zu erreichen.

Das gelang in der Vergangenheit nicht immer. Nicht nur zu Microsoft 365 gab es Meinungsverschiedenheiten. Auch bei Videokonferenzen während der Pandemie oder den Anforderungen bei Websites sind Unternehmen und Behörden je nach Bundesland unterschiedlichen Bewertungen ausgesetzt. Das führt zu Rechtsunsicherheit bei den Verantwortlichen und beeinflusst den Wettbewerb. Aus diesen Gründen wird häufig ins Spiel gebracht, die Aufsichtskompetenz in Deutschland für den nicht-öffentlichen Bereich umzugestalten, etwa sie zu zentralisieren. Der Koalitionsvertrag[17] setzt demgegenüber darauf, die DSK zu institutionalisieren, damit sie einheitlich rechtlich verbindliche Beschlüsse fassen kann. Solange das Bundesdatenschutzgesetz keine Regelungen zur Datenschutzkonferenz enthält, hat der lose Zusammenschluss keinerlei rechtlich anerkannte Befugnisse.[18]

In diesem Kontext drängt sich die Frage auf, ob die DSK rechtsstaatliche Grundsätze einhält. Eine behördliche Stellungnahme, in der Microsoft 365 im Ergebnis als rechtswidrig bewertet wird, kommt einer Produktwarnung gleich. Eine negative Bewertung durch staatliche Behörden kann erhebliche Folgen für Unternehmen haben. Wie gravierend die Konsequenzen sein können, hat zuletzt der Fall des russischen Herstellers Kaspersky gezeigt.[19] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte vor dem Einsatz der Virenschutzsoftware und empfahl Unternehmen und Behörden, auf alternative Produkte zu setzen. Aus Sicht des BSI besteht das Risiko, dass russische IT-Hersteller gegen ihren Willen gezwungen werden könnten, Cyberangriffe gegen die EU durchzuführen. Kaspersky wehrte sich erfolglos gegen diese amtliche Produktwarnung. Das Verwaltungsgericht Köln lehnte einen Eilantrag des Unternehmens ab und entschied, dass das BSI warnen durfte.[20] So ist es richtig gelaufen. Der Gesetzgeber hat das BSI ausdrücklich ermächtigt, die Öffentlichkeit bei Sicherheitslücken und Gefährdungen zu warnen und ein Gericht hat den Fall geprüft. Eine vergleichbare Regelung fehlt aber für Datenschutzaufsichtsbehörden, erst recht für die rechtlich nicht existente DSK. Zwar verweisen einige Behördenvertreter auf die DS-GVO, nach der die Aufsichtsbehörden befugt sind, sich mit Stellungnahmen an die Öffentlichkeit zu wenden. Dies gilt jedoch nur, wenn die Öffentlichkeitsarbeit im Einklang mit nationalem Recht steht. Das dürfte nicht der Fall sein, zumal auch das Bundesverfassungsgericht mehrfach klargestellt hat, dass eine Produktwarnung gezielt die Entscheidung der Marktteilnehmer beeinflusst und die Wettbewerbssituation nachteilig verändert.[21] Dies stellt einen gravierenden Eingriff in die unternehmerischen Grundrechte dar und ist nur dann rechtmäßig, wenn der Gesetzgeber die Behörde dazu ermächtigt hat. Die Produktwarnung beeinträchtigt mittelbar auch Microsoftkunden, also Unternehmen und Behörden, denn sie müssen als Verantwortliche damit rechnen, dass die zuständige Behörde Anordnungen erlässt und Bußgelder gegen Unternehmen verhängt. Zudem haben sie in der Vergangenheit Investitionsentscheidungen getroffen und sich – nicht zuletzt mangels Alternativen – vertraglich an Microsoft gebunden.

Eine zentrale Rolle kommt auch Microsoft zu. Das Unternehmen hat die Bewertung der DSK nicht auf sich beruhen lassen. Noch am Tag des Beschlusses wurde eine Gegenstellungnahme[22] veröffentlicht. Der Tech-Gigant stellt klar, dass mehr als nur die Mindestanforderungen der DS-GVO erfüllt werden, um die Kundendaten weltweit zu schützen. Microsoft verweist nicht nur auf internationale Zertifizierungen und vertragliche Zusicherungen, sondern kritisiert die Rechtsansicht der Behörden als technologiefeindlich und überzogen. Außerdem wird den deutschen Behörden vorgeworfen, dass sie sich europaweit auf besonders strenge Einzelmeinungen festlegen. Von den übrigen europäischen Aufsichtsbehörden werden sie in der Tat nicht geteilt und es fehlt an einer Position des von der DS-GVO im Gegensatz zur DSK institutionalisierten gemeinsamen Behörde, dem Europäischen Datenschutzausschuss (EDSA), dem die deutschen Behörden angehören.

III. Kritische Bewertung des Vorgehens der DSK

Das Verfahren um Microsoft hätte anders laufen können, und zwar konstruktiv. Die DS-GVO regelt für grenzüberschreitende Sachverhalte wie bei der Nutzung von Cloud-Diensten, dass die europäischen Datenschutzaufsichtsbehörden in einem Verfahren gemeinsam zu einer einheitlichen Wertung gelangen. Die federführende Aufsichtsbehörde schlägt eine Rechtsauffassung vor, der die anderen folgen können. Sind sich die Aufsichtsbehörden nicht einig, entscheidet der EDSA. Nur so wird gewährleistet, dass ein einheitlicher Rechtsrahmen auch einheitlich in der gesamten EU vollzogen wird. Dieses Kohärenzverfahren hätte auch im Fall von Microsoft 365 durchgeführt werden sollen. Dabei spielt es keine Rolle, ob Microsoft die Daten für eigene Zwecke verarbeitet oder im Auftrag von Unternehmen und Behörden. Zielführend wäre es auch gewesen, wenn die Aufsichtsbehörden nicht nur wichtige Meilensteine in punkto Drittstaatentransfer, wie dem neuen EU-US-Datentransferabkommen oder die EU-Datengrenze abgewartet hätten, sondern auch die Sach- und Rechtslage vollumfänglich geprüft hätten. Die Rechts- und Gesetzesbindung der Verwaltung bindet die Behörden an den Grundsatz der Amtsermittlung.[23]Behörden müssen einen Sachverhalt vollumfänglich ermitteln, bevor sie insbesondere belastende Maßnahmen ergreifen. Erst wenn diese Pflicht erfüllt ist, können und müssen sie das geltende Recht anwenden. Neben dem allgemeinen Datenschutzrecht ist auch das Telekommunikations- und Telemedienrecht zu berücksichtigen. Kommt eine Behörde zum Ergebnis, dass europäisches Recht unterschiedlich ausgelegt werden kann, muss sie darauf hinwirken, dass Auslegungsfragen vom EuGH beantwortet werden. Einzelmeinungen oder Rosinenpickerei liefern am Ende nur weiteren Diskussionsstoff für eine Zentralisierung der Behörden. Sie delegitimieren sich und das Datenschutzsystem, auf das Europa im Kampf gegen den Plattformkapitalismus angewiesen ist.

IV. Lösungsansätze

Es ist ein modernes und konstruktives Selbstverständnis der Behörden gefragt. Die DS-GVO verleiht den Behörden nicht nur Sanktionsrechte, sondern regelt auch einen Beratungsauftrag.[24] Es ist zunehmend Präventionsarbeit gefordert. Repressives Handeln hilft wenig, denn Ziel muss es sein, Datenschutzverstöße im Vorfeld zu verhindern, statt im Nachhinein zu sanktionieren. Das gelingt nur, wenn Behörden ihre Aufgabe als Berater und Begleiter der Digitalisierung verstehen. Dafür gibt es Beispiele. Wie konstruktive Behördenarbeit aussehen kann, stellte jüngst Baden-Württemberg unter Beweis. Der dortige Landesbeauftragte für den Datenschutz und die Informationsfreiheit genehmigte einen Code of Conduct mit dem Titel „Trusted Data Processor“.[25] Auftragsverarbeiter wie Microsoft können sich dem Standard unterwerfen und somit nachvollziehbar die Datenschutzkonformität ihrer Produkte belegen. Das entspricht dem Willen der DS-GVO, die auf solche Verfahren setzt. Es hilft auch Unternehmen und Behörden, denn sie können zuverlässige Anbieter auswählen. Insgesamt gilt es, mit Wirtschaft, Wissenschaft und Gesellschaft konstruktiv zusammenzuarbeiten. Die Stiftung Datenschutz des Bundes etwa hat jüngst „Grundsatzregeln für die Anonymisierung personenbezogener Daten“ und einen zugehörigen Praxisleitfaden für die Durchführung der Anonymisierung veröffentlicht.[26] Die Praxis erhält damit konkrete Handreichungen. Im Rahmen des Digital Gipfels der Bundesregierung hat die Fokusgruppe Datenschutz des Bundesinnenministeriums schon 2019 einen entsprechenden Ansatz zur Pseudonymisierung vorgelegt.[27] Vertreter von Aufsichtsbehörden waren auch hier konstruktiv beteiligt.

V. Fazit

Mit der Digitalisierung leben bedeutet schon in der Gegenwart mit einer sich dynamisch entwickelnden Zukunftstechnologie leben. Jede neue Technik von der Eisenbahn über die Autofahrt bis zum Fliegen verlangt von der Menschheit ab, Risiken zu kalkulieren, wenn sie sich für deren Einsatz entscheidet. Das bedeutet, Vorkehrungen gegen vorhersehbare Gefahren sorgfältig zu treffen und mit unvermeidbaren Restrisiken zu leben. Wir beklagen in diesem Wissen weltweit jährlich weit über eine Million Verkehrstote. Auch Datenverarbeitung ist Risikotechnologie. Ein Smartphoneprozessor rechnet etwa deutlich über 100 Millionen Mal schneller als der Apollo 11 Guidance Computer, der vor über 50 Jahren in der Mondrakete verbaut war. Auch wenn damit heute jedes Kind mehr Computertechnik einsetzt, als eine Apollo 11 Rakete, kommt die neue Technik nicht als Raketenwissenschaft daher. Wir erleben Datenverarbeitung als in harmlose Alltagsgegenstände verpackt und füttern sie von Siri über Echo mit Privatwissen, das im Weltwissen der Nutzer aufgeht. Wir speisen das Netz über vernetzte Endgeräte, vom Rasenmäher, über Smartphones bis hin zu vernetzten Autos mit persönlichen Daten in Ton, Text, Bild und Standorten. Weil die Technik so einfach bedient werden kann, aber rechtlich so komplex ist, sieht, spürt und beachtet man deren Risiken so wenig, wie Madame Curie die Wirkung von Röntgenstrahlen. Ohne deren Einsatz wollen wir aber auch nicht leben. Wir treffen sorgsam Vorkehrungen gegen ihr Risiko.

Die wenigsten werden auch auf datengestützte Navigation zur Fortbewegung oder gar auf die Nutzung einer Schreib- oder Videokonferenzsoftware verzichten wollen. Auf Microsoft 365 können wir aktuell nicht verzichten, wenn das digitale Leben weitergehen soll. Die Europäische Union hat sich dazu entschieden, mit einer eigenen Datenstrategie[28] für den Binnenmarkt, ihren Platz auf der digitalwirtschaftlichen Weltkarte einzunehmen. Derzeit behaupten sich dort insbesondere die USA, China und Indien. Wir machen uns im Bewusstsein der damit verbundenen Risiken zum Baustein im Internet der Menschen und der Dinge. Mit jedem Foto, das wir machen, und mit jedem Schritt, den wir mit dem Handy in der Tasche gehen, übertragen wir eine Vielzahl von Daten, die weltweit genutzt werden können. Wir spiegeln unsere körperliche Existenz in der Welt der Daten und machen uns transparent. Die Menschen nutzen im Netz ihre Daten und damit sich selbst zum Wohle und auf das Risiko aller. Das ist ein auf Gegenseitigkeit fußendes weltweites Zusammenwirken. Weil sich die Menschheit nichts schenkt, muss sie die Tech-Giganten und die Onlinewirtschaft, die Infrastruktur und die Welt der Daten mit den Daten der Menschen beherrschen und Nutzen mit ihren Daten zahlen. So ist es gekommen und so ist es grundsätzlich von den Menschen gewollt und rechtlich entschieden. Dass es risikolos ist, wenn man mit seiner Persönlichkeit zahlt, kann bei Licht betrachtet niemand glauben. Wir können, wollen und werden deswegen aber nicht auf unsere Grundrechte verzichten. Die deutschen Datenschutzaufsichtsbehörden haben einen wichtigen Anteil an der Herstellung der Ausgewogenheit des Systems zu deren Schutz. Sie müssen alle Ziele und Interessen ausgewogen wahren, die die Erwägungsgründe der DS-GVO benennen und die die neuen Datenakte betonen. Die Aufsichtsbehörden sollten ihre unabhängige Stellung im Lichte eines digitalen Europas neu justieren. Der europäische Gesetzgeber strebt mit der digitalen Datenstrategie einen Binnenmarkt an, in dem die oberste Prämisse nicht die Datenminimierung oder -vermeidung, sondern bei Einhaltung der DS-GVO die Datennutzung zum Wohle der Allgemeinheit ist. Das erfordert ein Umdenken: Weniger diffuse Produktwarnung und mehr Beratung zur datenschutzkonformen Datennutzung.

Kristin Benedikt Richterin am Verwaltungsgericht Regensburg, Datenschutzbeauftragte des Gerichts und gehört dem Vorstand der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. an

Thomas Kranig Präsident des Bayerischen Landesamtes für Datenschutzaufsicht a.D., das er von 2011 bis 2020 leitete und war zuvor Richter am Verwaltungsgericht Ansbach

Prof. Dr. Rolf Schwartmann forscht zu Medienrecht, Daten und Digitalisierung an der TH Köln und leitet dort die Kölner Forschungsstelle für Medienrecht und steht dem Vorstand der GDD vor. Er ist Mitherausgeber der Fachzeitschrift Recht der Datenverarbeitung (RDV) und der Heidelberger Kommentare zu DS-GVO/BDSG und TTDSG

* Dies ist eine um Fußnoten ergänzte Fassung eines in der F.A.Z. vom 13.12.2022 erschienen Beitrags derselben Autoren.

[1] DSK Festlegung „Microsoft-Onlinedienste“ v. 24.11.2022, abrufbar unter: https://datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365_zusammenfassung.pdf (zuletzt abgerufen am 13.12.2022).

[2] DSK Bewertung des DSK-AK Verwaltung zur Auftragsverarbeitung bei Microsoft Office 365 v. 20.09.2020.

[3] Vgl. Datenfreiheit! – Der LfDI-Podcast, Folge 25 „Transparenzgesetz, MS 365, Verhaltensregeln“, abrufbar unter: https://www.baden-wuerttemberg.datenschutz.de/datenfreiheit/ (zuletzt abgerufen am 24.01.2023).

[4] Verordnung Nr. 2016/679 des Europaparlaments und Rates v. 27.04.2016 (Amtsblatt L 119 v. 04.05.2016, S. 1, ber. Amtsblatt L 314 v. 22.11.2016, S. 72, Amtsblatt L 127 v. 23.05.2018, S. 2) (zuletzt abgerufen am 13.12.2022)

[5] Entwurf für eine Verordnung zur Festlegung und harmonisierter Vorschriften für Künstliche Intelligenz („KI-VO“), COM(2021) 206 final, abrufbar unter: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A52021PC0206 (zuletzt abgerufen am 13.12.2022).

[6] Entwurf einer neuen Verordnung zur Regelung des fairen Zugangs und der Nutzung von Daten („Data Act“), COM(2022)68 final, abrufbar unter: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM%3A2022%3A68%3AFIN (zuletzt abgerufen am 13.12.2022).

[7] HK DS-GVO/BDSG/Schwartmann/Keppeler, Art. 77, Rn. 1 f.

[8] HK DS-GVO/BDSG/Jaspers/Schwartmann/Hermann, Art. 5, Rn. 80 f.

[9] DSK Festlegung „Microsoft-Onlinedienste“ v. 24.11.2022, S. 3 abrufbar unter: https://datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365_zusammenfassung.pdf (zuletzt abgerufen am 13.12.2022).

[10] HK DS-GVO/BDSG/Jaspers/Schwartmann/Hermann, Art. 5, Rn. 85 f.

[11] DSK Festlegung „Microsoft-Onlinedienste“ v. 24.11.2022, S. 6, abrufbar unter: https://datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365_zusammenfassung.pdf (zuletzt abgerufen am 13.12.2022).

[12] DSK Festlegung „Microsoft-Onlinedienste“ v. 24.11.2022, S. 2 abrufbar unter: https://datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365_zusammenfassung.pdf (zuletzt abgerufen am 13.12.2022).

[13] EuGH, Urt. v. 16.07.2020 – C-311/18 – DPC/Facebook Ireland Ltd. u. Schrems („Schrems II“), abrufbar unter: https://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=DE (zuletzt abgerufen am 13.12.2022)

[14] Vgl. Factsheet Trans-Atlantic Data Privacy Framework, abrufbar unter: https://ec.europa.eu/commission/presscorner/detail/en/FS_22_2100

[15] Mitteilung auf der Microsoft-Website v. 25.11.2022, abrufbar unter https://news.microsoft.com/wp-content/uploads/prod/sites/40/2022/11/2022.11_Stellungnahme-MS-zu-DSK_25NOV2022_FINAL.pdf (zuletzt abgerufen am 24.01.2023)

[16] DSK Geschäftsordnung zur Arbeitsweise zuletzt geändert am 29.09.2021, abrufbar unter: https://www.datenschutzkonferenz-online.de/media/dsk/Geschaeftsordnung_DSK_09-2021.pdf (zuletzt abgerufen am 13.12.2022).

[17] Koalitionsvertrag der Bundesregierung (WP 2021-2025), S. 17, abrufbar unter: https://www.bundesregierung.de/resource/blob/974430/1990812/04221173eef9a6720059cc353d759a2b/2021-12-10-koav2021-data.pdf?download=1 (zuletzt abgerufen am 13.12.2022).

[18] Vgl. DataAgenda Podcast, Folge 26 „Microsoft 365 – Die Anforderungen der DSK auf dem rechtlichen Prüfstand“, abrufbar unter: https://dataagenda.de/folge-26-microsoft-365-die-anforderungen-der-dsk-auf-dem-rechtlichenpruefstand/ (zuletzt abgerufen am 24.01.2023).

[19] BSI-Warnung gem. § 7 BSIG zur Virenschutzsoftware des Herstellers Kaspersky, abrufbar unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Warnungen-nach-P7_BSIG/Archiv/2022/BSI_W-004-220315.pdf?__blob=publicationFile&v=2 (zuletzt abgerufen am 13.12.2022).

[20] Beschl. des VG Köln v. 01.04.2022, Az. 1 L 466/22, abrufbar unter: https://openjur.de/u/2392708.html (zuletzt abgerufen am 13.12.2022).

[21] Vgl. BVerfGE 105, 279 ff. = NJW 2002, 2626 ff. (Warnung vor Jugendsekte), BVerfGE 105, 252 ff. = NJW 2002, 2621 ff. (Warnung vor glykolhaltigem Wein)

[22] Mitteilung auf der Microsoft-Website v. 25.11.2022, abrufbar unter https://news.microsoft.com/wp-content/uploads/prod/sites/40/2022/11/2022.11_Stellungnahme-MS-zu-DSK_25NOV2022_FINAL.pdf (zuletzt abgerufen am: 24.01.2023)

[23] Vgl. DataAgenda Podcast, Folge 26 „Microsoft 365 – Die Anforderungen der DSK auf dem rechtlichen Prüfstand“, abrufbar unter: https://dataagenda.de/folge-26-microsoft-365-die-anforderungen-der-dsk-auf-dem-rechtlichen-pruefstand/ (zuletzt abgerufen am 24.01.2023) und Folge 21 „Grenzen des Informationshandels der Datenschutzaufsicht“, abrufbar unter: https:// dataagenda.podigee.io/22-datenschutzaufsicht (zuletzt aufgerufen am 24.01.2023).

[24] Vgl. BfDI, DS-GVO – BDSG, Texte und Erläuterungen, S. 10, abrufbar unter: https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Broschueren/INFO1.pdf?__blob=publicationFile&v=14 (zuletzt abgerufen am 24.01.2023).

[25] Pressemitteilung des LfDI Baden-Württemberg vom 18.11.2022, abrufbar unter: https://www.baden-wuerttemberg.datenschutz.de/verhaltensregeln-fuer-auftragsverarbeiter/ (zuletzt abgerufen am 24.01.2023); Mitteilung auf der GDD-Webseite v. 15.12.2022. abrufbar unter: https://www.gdd.de/aktuelles/startseite/verhaltensregel-trusted-data-processor-schafft-rechtssicherheit-bei-der-auftragsverarbeitung (zuletzt abgerufen am 24.01.2023).

[26] Stiftung Datenschutz, Praxisleitfaden zum anonymisieren personenbezogener Daten, abrufbar unter: https://stiftungdatenschutz.org/fileadmin/Redaktion/Dokumente/Anonymisierung_personenbezogener_Daten/SDS_Studie_Praxisleitfaden-Anonymisieren-Web_01.pdf (zuletzt abgerufen am 24.01.2023)

[27] Schwartmann/Weiß, Entwurf für einen Code of Conduct zum Einsatz DSGVO konformer Pseudonymisierung, abrufbar unter: https://www.de.digital/DIGITAL/Redaktion/DE/Digital-Gipfel/Download/2019/p9-code-of-conduct.pdf?__blob=publicationFile&v=2 (zuletzt abgerufen am 24.01.2023).

[28] Vgl. Datenstrategie der Europäischen Union, Webseite der Europäischen Kommission, abrufbar unter: https://commission.europa.eu/strategy-andpolicy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy_de (zuletzt abgerufen am 24.01.2023).