Maja Smoltczyk Berliner Beauftragte für Datenschutz und Informationsfreiheit Friedrichstr. 219, 10969 Berlin Herrn Dr. Dirk Bornemann Head of Corporate, External and Legal Affairs Microsoft Deutschland GmbH Walter-Gropius-Straße 5 80807 München Geschäftszeichen: (bitte angeben) Abteilung: Bearbeiter(in): 682.52.3 IB Herr Bergt Durchwahl-Nr.: 030 13889-0 314 Datum: 27. Mai 2020 Telefon: Vorab per Fax: 089/3176-1000 Microsoft-Produkte in Veröffentlichungen zum Einsatz von Videokonferenzsystemen Ihr Schreiben vom 5. Mai 2020 Sehr geehrter Herr Dr. Bornemann, wie in unserem Schreiben vom 22. Mai 2020 angekündigt, möchte ich Ihnen gerne begründen, warum wir unsere Empfehlungen zum Einsatz von Videokonferenzsystemen durch Berliner Verantwortliche mit nur einigen Konkretisierungen im Wesentlichen unverändert wieder online gestellt haben. Ihre Ausführungen zu strafrechtlichen Aspekten können wir nicht nachvollziehen. Keine der Veröffentlichungen verhält sich hierzu. Ebenso wenig behauptet oder impliziert eine der Veröf- fentlichungen, Microsoft erstelle Nutzungsprofile und missbrauche diese dann zu den von Ihnen genannten – insbesondere werblichen – Zwecken. Zwar ergibt sich aus der ursprünglichen Checkliste deutlich, dass es sich nur um Empfehlungen handelt und dass für eine rechtmäßige Durchführung von Videokonferenzen mitnichten alle Punkte der Checkliste erfüllt sein müssen. Wir haben Ihr Schreiben allerdings zum Anlass ge- nommen klarzustellen, welche der Punkte Fragen der Rechtmäßigkeit ansprechen und dass verschiedene Produkte des Microsoft-Konzerns auch wesentliche Rechtmäßigkeitsvorausset- zungen nicht erfüllen. Für Skype und Microsoft Teams in der kostenlosen Version gelten nur der Microsoft- Servicevertrag und die Datenschutzerklärung, nicht aber die „Online Service Terms“ („OST“) und der „Anhang zu den Datenschutzbestimmungen für Microsoft-Onlinedienste (Deutsch, Ja- nuar 2020)“ („DPA“). Hier fehlt es somit bereits an einem Auftragsverarbeitungsvertrag oder einer Vereinbarung zur gemeinsamen Verantwortlichkeit. Warum auch eine Nutzung von Produkten, die den OST und dem DPA unterliegen, zur Verar- beitung personenbezogener Daten durch Verantwortliche datenschutzrechtlich unzulässig ist, soll im Folgenden beispielhaft aufgezeigt werden. Dies betrifft unter anderem auch professionel- le Lizenzmodelle für Microsoft Teams als Bestandteil von Microsoft 365 und Skype for Business Online. Berliner Beauftragte für Datenschutz und Informationsfreiheit Friedrichstr. 219 10969 Berlin Sprechzeiten: tgl. 10-15 Uhr Donnerstag 10-18 Uhr oder nach Vereinbarung Besuchereingang: Puttkamerstr. 16-18 rollstuhlgerechter Zugang Telefon 030 13889-0 Telefax 030 2155050 Elektronische Zugangseröffnung gem. § 3a Abs. 1 VwVfG: mailbox@datenschutz-berlin.de https://datenschutz-berlin.de Anfahrt mit öffentlichen Verkehrsmitteln: U-Bahn Linie 6, Station Kochstr. Bus Linie M29 und 248

-2- Ergänzend zu den folgend angesprochenen Aspekten sei auch auf den umfassenden Aus- tausch zwischen Microsoft und den Datenschutz-Aufsichtsbehörden im Zusammenhang mit Microsoft 365 (Office 365) verwiesen. 1. Verarbeitung von Auftragsdaten durch Microsoft auch zu eigenen Zwecken, feh- lende Rechtsgrundlage für Offenlegung durch Verantwortliche, Verstoß gegen Art. 26 DS-GVO Wie Sie selbst in Ihrem Schreiben vom 5. Mai 2020 zugestehen, verarbeitet Microsoft die eigentlich im Auftrag der Kundinnen und Kunden verarbeiteten personenbezogenen Daten („Auftragsdaten“) auch zu eigenen Zwecken. Eine Rechtsgrundlage für die damit verbundene Offenlegung personenbezogener Daten durch die Verantwortlichen an Microsoft ist nicht ersichtlich. Eine theoretisch in ganz besonderen Konstellationen aus- nahmsweise denkbare Einwilligung scheitert in der Praxis an einer Vielzahl von Proble- men, angefangen bei der reinen Erreichbarkeit der Personen, über die in einer Video- konferenz gesprochen wird und deren Daten damit verarbeitet werden, über die Freiwil- ligkeit der Einwilligung, den Nachweis der Freiwilligkeit und die Bestimmtheit der Einwil- ligung bis hin zur für die Wirksamkeit der Einwilligung erforderlichen genauen Informati- on der Betroffenen über die Datenverarbeitung. Auch für Microsoft kommt mindestens für einen Teil der verarbeiteten Daten – ganz deutlich für besondere Kategorien personenbezogener Daten i. S. v. Art. 9 DS-GVO – ausschließlich eine Einwilligung als Rechtsgrundlage in Betracht, die jedoch aus den vorstehenden Gründen praktisch ausscheidet. An der somit rechtswidrigen Verarbeitung durch Microsoft wären die unserer Aufsicht unterliegenden Auftraggeber/-innen jeden- falls als Teilnehmer/-innen sanktionierbar beteiligt. Aus der Verarbeitung der Auftragsdaten auch zu eigenen Zwecken von Microsoft folgt die Problematik einer gemeinsamen Verantwortlichkeit nach Art. 26 DS-GVO. Eine sol- che liegt nach der Rechtsprechung des EuGH nahe, ist jedenfalls anhand der nur rudi- mentären Angaben im DPA nicht auszuschließen. Dies ist mindestens im Hinblick auf die Rechenschaftspflicht der unserer Aufsicht unterliegenden Verantwortlichen nach Art. 5 Abs. 2 i. V. m. Art. 5 Abs. 1 lit. a DS-GVO ein Problem. Im Fall des tatsächlichen Vorliegens kommt hinzu, dass keine Vereinbarung nach Art. 26 DS-GVO besteht, so- dass in diesem Fall auch die Auftraggeberin oder der Auftraggeber als gemeinsam Ver- antwortliche/-r durch die Nutzung von Diensten unter Geltung von OST und DPA einen Rechtsverstoß begeht. 2. Unklarer Auftragsverarbeitungsvertrag verhindert Erfüllung der Rechenschafts- pflicht durch Verantwortliche Das DPA ist ein komplexes Regelwerk, das an vielen Stellen Regelungen enthält, die den gesetzlichen Mindestanforderungen widersprechen. Es gibt allerdings im Abschnitt „Datenschutzbestimmungen – Verarbeitung personenbezogener Daten; DSGVO“ einen in seiner Bedeutung unklaren Verweis auf Anlage 3 zum DPA, in der wiederum wesent- liche Inhalte aus den Art. 28, 32 und 33 DS-GVO wiedergegeben werden, ohne dass klar würde, ob diese Regeln nun für Microsoft verpflichtend dem eigentlichen – klar rechtswidrigen – Text des DPA vorgehen sollen oder nicht. Ein derart unklarer Auftragsverarbeitungsvertrag macht es Verantwortlichen unmöglich, ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 i. V. m. Art. 5 Abs. 1 lit. a DS-GVO nachzu- kommen.

-3- 3. Auftragsverarbeitungsvertrag erfüllt in keiner Auslegung die gesetzlichen Min- destanforderungen Aber selbst ohne Berücksichtigung der Unklarheiten und Widersprüchlichkeiten des DPA ist festzustellen, dass der Auftragsverarbeitungsvertrag nicht den Mindestanforderungen des Art. 28 DS-GVO entspricht. Denn auch Anlage 3 zum DPA übernimmt den relevanten Wortlaut des Art. 28 DS-GVO nicht vollständig. Jedenfalls Ziff. 2 lit. g der Anlage 3 bleibt hinter den gesetzlichen Min- destanforderungen des Art. 28 Abs. 3 lit. g DS-GVO zurück, indem eine Löschung oder Rückgabe der Auftragsdaten nach Auftragsende nur auf Wunsch der Verantwortlichen vorgesehen ist und nicht in jedem Fall. 4. Rechtswidriger Datenexport wegen unzulässig abgeänderter Standardvertrags- klauseln Darüber hinaus ist festzustellen, dass Microsoft im DPA im Abschnitt „Datenschutzbe- stimmungen – Datensicherheit – Prüfung der Einhaltung“ die Standardvertragsklauseln negativ abgeändert hat, auch wenn die Regelungen als „Zusatz“ bezeichnet werden und behauptet wird, die Standardvertragsklauseln würden hierdurch nicht abgeändert. Zwar besteht in der Einleitung des DPA eine allgemeine Aussage, dass die Standardver- tragsklauseln dem DPA vorgehen. Allerdings führt jede Einschränkung der Rechte und Pflichten aus den Standardvertragsklauseln, unabhängig von ihrer Formulierung und auch wenn sie an anderer Stelle für nachrangig und damit nicht anwendbar erklärt wird, zu einer unzulässigen Abwandlung der Standardvertragsklauseln. Denn damit wird be- zweckt und im Ergebnis regelmäßig auch erreicht, dass die Standardvertragsklauseln nicht vollständig angewendet werden können. Dementsprechend betont auch Erwä- gungsgrund 109 DS-GVO, dass sonstige Vertragsklauseln weder mittelbar noch unmit- telbar im Widerspruch zu den Standard-Datenschutzklauseln stehen dürfen. Somit ist festzuhalten, dass die Standardvertragsklauseln nicht zur Rechtfertigung von Datenexporten herangezogen werden können. Da sich Microsoft eine Verarbeitung der Auftragsdaten an jedem Ort vorbehält, an dem Microsoft oder seine Unterauftragsverar- beiter/-innen tätig sind (DPA, Abschnitt „Datenschutzbestimmungen – Datenübermittlun- gen und Speicherstelle – Datenübermittlungen“), kann auch die Selbstzertifizierung nach dem Privacy Shield nicht als Rechtfertigung für Datenexporte greifen. Mithin ist in jedem Fall keine rechtskonforme Nutzung der in Rede stehenden Dienste durch unserer Aufsicht unterliegende Verantwortliche möglich, weil mehrere Rechtmäßigkeitsanforde- rungen nicht erfüllt werden. Die umfassende Kritik der Datenschutz-Aufsichtsbehörden – auch unseres Hauses – am DPA kennen Sie aus dem intensiven und teilweise auch mit Ihnen persönlich geführten Austausch über Office 365 (nunmehr Microsoft 365). Wir würden uns sehr freuen, wenn Sie diese Kritik aufnehmen und die genannten Produkte künftig datenschutzrechtlich zulässig einsetzbar ge- stalten würden. Mit freundlichen Grüßen M. Smoltczyk