Sehr kluger, sachlicher Beitrag in der FAZ vom Montag, den 12. Dezember 2022, mit dem Titel “Microsoft 365 – so sollte Datenschutz nicht sein“. Ein paar Zitate:
Die deutschen Datenschutzaufsichtsbehörden haben Ende November 2022 eine Stellungnahme zu Microsoft 365 veröffentlicht, die es in sich hat. Microsoft-Kunden können danach einen rechtmäßigen Einsatz der Software nicht nachweisen, mit anderen Worten: Microsoft 365 ist rechtswidrig. Nach dem Willen der Aufsicht soll hierzulande die Nutzung von Microsoftprodukten also faktisch eingestellt werden.
Dazu ist festzustellen:
Solange das Bundesdatenschutzgesetz keine Regelungen zur Datenschutzkonferenz enthält, hat der lose Zusammenschluss keinerlei rechtlich anerkannte Befugnisse.
Man kann als Microsoft-Kunde die Bewertung der Datenschutzkonferenz schlicht ignorieren.
Betrachtet man den behördlichen Prüfungsmaßstab rechtlich, dann zeigt sich, dass die Bewertung der Datenschutzkonferenz auch im zweiten Anlauf auf eine vollständige Prüfung von Microsoft 365 verzichtet.
Der Auftrag wurde also nicht erfüllt.
Es ist ein modernes und konstruktives Selbstverständnis der Behörden gefragt. Die DSGVO verleiht den Behörden nicht nur Sanktionsrechte, sondern regelt auch einen Beratungsauftrag. Es ist zunehmend Präventionsarbeit gefordert. Repressives Handeln hilft wenig, denn Ziel muss sein, Datenschutzverstöße im Vorfeld zu verhindern, statt im Nachhinein zu sanktionieren. Das gelingt nur, wenn Behörden ihre Aufgabe als Berater und Begleiter der Digitalisierung verstehen.
Genau das haben sie bisher nicht getan. Wer etwas erreichen will, findet Wege. Wer etwas verhindern will, findet Gründe. Daran kann jeder seinen Datenschutzbeauftragen messen.