Ob und in welchem Umfang Microsoft-Dienste im Pfarrbüro genutzt werden können, ist immer wieder umstritten. Auch, wenn der Einsatz entsprechender Office-Software wie z.B. Microsoft Word, Excel und Powerpoint mittlerweile meist zentral von den Landeskirchen und Diözesen koordiniert wird, stellt sich die Frage nach deren datenschutzkonformem Einsatz immer wieder. Eine rechtliche Bewertung ist dabei allerdings relativ komplex, insbesondere, weil Microsoft verschiedene Produkte anbietet, die unterschieden werden müssen und weil die datenschutzrechtlichen Grundlagen sich in den letzten Jahren mehrfach geändert haben.

Seitens der Produkte sind grob drei Kategorien zu unterscheiden: 1) Relativ unproblematisch ist die Speicherung selbstständig erhobener Daten auf einem lokalen Laufwerk, also etwa die Liste mit den Anmeldungen zur Konfirmation in einem Worddokument. 2) Allerdings fallen auch bei solchen Verarbeitungen sogenannte Telemetriedaten an. Diese betreffen vor allem statistische Auswertungen zum Nutzerverhalten und zu Fehlermeldungen. Dabei können aber zu Diagnosezwecken sogar Inhalte mit an Microsoft versendet werden. Die Enterprise-Edition von Office bietet mittlerweile aber die Möglichkeit, wenigstens einige der Telemetriedatenströme abzuschalten – und natürlich sind Lösungen wie etwa die Blockierung durch Gruppenrichtlinien oder Firewalls denkbar (Quelle: BSI) und werden von den Kirchen teils umgesetzt. 3) Besonders problematisch und umstritten ist der Einsatz von Cloud-Diensten wie SharePoint und vor allem dem mittlerweile quasi automatisch mitinstallierten OneDrive. Damit können Dokumente sehr unkompliziert und direkt aus den Office-Anwendungen heraus in einen mit den Mitarbeitenden geteilten Datenpool geladen werden. Eine komfortable Funktion, die allerdings die Speicherung auf externen Servern voraussetzt. Microsoft hat in den letzten Jahren zwar massive Zusagen gemacht, was den datensicheren Umgang mit diesen Dokumenten angeht – die aktuelle Rechtslage bzw. die fehlende Rechtsgrundlage verhindert, laut Meinung vieler Datenschützer, letztlich eine DSGVO-konforme Nutzung von OneDrive.

Microsoft hat zwar in den letzten Jahren das Problem behoben, dass die betreffenden Daten auf Servern in den USA gelagert waren. Faktisch können Bussiness-Kunden sich mittlerweile die Speicherung auf deutschen Servern vertraglich zusichern lassen (Quelle: Microsoft. Rechenzentren in Deutschland). Nicht behoben ist damit aber die Tatsache, dass Microsoft selbst als amerikanisches Unternehmen der US-Gesetzgebung unterliegt. Diese sieht mit dem sogenannten CLOUD-Act vor, dass Unternehmen bei Anfragen der Ermittlungsbehörden betreffende Daten auch dann herausgeben müssen, wenn diese nicht auf Servern im US-Inland gelagert sind (Quelle: Heise.de. US-CLOUD-Act). Faktisch werden damit die Datenschutzgesetze anderer Staaten unterlaufen. Nach aktuellem Stand europäischer Datenschutzgesetzgebung ist ein solches Vorgehen letztlich eine Verletzung der nationalen Souveränität entsprechender Länder, sind doch solche Anfragen regelmäßig und nach dem international eigentlich üblichen Verfahren über Rechtshilfeersuche zu stellen. Das Problem, dass die US-Regierung prinzipiell auf alle Daten zugreifen kann, die von US-Unternehmen weltweit erhoben und gespeichert werden, bleibt also bestehen.

Dass das sogenannte Schrems-II-Urteil vom 16.07.2020 die entsprechende Rechtsgrundlage für datenschutzkonformen Austausch zwischen EU und USA, nämlich das sogenannte “privacy shield” gekippt hat, ist damit nur konsequent, da faktisch kein US-Unternehmen das erforderliche Datenschutzniveau für einen DSGVO-konformen Datenaustausch garantieren kann – und das auch nicht über Tochtergesellschaften in den einzelnen EU-Mitgliedsstaaten. Eine Absicherung der Nutzung von Office 365 inklusive der Cloud-Lösung ist damit eigentlich auch nicht mehr über die von der EU novellierten Standardvertragsklauseln möglich, solange es keine Zusicherung der USA gibt, die Macht der eigenen Ermittlungsbehörden zu beschränken. Schlussendlich handelt es sich damit um eine Ermessensfrage, ob mit der Umsetzung geeigneter Technischer und Organisatorischer Maßnahmen (TOMs) und dem Abschluss von Auftragsverarbeitungsverträgen mit Microsoft entsprechende Cloud-Lösungen verwendet werden können, etwa wenn die dort abgelegten Daten nicht zu sensibel sind und zusätzlich durch eigene Verschlüsselung abgesichert werden – was allerdings den Nutzenfaktor der Cloud nicht unerheblich einschränkt.

Von den kirchlichen Datenschutzbehörden liegen dazu einige Einschätzungen vor, die im Folgenden kurz erwähnt seien. Insofern sich KDG (Kirchliches Datenschutzgesetz) und EKD-DSG (Datenschutzgesetz der EKD) nicht wesentlich von der DSGVO unterscheiden, sind dieselben Bewertungsmaßstäbe anzulegen. Die jeweiligen Landeskirchen bzw. Bistümer setzen mittlerweile häufig auf Office 365, bei dem durch entsprechende Maßnahmen die Cloud-Funktionalität weitgehend unterdrückt und deaktiviert wird.

Rechtsgrundlage für die Evangelische Kirche sind an dieser Stelle die sogenannten Standardvertragsklauseln, die die EU auch nach dem Schrems II-Urteil nicht beanstandet hat. (Datenübermittlung in Drittländer – EKD-DSG § 10, 1 Nr. 2) Für die Evangelische Kirche interessant ist die Position des Datenschutzbeauftragten der Landeskirche Sachsens, der in einem Positionspapier schreibt: “Der Datenschutzbeauftragte für Kirche und Diakonie sieht den Einsatz von Microsoft Office 365 unter Bedingungen als möglich an.“ (Quelle: Datenschutzbeauftragter der EVLKS) Probleme sieht er weniger seitens des Anbieters, der aufgrund des öffentlichen Drucks fortwährend durch Zertifizierungen und technische Maßnahmen ein hohes Sicherheitsniveau gewährleistet, als auf Seiten der Nutzer, die durch nachlässige Verarbeitung personenbezogene Daten ungeschützt veröffentlichen könnten. Allerdings sind die nötigen Verträge mit Microsoft zur Auftragsverarbeitung mit Zusatzvereinbarungen abzusichern (Quelle: Datenschutzaufsicht der EKD), nach denen sich der Konzern auch den kirchlichen Datenschutzgesetzen unterwirft. Die sonst für Datenschutzbeauftragte üblichen Bearbeitungsschritte wie die Erstellung von Datenschutzerklärungen und Verarbeitungsverzeichnissen sind natürlich auch an dieser Stelle zu leisten, übersteigen aber regelmäßig die Kompetenzen der Pfarrpersonen, die im konkreten Alltag eigentlich davon betroffen wären. Der Einsatz von Office 365 ist damit, so der Datenschutzbeauftragte der EKD im Januar 2020, unter Berücksichtigung entsprechender Maßnahmen zulässig (Quelle: Datenschutzaufsicht der EKD). In Folge wird der Umgang mit Office 365 in der gesamten Evangelischen Kirche als unkritisch eingeschätzt und die Nutzung intensiviert.

An dieser Stelle unterscheiden sich nun katholische von evangelischen Datenschutzpositionen teils sehr deutlich. Während der Datenschutzbeauftragte des Erzbistums München im Blick auf die Installation von OneDrive gar von einer “Verbindung zur künftigen Illegalität” (Quelle: Datenschutzbeauftragter des Erzbistums München) spricht, formuliert das katholische Datenschutzzentrum Frankfurt am Main im Februar 2019 als zentrales Risiko bei der Nutzung von Microsoft Cloud Diensten neben dem Zugriff amerikanischer Geheimdienste über den CLOUD-Act die Beanstandung des Privacy-Shield Abkommens. Zur Beantwortung dieser Risiken rät es, unbedingt eine entsprechende Exit-Strategie bereit zu halten – insofern mit dem Schrems II-Urteil dieser Fall eingetreten ist, dürfte eine Nutzung entsprechender Cloud-Dienste nach katholischem Datenschutz-Verständnis nicht mehr möglich sein, weil Microsoft das entsprechend erforderliche Datenschutz-Niveau jetzt auch gerichtlich verbrieft nicht gewährleisten kann (Quelle: Katholisches Datenschutzzentrum Frankfurt am Main). Die katholischen Datenschutzaufsichten schließen sich also der Auffassung des EuGH an, nachdem auch die Zusicherung durch Microsoft, sich in Auftragsverarbeitungsverträgen, Zusatzvereinbarungen, Serverstandort-Kontrollen und Zertifizierungen transparent zu machen und den Datenschutzgesetzen der EU zu unterwerfen nicht ausreichend sind, weil der Zugriff durch die US-Regierung und ihre Ermittlungsbehörden nicht ausgeschlossen werden kann. Das nach KDG §29, 11 nötige Datenschutzniveau besteht also nicht. Weder liegen passende Angemessenheitsbeschlüsse vor noch können die von Microsoft vertraglich zugesicherten Maßnahmen einen Zugriff durch beispielsweise amerikanische Geheimdienste verhindern, sodass auch KDG §40 keinen Ausweg darstellt. Damit besteht keine Rechtsgrundlage für die potentielle Übertragung von Daten in die USA und folglich auch keine legale Möglichkeit, Daten in der Microsoft-Cloud abzulegen.