Startseite > Software & Services > »Was ist denn hier überhaupt geprüft worden«

DSK-Entscheidung gegen »Office365«

»Was ist denn hier überhaupt geprüft worden«

6. Oktober 2020, 10:00 Uhr | Martin Fryba

Nina Diercks arbeitet seit 2010 als Rechtsanwältin. Sie führt die Anwaltskanzlei Diercks in Hamburg. Die Anwältin berät und vertritt Unternehmen bundesweit, ist jedoch ausschließlich im IT-, Medien-, Datenschutz und Arbeitsrecht tätig

Der Einsatz von »Office365« verstoße gegen den Datenschutz, so die Datenschutzkonferenz (DSK). Rechtsanwältin Nina Diercks reibt sich erst einmal die Augen vor so viel Irrungen und Wirrungen. Klar ist nur eins: dass nichts klar ist.

Vor Gericht und auf hoher See ist man bekanntlich in Gottes Händen. Man muss diesem Vergleich nun eine dritte Eventualität hinzufügen: und beim Einsatz von Microsoft-Bürosoftware. Die Datenschutzkonferenz (DSK) hat mit ihrer Entscheidung, bei »Microsoft Office 365« sei kein datenschutzgerechter Einsatz möglich, die ohnehin seit Monaten verbreitete Verunsicherung noch einmal gesteigert. Geht das überhaupt noch? Ja, muss man nach der Lektüre des Blogbeitrags von Rechtsanwältin Nina Diercks sagen. Und mehr noch:

Diercks erfrischend verständliche Analyse für nicht juristisch ausgebildete Nutzer macht eines deutlich: Die offensichtlich geballte Praxisferne der DSK-Mitglieder, ihre von Diercks schonungslos offengelegte Arbeitsweise, lässt nur die Schlussfolgerung zu: Hier sind keine Daten-»Schützer« am Werk, sondern Daten-Exorzisten, IT-Austreiber, die ihre eigentliche und so wichtige Aufgabe ab absurdum führen: Datenschutz transparent und für Unternehmen, Behörden wie Schulen, Vereine, für jeden Nutzer verständlich zu machen, ihnen eine klare Orientierung geben. Das Gegenteil ist der Fall, wie Diercks die DSK-Entscheidung seziert.

Veraltete Verträge geprüft
Zum einen, schreibt die Anwältin, sei die Wertung des DSK auf Basis veralteter Vertragsdokumente und eines unklaren Prüfungsfokus zustande gekommen. Die DSK hatte einen Arbeitskreis Verwaltung zur Auftragsverarbeitung bei Microsoft Office 365 eingesetzt. Der Arbeitskreis hatte »die dem Einsatz des Produktes Microsoft Office 365 zu Grunde liegenden Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft-Onlinedienste (Data Processing Addendum / DPA) – jeweils Stand: Januar 2020« geprüft.

Wer sich näher mit Microsoft Office365 Produkten in den letzten Jahren beschäftigt habe, schreibt Diercks, der wisse, dass Microsoft seit Januar 2020 nicht nur Änderungen in den Verträgen, sondern vor allem auch »umfängliche und erhebliche Änderungen in der Dokumentation« vorgenommen habe. »Das heißt, ob die OST und das DPA aus 2020 einen datenschutzgerechten Einsatz ermöglichen oder nicht, ist nur noch aus rechtshistorischer Sicht interessant«.

Die erste Ohrfeige für die DSK. Allerdings auch für Microsoft: »In Sachen Auffindbarkeit und damit Transparenz der Dokumentation kann MS immer noch hart nacharbeiten«, fordert Diercks auch vom Hersteller, seine Hausaufgaben zu erledigen. Microsoft tut sich hier sicher keinen Gefallen, ständig Vertragsbedingungen zu ändern und Datenschützer hinterherhecheln zu lassen.