Warum ein Verbot von Microsoft 365 eine Luftnummer ist
Die Datenschutzkonferenz (DSK) sieht beim Einsatz von Microsoft 365 die Daten deutscher Nutzer in Gefahr und warnt vor dem Einsatz der Microsoft-Software. Daraus entstandene Gerüchte um ein mögliches Verbot von Microsoft 365 haben inzwischen hohe Wellen geschlagen. Rechtsanwalt Wilfried Reiners, Jurist im Umfeld digitaler Themen, CEO der PRW Group und Mitbegründer der PRW Legal Tech, ordnet die Fakten rechtlich ein und entlarvt die DSK-Aussage als „Stammtischspruch“.
Die deutschen Datenschutzaufsichtsbehörden haben Ende November 2022 eine Stellungnahme zu Microsoft 365 veröffentlicht, wonach Microsoft-Kunden einen rechtmäßigen Einsatz der Software nicht nachweisen können. Damit wäre Microsoft 365 rechtswidrig. Die unabhängigen Datenschutzbehörden des Bundes und der Länder, die zusammen die DSK bilden, sind bislang allerdings rechtlich nur ein nicht festgelegter (loser) Zusammenschluss von Behörden. „Das beliebteste Beispiel für einen losen Zusammenschluss ist der Stammtisch“, so Reiners. Damit stellt der Jurist klar, welchen Stellenwert die DSK-Aussagen derzeit haben.
Reiners weiter: „Der aktuelle Koalitionsvertrag sieht zwar vor, die DSK zu institutionalisieren, damit sie einheitlich rechtlich verbindliche Beschlüsse fassen kann. Das ist aber (noch) nicht umgesetzt. Solange dies nicht der Fall ist, hat die ´Stammtischrunde´ keinerlei rechtlich anerkannte Befugnisse. Wäre die DSK eine Behörde mit Befugnissen, wäre ihre Warnung vor Microsoft 365 so etwas wie ein Verwaltungsakt. Microsoft hätte dann die Möglichkeit, diesen für sie negativen Verwaltungsakt von einem Verwaltungsgericht überprüfen zu lassen. Stammtischrunden können Sprüche klopfen, aber keine Verwaltungsakte erlassen.
(Seminar-Tipp: IT-Sicherheit von M365 – Sicheres Design und sichere Konfiguration)
Artikel 16 der Charta der Grundrechte der Europäischen Union schützt die unternehmerischen Grundrechte. Ein Eingriff darin ist nur zulässig, wenn es dazu eine gesetzliche Erlaubnisvorschrift gibt. Das ist hier nicht der Fall. Organisationen und EntscheiderInnen, die Microsoft 365 entweder im Einsatz haben oder implementieren möchten, finden sich nun in einer unangenehmen Situation. Denn es herrscht vielfach Rechtsunsicherheit unter den Verantwortlichen. Zusammenfassend hat also ein loser Zusammenschluss einen gewaltigen ´Spruch rausgehauen´, der so vom Gesetzgeber nicht vorgesehen ist.“
Dementsprechend sind bisher keine Rechtsfolgen bekannt. Es gibt lediglich eine Reaktion von Microsoft, in der das Unternehmen seine Sicht der Dinge darstellt.
Was lehrt uns das Vorgehen der DSK? Dazu Reiners: „Wenn eine Behörde das Risiko scheuen möchte, mit einer Untersagungsverfügung zu unterliegen, wählt sie das sanktionslose, aber stark fremdbelastende Stammtisch-Modell. Warum hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), das derzeit die Hausanschrift der DSK vorhält, nicht einfach eine Untersagungsverfügung der Nutzung von M365 an die Microsoft Deutschland GmbH ausgesprochen? Dann könnte das Verfahren seinen rechtsstaatlichen Weg nehmen.“
