"Was erlauben DSK?"
Unwirksames Microsoft-Verbot der Datenschutzkonferenz (DSK)
Wer ist die DSK, dass sie so kraftvolle Aussagen treffen kann?
Von Rechtsanwalt Wilfried Reiners, PRW Group München
Vor 25 Jahren gab es die Wutrede von Herrn Trapattoni mit dem Ausruf: "Was erlauben Strunz?" Jeder mag sich seine Meinung zu Microsoft 365 bilden, aber heute müsste der Ausruf lauten: "Was erlauben DSK?" In einem Artikel der FAZ vom 13. Januar 2023 beginnen die Autoren Kristin Benedikt, Thomas Kranig und Professor Dr. Rolf Schwartmann ihren Beitrag mit:
"Die deutschen Datenschutzaufsichtsbehörden haben Ende November 2022 eine Stellungnahme zu Microsoft 365 veröffentlicht, die es in sich hat. Microsoft-Kunden können danach einen rechtmäßigen Einsatz der Software nicht nachweisen, mit anderen Worten: Microsoft 365 ist rechtswidrig."
Weiter schreiben die Autoren an anderer Stelle:
"Die DSK ist ein loser Zusammenschluss der unabhängigen Datenschutzaufsicht des Bundes und der Länder."
Wer ist die DSK, dass sie so kraftvolle Aussagen treffen kann? Was könnte die Rechtsfolge sein, wenn die Aussage falsch ist?
Die Datenschutzkonferenz besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder. Sie ist ein rechtlich nicht festgelegter (loser) Zusammenschluss der vorgenannten Behörden. Das beliebteste Beispiel für einen losen Zusammenschluss ist der Stammtisch.
Der aktuelle Koalitionsvertrag sieht zwar vor, die DSK zu institutionalisieren, damit sie einheitlich rechtlich verbindliche Beschlüsse fassen kann. Das ist aber (noch) nicht umgesetzt. Solange dies nicht umgesetzt ist, hat die "Stammtischrunde" keinerlei rechtlich anerkannte Befugnisse. Wäre die DSK eine Behörde mit Befugnissen, wäre ihre Warnung vor Microsoft 365 so etwas wie ein Verwaltungsakt. Microsoft hätte dann die Möglichkeit, diesen für sie negativen Verwaltungsakt von einem Verwaltungsgericht überprüfen zu lassen. Stammtischrunden können Sprüche klopfen, aber keine Verwaltungsakte erlassen.
Art. 16 der Charta der Grundrechte der Europäischen Union schützt die unternehmerischen Grundrechte. Ein Eingriff darin ist nur zulässig, wenn es dazu eine gesetzliche Erlaubnisvorschrift gibt. Das ist hier nicht der Fall. Organisationen und EntscheiderInnen, die Microsoft 365 entweder im Einsatz haben oder implementieren möchten, finden sich nun in einer unangenehmen Situation. Denn es herrscht vielfach Rechtsunsicherheit unter den Verantwortlichen. Zusammenfassend hat also ein loser Zusammenschluss einen gewaltigen "Spruch rausgehauen," der so vom Gesetzgeber nicht vorgesehen ist.
Und was ist die Rechtsfolge? Bisher ist keine Rechtsfolge bekannt. Lediglich die Reaktion von Microsoft, in der das Unternehmen seine Sicht der Dinge darstellt.
Was lehrt uns das Vorgehen der DSK? Wenn eine Behörde das Risiko scheuen möchte, mit einer Untersagungsverfügung zu unterliegen, wählt sie das sanktionslose, aber stark fremdbelastende, Stammtisch-Modell. Warum hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), das derzeit die Hausanschrift der DSK vorhält, nicht einfach eine Untersagungsverfügung der Nutzung von M365 an die Microsoft Deutschland GmbH ausgesprochen? Dann könnte das Verfahren seinen rechtsstaatlichen Weg nehmen.
Autor:
Rechtsanwalt Wilfried Reiners ist einer der renommiertesten Juristen im Umfeld digitaler Themen und CEO der PRW Group und Mitbegründer der PRW Legal Tech GmbH.
(PRW Legal Tech: ra)
eingetragen: 06.02.23
Newsletterlauf: 25.04.23
PRW Legal Tech: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.