Mit seinem „Schrems II“-Urteil im Juli 2020 hat der Europäische Gerichtshof Klarheit geschaffen: Personenbezogene Daten dürfen nur an ein Drittland außerhalb des Europäischen Wirtschaftraums übermittelt werden, wenn in dem jeweiligen Land ein gleichwertiges Datenschutzniveau wie in der EU vorherrscht. Für die USA wurde dies explizit verneint. Die ‚Privacy Shield‘-Vereinbarung zwischen den beiden Wirtschaftsräumen wurde damit faktisch ungültig.

Für die Softwarelösung Office 365 wird laut aktuellem Kenntnisstand ein Teil der Daten in den USA verarbeitet. Rechtliche Grundlage hierfür war ‚Privacy Shield‘, das nun nicht mehr existiert. Microsoft hat seither die Vertragsbedingungen mehrfach angepasst und aktualisiert. Die Vereinbarkeit mit europäischem Recht ist nach wie vor nicht abschließend geklärt und steht auf sehr wackeligen Füßen. Bis heute herrscht auch keine Klarheit über konkrete Details, welche Daten von Microsoft wo verarbeitet und gespeichert werden.

Über die Plattform ‚fragdenstaat‘ ist nun auf die Anfrage eines Bürgers ein Fragebogen des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit veröffentlicht worden, der Unternehmen im Beschwerdefall zur Beantwortung zugeschickt wird. Konkret wird beispielsweise gefragt, ob und aufgrund welcher Rechtsgrundlage personenbezogene Daten in Office 365 eingefügt werden, ob seit dem ‚Schrems II‘-Urteil Anpassungen gemacht wurden oder ob geplant ist, künftig eine andere Software zu nutzen.

„Die Entscheidung des Europäischen Gerichtshofs kann Unternehmen in die Bredouille bringen, wenn jetzt nicht gehandelt wird“, erläutert der Wuppertaler Datenschutzfachmann und UIMC-Geschäftsführer Dr. Jörn Voßbein. „So praktisch cloudbasierte Office-Lösungen auch sein mögen, der Einsatz kann teuer werden, wenn es keine belastbaren datenschutzrechtlichen Grundlagen gibt.“ Betroffenen Unternehmen rät er dringend, die Nutzung zu prüfen und sich im Zweifel fachlich beraten zu lassen.