Die Nutzung von Office 365 war nach dem Schrems II Urteil des EuGH schon nahezu nicht mehr möglich, einzig es fehlt die Alternative. Ein Verzicht kommt für Unternehmen daher nicht in Frage. Insbesondere die nun stärkere Focusierung auf die Cloud, mit der damit verbundenen Datenverarbeitung außerhalb des EWR, sowie die Bereitstellung neuer Analysemöglichkeiten werfen neue Fragen auf, die bei der Verwendung von Office 365 zu beachten sind. Schließlich sichert der Arbeitgeber als Verantortlicher zu, dass bei der Verwendung von Office 365, die datenschutzrechtlichen Bedingungen eingehalten werden. Grundsätzlich ist der EInsatz von Office 365 als Arbeitsmittel und der damit verbundenen Verarbeitung personenbezogener Daten nach Art. 88 DS-GVO, zum Zwekce der Durchführung des Beschäftigtenverhältnisses gerechtfertigt. Üblicherweise gibt es hierzu einen Vertrag zur Auftragsverarbeitung mit Microsoft, als Auftragsverarbeiter. Nach Ansicht der DSK sind allerdings die von Microsoft zu Verfügung gestellten Dokumente zum Datenschutz nicht ausreichend. Es fehlt die Tranparenz, welche Daten von MIcrosoft erhoben und verarbeitet werden, welche Daten gegebenenfalls auf Server in die USA übertragen werden und ob die technischen und organisatorischen Maßnahmen hierzu ausreichend sind.

Bleibt zu hoffen, dass die Datenschutzbehörden alsbald eine Lösung finden, vielleicht in Form eines neuen Privacy-Shields oder neuen Standard-Vertragsklauseln. Bis dahin bleibt nur der Weg über die On-Premise-Lösung um rechtskonform zu bleiben.

02.06.2021