Die Nutzung von MS-Teams, Skype und allen anderen Office 365 Diensten verstößt gegen Datenschutzrecht und kann zu Bußgeldern in Millionenhöhe führen. So ergibt es sich aus zwei Informationspapieren der Berliner Beauftragten für Datenschutz und Informationsfreiheit. Für die meisten Unternehmen besteht daher dringender Handlungsbedarf. Wie eine Risikoverringerung gelingen kann, zeigt dieser Beitrag.
Was ist passiert?
Mit dem Ausbruch der Corona-Krise haben viele Unternehmen ihre Beschäftigten ins Home Office geschickt, zahlreiche Meetings wurden von der Off- in die Online-Welt verlegt und der Bedarf an Online-Conferencing-Lösungen ist sprunghaft angestiegen. Entsprechend sind offenbar auch Anfragen zu den datenschutzrechtlichen Anforderungen daran bei den Datenschutz-Aufsichtsbehörden wie der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) gestiegen. Um „die Prüfung der Rechtmäßigkeit der Nutzung verschiedener Lösungen zu erleichtern“ hat die BlnBDI zwei Informationspapiere veröffentlicht, die sie hier und hier abrufen können. Unternehmen, die gängige Online-Conferencing-Lösungen oder Office 365 Produkte einsetzen, hat sie damit einen (Berliner) Bärendienst erwiesen. Für die Digitalisierung ergeben sich daraus jedenfalls neue Herausforderungen.
Ergebnis der Bewertung ist nämlich, dass praktisch alle gängigen Online-Conferencing-Lösungen, wie MS-Teams, Skype, Zoom, Cisco WebEx und Google Meet nicht datenschutzkonform eingesetzt werden könnten. Begründet wird das insbesondere mit Mängeln in der vertraglichen Gestaltung, also mit Mängeln in den Vereinbarungen zur Auftragsverarbeitung. Die Konsequenz für Unternehmen, die Dienste wie MS-Teams und Skype nutzten, sind Verstöße gegen Datenschutzrecht, jedenfalls nach Ansicht der BlnBDI. Empfindliche Bußgelder könnten die Folge sein (siehe dazu Blogbeitrag: Bußgelder, Strafen und Schadensersatz für Datenschutzverstöße). Brisantes und wenig beachtetes Detail dabei ist, dass die massiv kritisierten Microsoft Online Service Terms auch für alle anderen Microsoft Office 365 Produkte unter Office 365 Cloud Lizenzen gelten. Auch mit der Nutzung von Produkten aus der Microsoft-Cloud wie MS Word, MS Outlook oder MS Excel drohen daher Datenschutzverstöße und Bußgelder.
Mit der Kritik an den Office 365 Produkten und der vertraglichen Gestaltung steht die BlnBDI nicht alleine. Bereits einen Tag vor der Veröffentlichung des zweiten Informationspapieres der BlnBDI hat der Europäische Datenschutzbeauftragte eine Stellungnahme zu den Microsoft Produkten veröffentlicht und ebenfalls massive Kritik an den Microsoft Online Service Terms geäußert, die Sie hier auf Englisch abrufen können. Es liegt daher nahe, dass sich dieser Kritik weitere deutsche und europäischen Datenschutz-Aufsichtsbehörden anschließen werden. Das Risiko von Maßnahmen und Bußgeldern gegen Unternehmen, die Office 365 Produkte nutzen, wird damit größer.
Was ist zu tun?
Als Verantwortliche müssen Unternehmen, die Office 365 Produkte nutzen, sicherstellen, dass die datenschutzrechtlichen Anforderungen eingehalten werden. Nach Vorstellung der BlnBDI „dürfen die [Office 365] Dienste nur genutzt werden, wenn abweichende Vereinbarungen mit den Anbietern getroffen wurden“. Sonst muss die Nutzung eingestellt werden. Für viele Unternehmen würde das bedeuten, dass administrative Tätigkeiten praktisch zum Erliegen kommen. Ohne Teams, Word, Outlook oder Excel ist heute fast kein Unternehmen mehr handlungsfähig. Damit ergeben sich folgende Optionen für betroffene Unternehmen:
- Office 365 Produkte weiter nutzen und das Risiko von existenzgefährdenden Bußgeldern in Kauf nehmen. => das ist wohl keine gute Lösung
- Office 365 Produkte nicht mehr nutzen. => Angesichts der faktischen Abhängigkeit und weitgehenden Alternativlosigkeit etwa im Bereich der Online-Conferencing-Lösungen (nach Einschätzung der BlnBDI sind die gängigen Produkte nicht datenschutzkonform einsetzbar) wäre das ein Rückschritt in eine vordigitale Zeit => das ist wohl auch keine gute Lösung
- Mit Microsoft über die Anpassung der Microsoft Online Service Terms verhandeln. => Dass Microsoft ernsthaft in Verhandlungen eintritt, ist für die meisten Unternehmen nicht realistisch. Wenn Sie faktisch auf Office 365 Produkte angewiesen sind, ist es aber die einzige Option und kann Ihre rechtliche Situation verbessern.
Warum Sie mit Microsoft verhandeln sollten.
Wenn Sie keine Alternative zu Office 365 Produkten haben, weil die Migration technisch zu aufwändig ist, es keine datenschutzkonforme Alternative gibt (jedenfalls für Online-Conferencing-Lösungen legen das die Hinweise der BlnBDI ja nahe) oder es andere Gründe gibt, aus denen Sie bei Office 365 Produkten bleiben wollen oder müssen, sollten Sie mit Microsoft verhandeln. Egal ob Microsoft mit Ihnen verhandeln will oder nicht.
Es gibt nämlich gute Gründe, die dafür sprechen, dass Sie einen Anspruch auf Anpassung der Microsoft Online Service Terms gegen Microsoft haben. So bestehen vertragliche Nebenpflichten, die Vertragsparteien bei Unklarheiten des Vertrages zu klarstellenden Erklärungen verpflichten, wenn der Inhalt der Erklärung dem entspricht, was die Parteien vereinbaren wollten. Das trifft auf die Microsoft Online Service Terms zu. Jedenfalls auf einige der nach den Hinweisen der BlnBDI rechtswidrigen Vertragsklauseln. So wird etwa bemängelt, das Vertragswerk sei „an vielen Stellen unklar und widersprüchlich“ woraus sich Datenschutzverstöße ergäben. Spätestens seit der Veröffentlichung der Hinweise der BlnBDI können sich Verantwortliche daher nicht mehr sicher sein, ob die Nutzung von Office 365 Produkten datenschutzkonform und auf der Grundlage eindeutig datenschutzkonformer Vereinbarungen erfolgt.
Das entspricht eindeutig nicht dem, was Sie zu der Nutzung von Office 365 mit Microsoft vereinbaren wollten und auch nicht dem, was Microsoft zur Datenschutzkonformität seiner Produkte verspricht. So betont Microsoft „Datenschutz sehr ernst“ zu nehmen, sich „vertraglich [zu verpflichten], die Privatsphäre seiner Kunden zu schützen“ und datenschutzkonforme Produkte anzubieten. In der Konsequenz haben Microsoft und die betroffenen Unternehmen daher einen übereinstimmenden Willen, datenschutzkonforme vertragliche Regelungen abschließen zu wollen. Soweit das in den Microsoft Online Service Terms nicht deutlich genug zum Ausdruck kommt, also Unklarheit an der Datenschutzkonformität einzelner Regelungen der Microsoft Online Service Terms besteht, muss Microsoft eine klarstellende Erklärung abgeben. Sonst würde Microsoft gegen vertragliche Nebenpflichten verstoßen.
Eine alternative Begründung mit dem gleichen Ergebnis ist die sogenannte „Störung der Geschäftsgrundlage“. Wenn Vertragsparteien nämlich (i) bei Abschluss des Vertrages von Umständen ausgehen, aufgrund derer sie den Vertrag abschließen und sich (ii) diese Umstände nach Abschluss des Vertrages ändern, besteht ein Anspruch auf Anpassung des Vertrages. Auch das trifft auf die Microsoft Online Service Terms zu. Nach erklärter Einschätzung geht Microsoft nämlich davon aus, datenschutzkonforme Produkte anzubieten. Darauf dürfen mit Microsoft kontrahierende Unternehmen sich grundsätzlich auch verlassen und davon ausgehen, dass jedenfalls nicht mit ordnungsrechtlichen Verfahren oder Bußgeldern wegen der Nutzung von Office 365 Produkten gerechnet werden muss. Mit der Einschätzung der BlnBDI ist das jetzt mehr als fraglich. Auch mit dieser Begründung ergibt sich eine Pflicht von Microsoft zur Anpassung der Microsoft Online Service Terms.
Dass Microsoft mit Ihnen verhandeln wird, ist natürlich nicht sicher. Allein die große Zahl der Office 365 nutzenden Unternehmen in Deutschland macht es unwahrscheinlich, dass individuelle Verhandlungen mit jedem Unternehmen geführt werden können. Es sprechen dennoch drei Gründe dafür, es zu versuchen.
- Wenn sich viele Unternehmen an Microsoft wenden, könnte der Druck auf Microsoft so groß werden, dass es zu einer Anpassung der Microsoft Online Service Terms kommt, mit der datenschutzrechtliche Bedenken ausgeräumt werden.
- Wenn es zu einem Verfahren gegen Unternehmen kommt, die Office 365 nutzen und ein Bußgeld verhängt wird, werden für die Bestimmung der Bußgeldhöhe stets die Umstände des Einzelfalls berücksichtigt. Eine entscheidende Rolle wird dabei spielen, ob Maßnahmen getroffen wurden, um Datenschutzverstöße zu verhindern oder deren Auswirkungen zu verringern. Dabei wird der Versuch, datenschutzkonforme Vereinbarungen mit Microsoft zu treffen zugunsten des betroffenen Unternehmens berücksichtigt werden. Das ist jedenfalls unserer Eindruck aus Gesprächen mit verschiedenen Ansprechpartnern bei den Datenschutzaufsichtsbehörden.
- Wenn Microsoft entgegen seinen vertraglichen Nebenpflichten keine Anpassungen an den Microsoft Online Service Terms akzeptiert und keine klarstellenden Erklärungen abgibt und deswegen ein Bußgeld verhängt wird, kann Microsoft dafür zur Leistung von Schadensersatz verpflichtet sein.
Es lohnt sich also, mit Microsoft zu verhandelt.
Wie Sie mit Microsoft verhandeln
Für die Aufnahme von Verhandlungen mit Microsoft müssen Sie – wie für jeden anderen Vertragspartner – eine entsprechende Aufforderung formulieren und übermitteln. Es ist nicht immer trivial, herauszufinden, mit welcher Microsoft Gesellschaft man einen Vertrag über die Lizensierung von Office 365 Produkte ist abgeschlossen hat. In der Regel schließt die irische Microsoft Gesellschaft Lizenzverträge mit europäischen Kunden ab. Die Anschrift lautet:
Microsoft Ireland Operations Limited
One Microsoft Place, South County Business Park,
Leopardstown, Dublin
Teilweise wird in Verträgen auch die Hauptgesellschaft in den USA genannt. Die Anschrift lautet:
Microsoft Corporation
One Microsoft Way
Redmond, WA 98052-6399
USA
Für Geschäftskunden gibt Microsoft auf seinen Webseiten als Kontakt die deutsche Tochtergesellschaft an. Im Zweifel wird man daher annehmen dürfen, dass diese Gesellschaft zur Entgegennahme rechtlicher Erklärungen befugt ist. Die Anschrift lautet:
Microsoft Deutschland GmbH
Walter-Gropius-Straße 5
80807 München
Telefon: 01806 67 23 30
Fax: 01805 22 95 54
Um den Zugang Ihrer Aufforderung und damit die Aufnahme von Verhandlungen nachweisen zu können, bietet es sich an, dieses per Fax oder Einschreiben zu übermitteln. In der Aufforderung sollten Sie sich auf die Kritikpunkte aus der Stellungnahme der BlnBDI beziehen und möglichst konkret dazu auffordern, diese durch Anpassung der Microsoft Online Service Terms oder ergänzende Erklärungen auszuräumen. Damit haben Sie den ersten Schritt getan und sollten dann im Blick behalten, ob Microsoft auf Ihre Aufforderung reagiert, allgemeine Erklärungen abgibt oder die Microsoft Online Service Terms anpasst. Sollte das nicht passieren oder nicht genügen, um zu der vertretbaren Einschätzung zu gelangen, dass der Einsatz von Office 365 Produkten datenschutzkonform erfolgt, müssten sie über weitere Schritte zur Eskalation gegenüber Microsoft nachdenken. Das kann auch bedeuten, Ihrer Ansprüche klageweise geltend zu machen.
Fazit
Die Informationspapiere der BlnBDI bedeuten große rechtliche Herausforderungen für Unternehmen, die gängige Online-Conferencing-Lösungen und Office 365 Produkte einsetzen. Technische Alternativen gibt es nicht oder nur sehr beding; einfache Lösungen zur datenschutzkonformen Gestaltung auch nicht. Einen Ausweg aus dieser Misere kann aber die Verhandlung mit Microsoft (und anderen Anbietern) sein.