Michael Will: „Der Vertrag mit Microsoft reicht nicht“
Michael Will, Präsident des Bayerischen Landesamts für Datenschutzaufsicht, über den Streit um den DSK-Beschluss zu Microsoft 365 – und was das für die Unternehmen bedeutet
Bislang war das Gremium nur Insidern bekannt: Im Unterschied zu anderen EU-Ländern gibt es im föderalen Deutschland eine nationale Datenschutzkonferenz (DSK), besetzt mit Vertretern der Datenschutzaufsichtsbehörden des Bundes und der Länder. Mit einem Beschluss zu Microsoft 365 Ende November 2022 hat die DSK gleichsam für Schockwellen in der Wirtschaft gesorgt. In den Schlagzeilen mancher Fach- und Onlinemedien hieß es: Microsoft 365 ist rechtswidrig.
Das Problem: Die DSK wurde dafür hart kritisiert, die Konferenz hat das aber so nicht formuliert. Für Diskussionen sorgte vor allem der FAZ-Beitrag „Microsoft 365 – so sollte Datenschutzaufsicht nicht sein“, in dem es wörtlich heißt: „Nach dem Willen der Aufsicht soll hierzulande die Nutzung von Microsoftprodukten also faktisch eingestellt werden.“ Einer der drei Autoren ist der ehemalige Präsident des Bayerischen Landesamts für Datenschutzaufsicht, Thomas Kranig. Ein beispielloser Vorgang.
Auf der anderen Seite wird in Online-Foren und Blogs Microsoft hart kritisiert. Da heißt es etwa, Microsoft sei wegen seiner fehlenden Transparenz ein Bußgeld-Kandidat. Es wird gewarnt, man sollte sich diesem „Datenkraken“ nicht ausliefern. Für Verwirrung sorgen ferner Juristen und Experten, die in ihren Vorträgen entweder das Gleiche sagen wie die DSK oder von einer überzogenen Produktwarnung sprechen.
Um Klarheit in der Sache zu bekommen, hat IHK-Redakteur Martin Armbruster bei dem Mann nachgefragt, auf den es im Datenschutz-Vollzug im Freistaat ankommt: Michael Will, Präsident des Bayerischen Landesamts für Datenschutzaufsicht. Als Mitglied der Datenschutzkonferenz weiß Will bestens über diesen Beschluss Bescheid. Er war sofort zum Interview für die IHK-Medien bereit.
Herr Will, in vielen Beiträgen heißt es, laut DSK-Beschluss verstoße Microsoft 365 gegen den Datenschutz. Aus Ihrem Papier kann ich diese Pauschal-Aussage aber nicht rauslesen. Was gilt denn nun?
Mit Ihrer Einschätzung liegen Sie schon richtig. Unser Beschluss lässt sich eigentlich nicht missverstehen. Von einer Produktwarnung oder einem Produktverbot ist überhaupt nicht die Rede. Ich habe keinen einzigen Experten gesprochen, der das nicht verstanden hätte. Leider tragen solche Behauptungen dazu bei, dass in der Öffentlichkeit ein falsches Bild entsteht.
Kritiker werfen Ihnen Haarspalterei vor. Wenn die DSK zum Ergebnis komme, Microsoft-Kunden könnten den rechtmäßigen Einsatz der Software nicht nachweisen, bedeute das ein „Microsoft-Verbot“.
Der DSK-Beschluss sagt nicht, dass der Nachweis schlechterdings nicht zu führen ist. Wir sagen lediglich, dass der globale Datenschutzvertrag, den Microsoft zum Zeitpunkt der Beschlussfassung allen Kunden weltweit anbietet, der Datenschutznachtrag vom 5. September 2022, nicht als Grundlage genügt für den Nachweis als Verantwortlicher: Ich betreibe Microsoft 365 datenschutzkonform. Das ist ganz entscheidend.
Was will denn die Datenschutzkonferenz mit ihrem Beschluss erreichen?
Wir wollen für ein Grundproblem sensibilisieren. Viele gehen davon aus: Microsoft 365 ist ein Standard-Produkt, alle nutzen es, deshalb wird das auch datenschutzrechtlich schon in Ordnung sein. Dieses blinde Vertrauen ist leider nicht berechtigt. Es spiegelt eine Gutgläubigkeit und Naivität wieder, mit der weder Datenschutz noch Digitalisierung funktionieren können.
Welche Risiken sehen Sie?
Der Ausgangsbefund ist: Es gibt keine Verpflichtung für einen Hersteller, einen Datenschutz-TÜV für seine Software zu machen, bevor er das Produkt auf den Markt bringt. Wir Aufsichtsbehörden dürfen und können auch nicht pauschal ein Produkt oder einen bestimmten Dienst „als solchen“ bewerten. Was wir stattdessen tun: Wir prüfen die Verantwortlichen und ihre sehr unterschiedlichen Verarbeitungstätigkeiten im konkreten Fall.
Es kommt also darauf an, wie der Verantwortliche „seinen Job“ macht.
Ja, die Untersuchung der DSK verweist grundlegend auf Unterlagen und Fragestellungen, die wir nicht untersuchen konnten, die aber jedem Verantwortlichen zur Verfügung stehen und dieser für seine jeweiligen Zwecke zu prüfen hat: dabei geht es vor allem um zusätzliche Dokumentationen von Microsoft. Das ergibt sich aus der Langfassung des Berichts (knapp 60 Seiten, die Red.). Das Gesetz weist die datenschutzrechtliche Verantwortung – jedenfalls bei Nutzung eines Produkts in Unternehmen oder Behörden – dem nutzenden Unternehmen oder der nutzenden Behörde zu, nicht dem Hersteller des Produkts. Dies ist möglicherweise noch nicht allen bewusst - knapp fünf Jahre nach Geltungsbeginn der DSGVO ist es aber dringend notwendig, sich damit auseinanderzusetzen.
Ein weiterer Vorwurf lautet, die DSK habe nur veraltete Vertragstexte angeschaut, dem Gremium fehle jedes Verständnis für die technischen Prozesse.
Wie gesagt: Wir sind kein Produkt-TÜV und auch keine Freigabestelle für die Datenschutzkonformität von IT-Produkten. Eine solche datenschutzrechtliche Pauschalfreigabe ist auch kaum denkbar. Denn Microsoft 365 ist ja wie auch viele andere Produkte kein Out-of-the-Box-Standardprodukt, sondern ein unglaublich komplexes Paket mit mehr als einem Dutzend unterschiedlichster Services, die sich fast im Wochentakt ändern. Während wir hier miteinander reden, werden von den Technikern schon wieder neue Features entwickelt – denken Sie nur an ChatGPT und andere KI-Innovationen. Damit werden mit großer Wahrscheinlichkeit stets auch neue Datenschutzfragen aufgeworfen.
Microsoft versichert, die Vorgaben der DSGVO würden „übererfüllt“. Der Konzern hat auch Punkte nachgebessert. Warum reicht das der DSK nicht aus?
Wir haben trotz mancher Fortschritte an einigen Stellen tatsächlich immer noch Zweifel, ob das, was von Microsoft bislang Verantwortlichen – also nutzenden Unternehmen oder Behörden - zur Verfügung gestellt wurde, wirklich ausreicht oder ausreichen kann, um beurteilen zu können, ob sie ihre konkreten Verarbeitungen datenschutzkonform gestalten können. Deshalb ist dieser Beschluss auch ein Impuls in Richtung Microsoft: Werdet da besser! Das ist nötig, damit Kundinnen und Kunden ihre datenschutzrechtlichen Pflichtaufgaben auch erfüllen können.
Was sagen Sie Kritikern, die den DSK-Beschluss als typisch für die deutsche Bürokratie bezeichnen?
Dass es hier nicht um Bürokratie geht, wird spätestens dann klar, wenn Kunden oder Mitarbeiter von einem Unternehmen Auskunft über dort verarbeitete personenbezogene Daten verlangen. Dann sollte der Verantwortliche klar nachweisen können, welche personenbezogenen Daten man von diesen in Microsoft 365 verarbeitet. Sonst hat er ein Problem. Einem Unternehmen oder auch einer Schule darf es eben aus Sicht des Gesetzes nicht gleichgültig sein, was mit den Daten seiner Mitarbeitenden, Kundinnen und Kunden oder auch Schülerinnen und Schüler am Ende geschieht - Datenschutz ist auch fast 40 Jahre nach dem Volkszählungsurteil immer noch im Kern die Frage danach, wer was von wem warum weiß.
Drei Autorinnen und Autoren haben in einem Gastbeitrag für die FAZ der DSK die größtmögliche Rüge ausgesprochen: ein falsches Verständnis von Datenschutzaufsicht. Wie sehr trifft Sie das?
„Treffen“ ist sicherlich die falsche Ebene, das ist ja nichts Persönliches. Ich habe das allerdings mit einiger Irritation gelesen, weil der Beitrag weder zu dem passt, was ich von der Zeitung erwarte, noch zu dem Qualitätsanspruch, für den die Autorin und ihre Mit-Autoren sonst stehen. Nach meiner Wahrnehmung haben die Autorin und die Autoren zudem eher die Form der Äußerung – also als Beschluss der Datenschutzkonferenz - in Frage gestellt, während sie zum Inhalt nur vergleichsweise wenig zu sagen hatten.
Gleichwohl entsteht der Eindruck: Es muss schlimm stehen um die Datenschutzkonferenz, wenn sich drei Fachleute so äußern.
Was ich noch verstehe: Das Anliegen der drei Autoren, auf die Bedeutung hinzuweisen, die eine Bewertung aller deutschen Aufsichtsbehörden hat für ein Produkt, das fast jeder einsetzt. Aber wir haben uns in einem zweijährigen Prozess dieser Verantwortung sehr seriös gestellt. Diesem ganz unstreitigen Ziel, Rechtssicherheit und Transparenz zu schaffen, wird der FAZ-Beitrag selbst sicher nicht gerecht, eher im Gegenteil: Es wird nun viel mehr über das Zerrbild diskutiert, das dieser Artikel entwirft, als über die Primärquelle. Das ist kontraproduktiv und lenkt die Datenschutzpraxis in die Irre.
Fühlen Sie sich missverstanden?
Ich habe beim Lesen des Artikels den Eindruck gewonnen, dass uns die Aussage „man darf Microsoft 365 nicht mehr nutzen“ in den Mund gelegt wird. So hat sich die DSK im November 2022 nicht geäußert. Wir wollten kein Produktverbot aussprechen. Wir dürfen das auch nicht. Das ist das Ärgerliche an diesem Artikel. Das schafft ein falsches Bild und noch mehr Verunsicherung. Und es vernebelt letztlich den Umstand, dass sich Unternehmen oder Behörden, die ein IT-Produkt nutzen, ihrer gesetzlichen Verantwortlichkeit zur Einhaltung des Datenschutzes stellen müssen. Die Digitalisierung ist ohne Verantwortung nicht zu haben.
Die Gewinner sind dann Kanzleien und Consultants, die gegen gutes Honorar versprechen: So nutzen Sie Microsoft 365 datenschutzsicher.
Ja, das ist wohl so. Entscheidend bleibt aber, dass Verantwortliche kritisch überprüfen, ob sie bei der Nutzung von Microsoft 365 ihren datenschutzrechtlichen Verpflichtungen gerecht werden.
Warum haben Sie Ihre Position nicht mit den anderen europäischen Aufsichtsbehörden abgestimmt?
In der Langfassung unseres Berichts wird sehr deutlich: Das ist eine Position der deutschen Aufsichtsbehörden, die aber selbstverständlich zur Kenntnis nimmt, dass wir viele Punkte europaweit noch nicht geklärt haben. Aber das kann nicht heißen, dass bis dahin Stillstand herrscht. Das ist nicht die Logik der Datenschutz-Grundverordnung. Es gibt kein Vollzugsverbot, wenn Probleme bei Microsoft, Google, Facebook oder Amazon auftauchen – und es noch keine Einigung im Europäischen Datenschutzausschuss gibt.
Unsere Nachbarn sehen das Thema Datenschutz und Microsoft 365 lockerer. Betreibt Deutschland wieder „Gold Plating“?
Auf den ersten Blick mag es mag unbefriedigend erscheinen, wenn Fragen zum Datenschutz innerhalb Europas unterschiedlich beantwortet werden. Falsch ist es jedoch zu sagen, die DSK hätte andere Rechtsauffassungen ignoriert. Wir haben etwa die Position der CNIL (französische Datenschutz-Aufsicht, die Red.) ausdrücklich erwähnt und genau analysiert. Was den Drittstaaten-Transfer angeht, haben wir Positionen des europäischen Datenschutzausschusses und letztlich die klaren Aussagen des Europäischen Gerichtshofs im so genannten Schrems-II-Urteil schlicht nur zu Ende geführt. Es gibt zudem gemeinsame Untersuchungen verschiedener Aufsichtsbehörden zum Einsatz von Cloud-Diensten im öffentlichen Sektor, die kein anderes Bild ergeben haben.
Wann gibt es eine gemeinsame europäische Linie zu Microsoft 365?
Wir arbeiten an den Kernfragen, nicht an europäischen Produktprüfungen. Eine Sondersituation hat der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski, der auf Grund seiner begrenzten Zuständigkeit schon seit längerem ganz fokussiert den Einsatz von Microsoft 365 durch die EU-Institutionen untersucht. Er wird wohl bereits in Kürze seinen abschließenden Bericht vorlegen. Und dann werden wir sehen, wie ein solcher bedeutender Player das Ganze sieht. Das ist sicher ein sehr starker Impuls für viele derzeit unabgestimmte Fragestellungen.
Insider munkeln, in der Datenschutzkonferenz säßen Leute, die aus ideologischen Gründen Probleme mit US-Konzernen hätten.
Das ist klar gesagt Unsinn. Wirkliche Insider würden sehen, dass sich die Untersuchung mit Fragen befasst, die nicht nur Microsoft betreffen. Es geht um datenschutzrechtliche Fragen und Probleme, die bei Cloud-Diensten generell auftreten - und dann geht es auch bitte nicht nur um amerikanische Anbieter, sondern genauso um deutsche und europäische Cloud-Dienste.
Halten wir fest: Microsoft 365 lässt sich datenschutzkonform betreiben – wenn es der Verantwortliche klug macht. Wie viel Aufwand ist dafür nötig?
Es hängt sehr viel davon ab, ob wir etwa über ein Übersetzungsbüro, einen medizintechnischen Betrieb oder einen Anbieter von Fortbildungsmaßnahmen reden. Aus den verschiedenen Geschäftsmodellen ergeben sich auch die unterschiedlichsten Datenschutz-Anforderungen. Den Handlungsbedarf können wir immer nur Typus für Typus bewerten.
Gilt die Faustregel: Microsoft 365 niemals in der Standard-Installation verwenden?
Aufgrund der Vielfalt der Dienste kann es von uns keine Installationsempfehlung geben - egal, ob man den Video-Konferenzdienst Teams oder das Mitarbeiter-Social-Media-Produkt Yammer einsetzt. Wichtig ist, als Verantwortlicher zu prüfen, ob und wie ich die DSGVO bei meinen Verarbeitungstätigkeiten berücksichtigt habe. Man sollte sich die Datenflüsse und Datenempfänger genau anschauen, kritisch die jeweiligen Rechtsgrundlagen und Einzelheiten der Verarbeitungen, etwa im Blick auf Daten-Exporte prüfen. Mehr ist es letztlich nicht. Wenn man diese Hausaufgaben erledigt hat, ist man schon sehr weit gekommen.
Auf die Zusagen von Microsoft kann man also nicht bauen.
Die Kernaussage bleibt: Der Vertrag mit Microsoft reicht nicht. Man muss sich insbesondere mit Hilfe der Dokumentation von Microsoft anschauen, was im Detail bei den einzelnen Services mit den Daten passiert. Wenn Unklarheiten bestehen, sollte man etwa mit dem Vertriebsberater von Microsoft Kontakt aufzunehmen – und ihn bitten, zur Klärung der Fragen beizutragen. Wichtig ist, dass der Verantwortliche am Ende den Betroffenen, also insbesondere Kunden und Mitarbeitenden, genau erklären kann, was mit ihren Daten passiert.
Wie setzen Sie das nun um?
„Umsetzung“ ist keine Aufgabe der Aufsichtsbehörde, sondern der Verantwortlichen – was das bedeuten kann, haben wir zusammen gerade geklärt. Als Aufsichtsbehörde für die Privatwirtschaft ist das BayLDA in der möglicherweise etwas privilegierten Situation, dass im Moment die Hauptdebatten im Einsatz von Microsoft 365 im Schulbereich laufen. Momentan liegt keine einzige Beschwerde auf unserem Tisch. Es gibt nur Vorankündigungen von möglichen Verfahren, weil sich jetzt z.B. Betriebsräte mit dem Thema befassen. Diese fragen sich, ob alles so in Ordnung ist, was in ihrem Unternehmen mit den Daten läuft.
Was ist mit den Bußgeldern, vor denen Anwälte und Berater warnen?
Das wird dramatisiert und verkürzt. Das vollständige Bild zeigt doch, dass wir als Datenschutzaufsichtsbehörde zuerst prüfen, ob bei dem jeweiligen Verantwortlichen ein Defizit vorliegt. Falls ja, werden wir den Verantwortlichen auf diese Defizite aufmerksam machen und ihm Gelegenheit geben, seine Datenverarbeitung mit den Anforderungen der Datenschutz-Grundverordnung in Einklang zu bringen. Auch unter dem Gesichtspunkt der Verhältnismäßigkeit sind Bußgeldbescheide deshalb regelmäßig nicht die erste Maßnahme, die Aufsichtsbehörden ergreifen.
Gibt es also kein Bußgeld-Risiko?
Das gibt es auch jenseits von Microsoft 365 vor allem dann, wenn jemand Datenschutz-Anforderungen ignoriert. Wer nichts tut, der hat stets ein hohes Bußgeld-Risiko.
Wie hoch schätzen Sie die Klage-Risiken für Unternehmen ein?
Ich sehe derzeit keine Anzeichen für eine Klagewelle. Allerdings haben wir in den vergangenen fünf Jahren gesehen, dass schon ein Betroffener (Max Schrems, die Red.) mit seinen Klagerechten und Schadenersatzforderungen maßgeblich für die Durchsetzung der DSGVO sorgen kann. Das Risiko sollte man also schon im Blick haben.
Unternehmer sagen, die DSK könnte ihnen Zeit und Nerven sparen, wenn sie sich verständlicher ausdrücken würde.
Der Wunsch erreicht mich auch. Das ist leider immer wieder auch ein Zeit- bzw. Ressourcen-Problem. Wir müssen eben regelmäßig mehrere Informationskanäle bedienen. Wir müssen einerseits die Datenschutz-Experten erreichen, die zu Recht jedes Wort auf die Goldwaage legen. Auf der anderen Seite brauchen wir ein deutlich vereinfachtes Format zur Vermittlung unserer Ergebnisse für Leute, die im Alltag stehen.
Wann bekommen wir endlich leicht verständliche Texte der DSK?
Seit es die Grundverordnung gibt, versuchen wir immer wieder mit FAQs konkrete Einzelfragen einfach zu beantworten, das wäre auch für komplexere DSK-Veröffentlichungen ein Ansatz. DSK-Beschlüsse wollen und sollen keine Verunsicherung erzeugen oder verstärken, wie das bei den Medienberichten über Microsoft 365 leider zu beobachten war. Deshalb freut es mich, dass Sie mich angerufen haben und mir die Chance gaben, die Dinge wieder zurechtzurücken.