Artikel kostenlos lesen

Editorial : Aufsicht streitet über den digitalen Lockdown : aus der RDV 5/2020, Seite 229 bis 230

Lesezeit 2 Min.

Deutschlands Datenschutzaufsichtsbehörden bringen den „digitalen Lockdown“ ins Gespräch. Am 2. Oktober haben fünf mitgeteilt, dass 9 von ihnen bei 8 Gegenstimmen den Einsatz von Microsoft 365 (ehemals Office 365) also Word, Excel, PowerPoint, Teams und OneDrive für rechtswidrig halten. Sie tragen die Mehrheitsentscheidung nicht mit. Eine Arbeitsgruppe, die im engen Austausch mit dem Anbieter steht, hält die Angebote nach monatelanger Prüfung im Dialog mit Microsoft nicht für rechtskonform einsatzfähig. Zumindest in 9 Bundesländern stellt die Nutzung der derzeit faktisch alternativlosen Software ein Risiko dar. Bedenkt man, dass Apple, Google und viele andere nicht europäische Anbieter nicht besser aufgestellt sein dürften als Microsoft, wird die Dimension noch klarer.

Die Argumente der internen Kritiker aus Baden-Württemberg, Bayern – dort gibt es zwei – Hessen und dem Saarland sind nicht von der Hand zu weisen. Die Gesamtbewertung der Mehrheit sei ohne rechtsstaatlich erforderliche formale Anhörung erfolgt, sie sei undifferenziert und beziehe sich auf zwischenzeitlich zweimal nachgebesserte Vertragsbedingungen.

Fragt man Microsoft, dann findet ein dauerhafter konstruktiver Austausch mit der Aufsicht statt. Die eigentliche Datenverarbeitung in der EU bei Office 365 erfolge nach den Vorgaben des europäischen Datenschutzes und es gelangten nur technische Informationen wie Metadaten und Anmeldeinformationen zur Ermöglichung des Betriebs des Dienstes in die USA. Sie dienten insbesondere dazu, die Systeme weltweit möglichst effektiv vor Angriffen schützen zu können. Kommunikationsinhalte, wie z.B. Chatverläufe, E-Mail-Korrespondenz und Dokumente würden nicht übermittelt. US-Sicherheitsbehörden hätten personenbezogene Daten im Rahmen von Office 365 von europäischen Unternehmen bislang nur im einstelligen Bereich angefordert.

Der Fall gehört vor die Gerichte. Fragen gibt es genug: Kann eine Aufsichtsbehörde beurteilen oder gar prüfen, welche Daten erforderlich sind, um einen grundsätzlich zulässig weltweit vernetzten Dienst für Büroanwendungen sicher und rechtskonform zu betreiben? Wie ist das konkret erfolgt? Verarbeitet ein europäischer Alternativanbieter Daten nachweislich rechtskonform und sind bei ihm die Datenabflüsse bis ins Detail nachvollziehbar überprüfbar? Kann ein solcher Anbieter für die Sicherheit der Daten ebenso effektiv Gewähr übernehmen, wie ein weltweit agierender Digitalkonzern? Wären dessen Maßnahmen insgesamt in gleicher Weise geeignet, Datenschutz und Datensicherheit zu wahren? Ist es nach Abwägung aller Risiken gerechtfertigt, dass der Dienst untersagt wird, weil sensible Daten in die USA gelangen können? Wäre es nach einer Gesamtabwägung zwischen Datenschutz und Unternehmensfreiheit rechtmäßig, dass eine Zugriffsmöglichkeit ohne nachweisbaren Zugriff auf Inhalte von Schulaufsätzen oder belangloser Unternehmens- oder Behördenkommunikation, zu einer faktisch alternativlosen Untersagung führt? Und ist am Ende eine Nutzungsuntersagung durch Behörden verhältnismäßig oder kommen weniger einschneidende Maßnahmen in Betracht?

Prof. Dr. Rolf Schwartmann   

Prof. Dr. Rof Schwartmann ist Leiter der Kölner Forschungsstelle für Medienrecht, Technische Hochschule Köln, sowie Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD), Bonn und Mitglied der Datenethikkommission.