DatenschutzWoche vom 29. April 2024

Einsatz von Microsoft Teams in Niedersachsen – Einigung beim Datenschutz

Per Pressemitteilung vom 26. April 2024 hat Niedersachsen bekannt gemacht, dass das Land mit Microsoft einen Vertrag über den Einsatz von Microsoft Teams abgeschlossen hat, der die Bedenken der deutschen Datenschutzaufsichtsbehörden ausräumt. Die erzielten Ergebnisse sollen als Blaupause für den Einsatz von Microsoft 365 durch öffentliche Stellen in Deutschland dienen. Voraussetzung für die Datenschutzkonformität bleibt eine Datenschutz-Folgenabschätzung (DSFA).

In der Pressemitteilung heißt es, die Verbesserungen an Microsofts Data Protection Addendum (DPA) seien in enger Abstimmung mit dem Landesbeauftragten für den Datenschutz in Niedersachsen verhandelt worden. Dabei konnten alle wesentlichen Forderungen des Landes Niedersachsen berücksichtigt und die datenschutzrechtlich kritischen „Big Points“ geklärt werde. Entscheidend für die DSGVO-Konformität war, dass die Daten in Europa gespeichert und verarbeitet werden sollen („EU-Boundary“).

Unklar ist derzeit, ob alle Landesdatenschutzbeauftragten die Einschätzung Niedersachsens teilen. Aus Hamburg und dem Saarland kamen zuletzt andere Signale. Es bleibt daher abzuwarten, wie die einzelnen Landesbehörden die jüngsten Anpassungen des DPA bewerten werden.

Der Rollout von Microsoft Teams in Niedersachsen soll im zweiten Quartal 2024 beginnen. Nach erfolgreichem Abschluss wird die Anwendung im Laufe des Jahres für ca. 13.500 Arbeitsplätze zur Verfügung stehen. Die nächsten Schritte in die Cloud werden bereits geprüft.

Einsatz von Microsoft 365 durch die EU-Kommission – Datenschutz-Folgenabschätzung veröffentlicht

Vor kurzem hat der Europäische Datenschutzbeauftragte (EDSB) die Nutzung von Microsoft 365 durch die EU-Kommission als nicht datenschutzkonform eingestuft. In seinem ausführlichen Untersuchungsbericht hatte der EDSB unter anderem kritisiert, dass die Datenschutz-Folgenabschätzung (DSFA) der Kommission nicht aussagekräftig sei.

Bei dem inzwischen veröffentlichten Dokument handelt es sich eher um ein Rechtsgutachten als um eine DSFA. Die Risikobewertung und die Definition geeigneter Abhilfemaßnahmen sind eher knapp gehalten. Während der Beschreibung der Einsatzszenarien sowie der (durch den neuen Angemessenheitsbeschluss deutlich vereinfachten) Datenübermittlung in die USA viel Raum eingeräumt wird, ist die Beschreibung der Risiken sowie der Abhilfemaßnahmen mit nur 14 von 146 Seiten recht kurz.

Ein Blick in die Verträge zwischen der EU-Kommission und Microsoft zeigt zudem, dass der Auftragsverarbeitungsvertrag auf Mai 2022 datiert ist. Der jüngste öffentlich verfügbare Auftragsverarbeitungsvertrag von Microsoft datiert vom 02.01.2024 und enthält nicht nur Regelungen zum neuen Angemessenheitsbeschluss für die USA, sondern auch zahlreiche weitere Verbesserungen.

Insgesamt erscheint die Datenschutzdokumentation der EU-Kommission hinsichtlich Aktualität und der Schwerpunktsetzung ausbaufähig. Die Rüge des EDSB ist daher zumindest teilweise nachvollziehbar.

Internationale Nachrichten

• Europa: Unter dem Titel „Safeguarding Individuals’ Digital Rights“ hat der Europäische Datenschutzausschuss seinen Tätigkeitsbericht für das Jahr 2023 veröffentlicht.
• Europa: Am 24. April 2024 hat der Europäische Datenschutzausschuss zahlreiche Dokumente zum EU-US Data Privacy Framework veröffentlicht.
• Island: Wegen des Einsatzes von Google Workspace for Education hat die isländische Datenschutzaufsichtsbehörde mehrere Bußgelder gegen Kommunen verhängt (1, 2, 3, 4, 5).

Aktuelle Gerichtsentscheidungen

• OLG Hamm, Urteil vom 21.07.2023, Az. 12 U 53/22 (GRUR-RS 2023, 47278): Der bloße Verstoß gegen die DSGVO ist nicht mit dem Eintritt eines – auch immateriellen – Schadens gleichzusetzen.
• LAG Rheinland-Pfalz, Urteil vom 24.07.2023, Az. 3 Sa 134/22 (juris): Der Kläger hat einen Anspruch nach Art. 15 Abs. 3 der DSGVO auf Aushändigung einer Kopie des elektronischen Arbeitszeiterfassungskontos für den im Antrag bezeichneten Zeitraum.
• VG München, Urteil vom 06.12.2023, Az. M 6 K 23.1562 (BeckRS 2023, 46989): Der Betroffene hat kein Recht auf Einsichtnahme in Verträge zur Auftragsverarbeitung.
• LG Magdeburg, Urteil vom 29.02.2024, Az. 10 O 530/23 (GRUR-RS 2024, 8057): Die Klagepartei begründet ihren Anspruch damit, dass sie mit dem Geschäftsmodell der Beklagten, personalisiert zu werben, nicht einverstanden sei. Dies allein führt zu keinem Schaden.
• LG Hildesheim, Urteil vom 05.03.2024, Az. 3 O 139/23 (GRUR-RS 2024, 8040): Die bloße – tatsächlich unbegründete – Vorstellung einer Datenweitergabe vermag mangels Anknüpfung an ein vorwerfbares Verhalten der Beklagten keinen Schadensersatz nach Art. 82 DSGVO zu begründen.
• LG Gießen, Urteil vom 03.04.2024, Az. 9 O 523/23 (GRUR-RS 2024, 7986): Der formelhafte, nicht individuelle Vortrag des Klägers erfüllt das Tatbestandsmerkmal des Schadens in Art. 82 DSGVO nicht schlüssig.
• LG Passau, Endurteil vom 09.04.2024, Az. 4 O 260/23 (GRUR-RS 2024, 8093): Sofern die Datenschutzbehörden einen Verstoß der Beklagten gegen die Bestimmungen der DSGVO bejahen sollten, entfaltet diese Feststellung jedenfalls keine Bindungswirkung für das Gericht.LG
• München I, Endurteil vom 19.04.2024, Az. 31 O 2122/23 (GRUR-RS 2024, 8094): Unerwünschte Kontaktaufnahmeversuche sind zwar lästig, aber im Hinblick auf die vermehrte Angabe von Kontaktdaten bei Online-Einkäufen, Reservierungen etc. nicht zu vermeiden.
• OLG München, Urteil vom 24.04.2024, Az. 34 U 2306/23 e (Volltext): Ein immaterieller Schaden ist nicht bereits in dem Kontrollverlust zu sehen, der durch das Scraping entstanden ist, sondern kann allenfalls Folge dieses Kontrollverlustes sein.

Neuigkeiten aus den Aufsichtsbehörden

• Datenschutzkonferenz: „1. Zwischenkonferenz 2024“ – Protokoll zur 1. Zwischenkonferenz am 24.01.2024
• Datenschutzaufsicht Berlin: „Appell an Parteien, den Datenschutz im Europawahlkampf zu achten“ – Pressemitteilung vom 23.04.2024
• Datenschutzaufsicht Schleswig-Holstein: „Tätigkeitsbericht 2024“ – zugehörige Pressemitteilung vom 23.04.2024
• Datenschutzaufsicht Sachsen: „Tätigkeitsbericht Datenschutz 2023“ – zugehörige Pressemitteilung vom 24.04.2024
• Datenschutzaufsicht Saarland: „32. Tätigkeitsbericht“ – zugehörige Pressemitteilung vom 24.04.2024