Datenschutz und Office-Anwendungen

Am 1. Dezember 2021 hat der bayerische Landesbeauftragte für den Datenschutz die aktuelle Kurz-Information 39 (aki 39) zu Office-Anwendungen aus Drittstaaten bei bayerischen öffentlichen Stellen herausgegeben.

Demnach bestünden bei zahlreichen bayerischen öffentlichen Stellen Unsicherheiten, was den Einsatz von Office-Anwendungen aus dem Nicht-EU-Ausland, insbesondere den Vereinigten Staaten von Amerika, betrifft. Nachdem Microsoft mit seiner Büroanwendung Office 365 mit Sitz in den USA auf diesem Feld eine marktbeherrschende Stellung innehat, kann die ak 39 als Leitfaden zur Anwendung dieser Software gelesen werden.

I.

Die aki 39 stellt klar und strukturiert die Voraussetzungen der Anwendung dar. Dabei zeigen sich jedoch im Detail inhaltliche Ungenauigkeiten und, dass ein wesentlicher Aspekt der Datenverarbeitung nicht behandelt wird.

1. Zunächst habe der Verantwortliche (das ist die öffentliche Stelle, die die Büro-Software verwendet) ein „Datenschutz-Sicherheitskonzept“ zu erstellen. Der Begriff Datenschutz-Sicherheitskonzept ist keine herkömmliche Formulierung, die im Datenschutzrecht gebräuchlich ist.

Um was handelt es sich also? Der Verantwortliche soll in dem Konzept „insbesondere auf folgende Fragen“ eingehen:

- welches Produkt sollen welche IT Umgebung eingesetzt werden?

- Welche Kategorien personenbezogener Daten sollen mit dem Produkt verarbeitet werden?

- Welche nachteiligen Folgen können sich daraus für die Vertraulichkeit, Verfügbarkeit und Integrität von personenbezogenen Daten ergeben?

Das Datenschutz-Sicherheitskonzept soll damit eine Annäherung an die gebräuchliche Datenschutzfolgeabschätzung (DSFA) nach Art. 35 DSGVO darstellen. Weshalb nicht ein herkömmliche, gesetzlich vorgeschriebene DSFA empfohlen wird, erschließt sich nicht.

2. Übermittlung personenbezogener Daten auf Grundlage von Art. 44 ff. DSGVO.

Soweit sich der Verantwortliche durch die Datenschutzfolgeabschätzung seines Risikos und der Abhilfemaßnahmen vergewissert hat, hab der Verantwortliche die Voraussetzungen der Art. 44 ff. DSGVO zu erfüllen.

In den Art. 44 DSGVO werden die Übermittlungen personenbezogener Daten an Drittländer geregelt. Maßgeblich ist, ob das Drittland ein vergleichbares Datenschutzniveau bietet. Dies ist in dem hier entscheidenden vereinigten Staaten von Amerika nicht der Fall, was der europäische Gerichtshof in den Verfahren „Schrems I“ und „Schrems II“ wiederholt festgestellt hat. Es fehlt ein entsprechender wirksamer Angemessenheitsbeschluss nach Art. 45 Abs. 1 DSGVO.

Es bleibe daher nur, dass vergleichbare Datenschutzniveau durch vertragliche Vereinbarungen herzustellen, Art. 46 DSGVO, die sogenannten Standarddatenschutzklauseln. Allerdings könnten diese in den USA nicht wirksam durchgesetzt werden. Es müssten daher zusätzliche Sicherungsmaßnahmen berücksichtigt werden, wie eine geeignete Verschlüsselung oder eine geeignete Pseudonymisierung der Daten, die im Drittland nicht aufgelöst werden kann.

Wie dies konkret zu bewerkstelligen ist, darüber erteilt die Kurzinformation keine Hinweise. Das ist insbesondere dann bedauerlich, wenn die Verschlüsselung oder Pseudonymisierung von Daten durch den Software-Anbieter selbst erfolgt.

Die aki 39 stellt zumindest klar, dass der Verantwortliche den Nachweis erbringen muss, dass eine geeignete Verschlüsselung und/oder Pseudonymisierung der personenbezogenen Daten vorliegt, so dass eine Aufhebung der Verschlüsselung und/oder der Pseudonymisierung bei dem ausländischen Vertragspartner ausgeschlossen werden kann.

Das Arbeitspapier listet demnach die Voraussetzungen der Anwendung von einer Office-Anwendung auf:

- das Datenschutz-Sicherheitskonzept

- Vereinbarung der aktuellen Standard Datenschutzklauseln

- Wirksamkeit der Standard Datenschutzklauseln, wenn (-), dann

- Kompensation durch Pseudonymisierung/Verschlüsselung

- Hinweis, dass dies im Betrieb eines Videokonferenz-Systems in der Regel noch nicht möglich ist

- Einhaltung des aktuellen Stands der Technik

3. Rechenschaftspflicht

Schließlich verweist die aki 39 auf die Pflicht zur Einhaltung, Rechenschaft über die Art und Weise der Datenverarbeitung und die Weitergabe von Daten in Drittländer abzulegen, Art. 5 Abs. 2 DSGVO.

II. Resümee

Alles in allem stellt die Kurz-Information einen ausgewogenen und klar strukturierten Leitfaden für die Anwendung von Bürosoftware dar, die Daten in Drittstaaten transferieren.  Die rechtskonforme Anwendung von Office-Anwendungen mit Drittanbieter-Bezug soll nach dem Arbeitspapier möglich sein. Die Komplexität des Verfahrens bleibt dabei allerdings nur angedeutet. Es fehlen wichtige Angaben zu Informationspflichten und der Angabe einer wirksamen Rechtsgrundlage, auf die sich die Datenverarbeitung stützt.

Darüber hinaus lässt das Arbeitspapier Hinweise vermissen, wie mit der Datenverarbeitung zu eigenen Zwecken durch den Software-Anbieter umgegangen werden könnte und, wie eine Pseudonymisierung kontrolliert werden kann, die nicht der Verantwortliche, sondern der Software-Anbieter selbst durchführt.

Auch wenn die vorliegende aki 39 die öffentlichen Stellen adressiert, sollte zu Bewußtsein kommen, wie sehr dies ebenfalls den Beschäftigtendatenschutz betrifft.

Zu finden unter: https://www.datenschutz-bayern.de/datenschutzreform2018/