EDSB-Verfahren zur Microsoft-365-Nutzung abgeschlossen- DS News KW 31/2025

Transkript zur Folge:

Und wo laufen wir denn hin?
Wir laufen in Richtung Datenschutz-Talk-Aufnahme.
Yippie!
Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update.
Heute ist Freitag, der 1. August 2025.
Mein Name ist David Schmidt und an meiner Seite begrüße ich heute Natalia Wozniak.
Hallo.
Hallo Natalia. Unser Redaktionsschluss war heute schon um 9.30 Uhr aus organisatorischen
Gründen. und ja, ich glaube, wir haben wieder einiges an interessanten Themen mitgebracht.
Was hat es bei dir auf den Zettel geschafft, Natalia?
Bei mir haben es zwei Themen geschafft. Zum einen das Durchsetzungsverfahren
des Europäischen Datenschutzbeauftragten gegen die EU-Kommission bezüglich der
Nutzung von Microsoft 365,
und eine Kartellprüfung durch eine Aufsichtsbehörde in Italien wegen Meta-KI in WhatsApp.
Und darüber hinaus habe ich noch zwei Lesehinweise mitgebracht.
Ich berichte heute um einen Rechtsstreit rund um die Lidl Plus App.
Dann habe ich noch einen Rechtsstreit mitgebracht, in dem es um eine Cyberversicherung
ging und auch noch ein paar Veröffentlichungstipps im Gepäck.
Klingt wirklich gut. Okay, ich lege mal los. Und zwar das erste Thema,
das Durchsetzungsverfahren des Europäischen Datenschutzbeauftragten gegen die
EU-Kommission bezüglich der Nutzung von Microsoft 365.
Der Europäische Datenschutzbeauftragte hat das Durchsetzungsverfahren gegen
die EU-Kommission abgeschlossen.
Hintergrund des Ganzen ist, dass der EDSB bereits im März 2024 eine Reihe von
Verstößen bei der Nutzung von M365 durch die EU-Kommission festgestellt hat,
und der Kommission Korrekturmaßnahmen auferlegt hat.
Der EDSP stellt nun fest, dass die zuvor festgestellten Verstöße behoben wurden,
insbesondere durch neue vertragliche, organisatorische und technische Maßnahmen der Kommission.
Damit hat sich also die im Jahr 2024 geprüfte Sachlage erheblich geändert.
Wesentliche Verbesserungen durch die EU-Kommission sind ebenfalls dargestellt
in der Pressemitteilung, nämlich zum einen die Zweckbindung,
das heißt durch aktualisierte vertragliche technische und organisatorische Maßnahmen
wurde nun sichergestellt,
dass Microsoft und dessen Unterauftragsverarbeiter Daten ausschließlich auf
der Grundlage dokumentierte Anweisungen und nur für bestimmte Zwecke verarbeiten dürfen.
Bezüglich des Themas Übermittlung in Drittländern hat sich ebenfalls etwas Neues ergeben.
Die Kommission hat nun auch die spezifischen Empfänger und Zwecke festgelegt,
für die personenbezogene Daten bei der Nutzung von Microsoft 365 übermittelt werden dürfen.
Auch wurden zusätzliche technische und organisatorische Maßnahmen der Kommission
und von Microsoft sollen zum Einsatz kommen.
Diese schränken die Möglichkeit von Übermittlungen in Drittländer ein.
Die nicht unter einen Angemessenheitsbeschluss fallen.
Ein weiterer Punkt sind zusätzliche vertragliche Bestimmungen,
die regeln sollen, wie die Unterrichtung der EU-Kommission über Offenlegungsersuchen
eingeschränkt werden kann.
Die Unterlassung der Unterrichtung soll nur durch EU-Recht und das Recht der
Mitgliedstaaten vorgeschrieben werden können.
Damit entspricht die Nutzung von Microsoft 365 im Ergebnis,
also durch die EU-Kommission, nach der Anpassung den Datenschutzvorgaben für
EU-Institutionen, die in der EU-Verordnung 2018-1725 genannt sind.
Die EU-Kommission hat die Verbesserung der Lizenzvereinbarung mit Microsoft
anderen Organen, Einrichtungen und Stellen der EU zur Verfügung gestellt,
damit die Einhaltung der EU-Verordnung 2018-1725 sichergestellt werden kann.
Hier noch einmal die Klarstellung. Die Verordnung 2018-17-25 ist nicht die DSGVO,
sondern sie regelt die Verarbeitung personenbezogener Daten durch Organe,
Einrichtungen und sonstige Stellen der Union.
Den Brief, in dem die Verbesserungen zusammengetragen sind und über den bestätigten
Abschluss des Verfahrens verlinken wir in den Shownotes.
Hierin geht der EDSB auf die wichtigsten Veränderungen im Laufe des Verfahrens ein.
Für die Praxis und damit für die öffentlichen und privaten Stellen im Anwendungsbereich
der DSGVO bedeutet dies also nicht automatisch, dass Microsoft 365 jetzt einfach
so zulässigerweise genutzt werden kann.
Es empfiehlt sich vielmehr, und immer noch, zu prüfen, inwieweit die durch die
EU-Kommission getroffenen Verbesserungen tatsächlich selbst umgesetzt werden können.
Dies bedeutet zunächst die Überprüfung und gegebenenfalls Nachbesserung von
vorhandenen Verträgen und den getroffenen technischen und organisatorischen Maßnahmen.
Insgesamt ist aber auf jeden Fall erfreulich, dass es diese Orientierungshilfe,
so kann man es glaube ich nennen, aktuell gibt, die einfach eine Hilfestellung
ist, wie Microsoft 365 zulässigerweise eingesetzt werden kann.
Wir werden sehen, wie sich das jetzt für die Praxis tatsächlich auswirkt und
wie Microsoft auf die potenziell zu erwartenden weiteren Anfragen aus der privaten
Wirtschaft vielleicht reagieren wird.
Ja, ist ja, glaube ich, eine erfreuliche Entwicklung. Aber gleichzeitig ist
natürlich auch dein Hinweis wichtig,
dass es immer individuell geprüft werden muss, dass sich bei Microsoft 365 fast
wöchentlich Dinge ändern und dass auch sehr, sehr viel noch individuell konfiguriert werden kann.
Ja, genau so ist es.
Das OLG Stuttgart hat seine richtungsweisende Entscheidung zur Diddl Plus App
für den 24. September angekündigt.
Zugleich hat es klargestellt, dass die Revision durch den Bundesgerichtshof
aber voraussichtlich zugelassen wird und dass dieser wiederum den Europäischen
Gerichtshof anrufen könnte.
Hintergrund ist hier ein Streit zwischen dem Bundesverband der Verbraucherzentrale
und dem Discountriesen Lidl.
Dieser verspricht seinen weltweit über 100 Millionen Nutzern der Lidl Plus App
kostenlose Rabatte, Coupons und Sonderangebote.
Um diese Angebote wahrnehmen zu können, müssen im Gegenzug aber personenbezogene
Daten preisgegeben werden.
Die Verbraucherzentrale kritisiert, das sei für viele nicht transparent genug.
Der Vorwurf lautet, Lidl informiere nicht ausreichend darüber,
dass Kundinnen und Kunden die Rabatte mit ihren Daten bezahlen.
Die entscheidenden Fragen, die das Gericht beantworten muss,
lauten somit, erstens muss Lidl einen Gesamtpreis angeben, auch wenn keine Geldzahlung
erfolgt, sondern persönliche Daten fließen und zweitens darf Lidl das Angebot
überhaupt als kostenlos bezeichnen,
wenn es zwar kein Geld kostet, aber dafür Daten verlangt werden.
Diese Fragen dürften sich vor allem um die Auslegung der § 327 fortfolgende BGB drehen,
die in ihrer aktuellen Fassung im Januar 2022 in Kraft getreten sind und wiederum
auf einer EU-Richtlinie basieren.
Die Vorschriften erkennen zwar an, dass auch personenbezogene Daten ein Entgelt darstellen können.
Details sind aber bisher weitgehend ungeklärt, genauso wie das Verhältnis zur DSGVO.
Aus diesem Grund schließen die Richter des OLG Stuttgart auch nicht aus,
dass eine abschließende Entscheidung erst möglich ist, nachdem der Europäische
Gerichtshof angerufen wurde.
Da dann wiederum spannend, wieso die das nicht selber direkt gemacht haben, aber gut, ist halt so.
Zuletzt hatte auch die Datenschutz-NGO Neub einen umfassenden Bericht zum Thema Pay or Okay vorgelegt.
Darin wird kritisiert, dass viele Webseiteninhalte nur gegen Bezahlung mit Geld
oder mit einer Einwilligung in die Verarbeitung personenbezogener Daten abrufbar sind.
Die Verarbeitung, in die da eingewilligt wird, sei aber selten ausreichend transparent.
Zudem bewertet Neub die Einwilligung als regelmäßig unwirksam,
da die Bezahloptionen weniger sichtbar gestaltet werden als die Einwilligungsoptionen
oder einfach unverhältnismäßig hohe Geldbeträge verlangt werden.
Insgesamt wird es also wahrscheinlich noch etwas dauern, bis wir eine belastbare
Einordnung der Rechtslage haben.
Auf das Urteil aus Stuttgart darf trotzdem gespannt gewartet werden und wird
so oder so nicht nur in eine bestimmte Richtung einschlagen,
sondern die Diskussion um das Thema Zahlen mit Daten auch weiter anheizen.
Wer bisher noch keine Gelegenheit hatte, sich mit der Thematik Zahlen mit Daten
auseinanderzusetzen, Den möchte ich noch auf unsere entsprechende Themenfolge hinweisen.
Ist jetzt auch schon etwas her. Wie gesagt, 2022 sind diese neuen Regelungen in Kraft getreten.
Damals haben aber unter anderem wir beide, Natalia, über die Neuerungen gesprochen
und ja, vielleicht machen wir dazu ja nochmal ein Update,
wenn die Thematik von der Rechtsprechung dann auch behandelt wurde.
Ich habe tatsächlich gerade überlegt, ja, da gab es doch was vor einem Jahr oder vor zwei Jahren.
Jetzt sagst du 2022, wie die Zeit verfliegt.
Ja, ich finde es sehr spannend, dass das Thema jetzt wieder aktuell wird,
weil wir kennen ja alle die Webseiten, wo dann dieser Cookie-Banner vorgeschaltet
ist, nur einwilligen oder es kostet Geld, ist immer mehr zur täglichen Praxis geworden.
Und wenn das jetzt tatsächlich nochmal aufgegriffen wird außerhalb des Webseiten-Kontextes,
Ich glaube, das tut da nochmal einen neuen Schwung reinbringen und es ist etwas, was noch ansteht.
Aber ich glaube, es wird ein spannendes Thema bleiben und ich bin mal gespannt
auch, wie weit das wirklich nach oben geht, ob es wirklich zum Europäischen
Gerichtshof geht und was dann das Ergebnis sein wird.
Von daher, wir bleiben dran, wir bleiben dran.
Absolut.
Ich habe bei meinem nächsten Thema auch etwas mitgebracht, was noch nicht final
beschlossen oder entschieden ist, sondern quasi eine Ankündigung.
Und zwar startet die Kartellbehörde in Italien mit ihrer Prüfung wegen der Einbindung
von Meta-KI in WhatsApp.
Seit März 2025 bindet nämlich Meta seinen KI-Dienst auf der WhatsApp-App an.
Dabei ist der KI-Dienst Meta-AI ungefragt vorinstalliert.
Meta-AI ist ein Chatbot oder auch ein KI-Assistentendienst,
der künstliche Intelligenz nutzt, um allgemeine Anfragen verschiedener Art zu
beantworten und Interaktionsformen anzubieten, bei denen virtuelle Assistenten
zum Tragen kommen oder diesen ähneln.
Wie Heise nun berichtet, sieht die italienische Wettbewerbsbehörde hier eine
Beeinträchtigung des Wettbewerbs.
Denn Meta hat mit WhatsApp eine marktbeherrschende
Stellung im Bereich der Kommunikations-Apps für Verbraucher.
Konkret wird durch die Kombination der Meta-Plattforms Meta.ai mit WhatsApp
die Kundenbasis in den aufkeimenden KI-Markt geleitet.
Dies erfolge hier, so der Vorwurf der Wettbewerbsbehörde,
nicht durch Leistung im Wettbewerb, sondern durch Aufzwingen von zwei unterschiedlichen
Diensten, die in Kombination gebracht werden, was womöglich eben den Mitbewerbern schadet.
Die italienische Wettbewerbsbehörde hat daher in enger Zusammenarbeit mit den
zuständigen Dienststellen der Europäischen Kommission beschlossen,
eine Untersuchung gegen Meta-Plattforms Inc., Meta-Plattforms Irland Limited,
WhatsApp Irland Limited und Facebook Italy, SRL, zusammenfassend als Meta bezeichnet, einzuleiten.
Wie es mit der Untersuchung weitergeht, werden wir sicherlich noch berichten.
Vielleicht nochmal zu den Hintergründen, was hier tatsächlich datenschutzrechtlich wichtig ist.
Denn die Kombination beider Dienste ist zunächst in WhatsApp daran zu erkennen,
dass rechts unten seit März so ein bläulicher Kreis angebracht ist.
Wer hier drauf tippt, ob jetzt aus Versehen oder absichtlich,
ruft die Meta-AI auf. Im Suchbereich der App ist die META-AI ebenfalls verankert.
Unklar ist also hierbei, ob und wie Interaktionen verschlüsselt sind und ob bzw.
Wie sie von META gespeichert und ausgewertet werden.
Zudem lässt sich dieser blaue Kreis, also die META-AI-Schaltfläche,
nicht durch den Nutzer entfernen.
Durch die so erzwungene Nutzung der KI-Funktion ohne Einwilligung entstehen
daher auch datenschutzrechtliche Bedenken.
Denn die Nutzerkontrolle ist eingeschränkt und die Frage des Datenzugriffs und
eines möglichen Profilings durch Meta bleibt also offen.
Dies besonders im Kontext der DSGV-relevanten Transparenz- und Rechtsgrundlagenpflicht.
Insofern, das Thema ist offen. Es ist, glaube ich, auch ein sehr interessantes Thema,
was jetzt hier zwar seinen Ursprung in Wettbewerbsrecht hat,
Aber sicherlich vielleicht auch, das wäre erfreulich, neue Informationen im
Hinblick auf die datenschutzrechtlichen Unklarheiten mit sich bringen wird.
Ja und das ist ja auch so ein Trend, den wir gerade sehen, dass in allen möglichen
Tools, die wir täglich benutzen, KI-Komponenten zusätzlich implementiert werden,
mehr oder weniger ungefragt.
Natürlich sind die auch oft hilfreich, aber klar, derjenige,
der die nicht benutzen will, der ist dem Ganzen ausgeliefert und bei WhatsApp
sprechen wir natürlich nach wie vor von einem Riesenunternehmen mit einer unglaublichen Marktmacht.
Ja, ich glaube, wir können an der Stelle den Unternehmen tatsächlich wärmstens
ans Herz legen, wenn jetzt AI-Komponenten eingebunden werden,
dass zum einen der Punkt Transparenz, Transparenzpflicht,
zum anderen das Thema mit der Rechtsgrundlage wirklich beleuchtet werden sollten,
um hier keine Schwachstellen zu eröffnen oder offen stehen zu lassen. Das war es zu dem Thema.
Ich gehe hoch in den Hohen Norden zum Landgericht Kiel.
Dies hat einer Versicherung Recht gegeben, die infolge eines Cybervorfalls bei
einem KMU nicht zahlen wollte.
In dem verhandelten Fall hatte ein Unternehmen eine Cyberversicherung abgeschlossen
und in den Vertragsunterlagen versichert, dass alle Arbeitsrechner mit aktueller
Schutzsoftware ausgestattet sind.
Das war jedoch tatsächlich nicht der Fall. Teilweise war die Software schon
zum Vertragsschluss veraltet oder gar nicht erst vorhanden.
Und dann ist natürlich passiert, was passieren musste. Kurz nach Vertragsschluss
wurde dann der Server, der für den Webshop des Unternehmens genutzt wurde,
gehackt und musste heruntergefahren werden.
Der Betrieb stand vorübergehend still, wofür die Versicherung aufkommen sollte.
Die Versicherung konnte sich dann aber durch Anfechtung wegen arglistiger Täuschung
dieser Kompensation entziehen.
Nach Ansicht des Gerichts handelte der zuständige IT-Mitarbeiter des Unternehmens
arglistig, weil er die Angaben zur IT-Sicherheit gemacht hatte,
ohne die Systeme vorher ausreichend zu prüfen.
Auch wenn hier primär zivilrechtliche Fragestellungen behandelt wurden.
Zeigt sich eine mittelbare Relevanz für den betrieblichen Datenschutz.
Und zwar sind angemessene und aktuelle technische und organisatorische Maßnahmen
nicht nur eine gesetzliche Verpflichtung, wie wir ja alle wissen sollten,
sondern können im Ernstfall auch über die Versicherbarkeit und ob eine Versicherung
dann auch zahlt, entscheiden.
Da im Streitfall die Beweislast grundsätzlich beim Unternehmen liegt,
ist auch deshalb eine lückenlose Dokumentation der ergriffenen technischen und
organisatorischen Maßnahmen unbedingt vorzuhalten.
Angaben ins Blaue hinein bergen sowohl immer ein datenschutzrechtliches Risiko,
als auch, wie hier in dem Fall, unkalkulierbare weitere Risiken.
Wer zum Thema Cybersicherheit noch mehr erfahren will, auch hierzu haben wir
bereits eine Themenfolge veröffentlicht, die wir gerne nochmal verlinken.
In der Folge war der Fachmann Hanno Pingsmann zu Gast im Datenschutz-Talk bei Markus Zechel.
Ich glaube, wir werden nicht müde zu betonen und auch betonen zu müssen,
wie wichtig es ist, wirklich angemessene technische und organisatorische Maßnahmen zu treffen.
Und ich glaube, dein Fall hier zeigt gerade, dass es nicht nur das Thema Bußgelder
oder Schadensersatzansprüche von Betroffenen ist,
sondern wirklich auch etwas, was sich direkt finanziell auswirken kann,
indem eine Versicherung dann
sagt, tut mir leid, ich zahle nicht im Falle eines Versicherungsfalls,
weil entweder die Angaben am Anfang nicht richtig gemacht wurden oder die Maßnahmen
vielleicht insgesamt nicht so getroffen wurden, wie sie hätten sein sollen.
Finde ich sehr spannend und ein weiteres Argument oder ein weiterer Grund zu
betonen, bitte, bitte, bitte trefft alle angemessene technische und organisatorische Maßnahmen.
Und ja, ich glaube, der Bericht von unserem Markus oder der Artikel von unserem
Markus, die Themenfolge, den können wir wärmstens ans Herz legen.
Und wie du sagst, das Thema Tom lässt uns nicht los.
Ich bleibe auch direkt dabei, gehe
dabei aber schon in unsere Veröffentlichungstipps für diese Woche über.
Vorgestern, also am 30. Juli, hat die Bundesregierung einen Entwurf für das
lang erwartete Gesetz zur Umsetzung der NIST-2-Richtlinie vorgelegt.
Den Entwurf gibt es auf der Webseite des BSI zum Download.
Und dort gibt es auch für diejenigen, die es noch nicht gesehen haben,
ein interaktives Tool, mit dem Unternehmen prüfen können, ob sie in den Anwendungsbereich reinfallen.
Finde ich sehr cool. Und versprochen die letzte Eigenwerbung für diese Folge.
Auch hierzu haben wir erst kürzlich eine Themenfolge gemacht.
Genauer gesagt hat unser Chef Heiko Gossen unseren Kollegen Stefan Auge,
der gerade tief in der Thematik ist, interviewt.
Wahnsinn.
Wahnsinn, was wir alles schon gemacht haben, oder? Ja, wir sind gut.
Okay, ich komme zu einem weiteren Lesehinweis. Und zwar hat das BSI am 25.
Juli 2025 ein White Paper veröffentlicht, das auf systematische Verzerrungen bzw.
Ungleiche Behandlung von Nutzenden oder Unternehmen, in Klammern kurz Bias,
in KI-Systemen und ihre Auswirkungen auf Sicherheit und Fairness hinweist.
Das BSI fordert darin konkrete Handlungen von Entwicklenden,
von Anbietenden und von Betreibern von KI-Systemen.
Die Veröffentlichung zeigt, wie vorurteilsbehaftete Trainingsdaten zu diskriminierenden
oder fehlerhaften KI-Entscheidungen führen können und besonders kritisch sind
hier laut BSI Bias-Effekte in sicherheitsrelevanten Bereichen wie Cybersicherheit,
Behördeneinsatz oder kritische Infrastrukturen.
Das BSI fordert hier gezielte Prüfmechanismen und Transparenz bei KI-Systemen,
um Vertrauen und Rechtskonformität zu sichern.
Von daher, ich glaube, gerade in der heutigen Zeit, wo das Thema KI immer mehr
Relevanz gewinnt, sicherlich ein Lesehinweis wert.
Absolut. Und auch ein Lesehinweis wert ist die Pressemitteilung,
die die Hamburger Datenschutzaufsicht anlässlich der Pride Week veröffentlicht hat.
Darin geht es um die Sensibilität von Daten zu geschlechtlichen Identitäten
und zur datensparsamen Erhebung in der Praxis.
So, ich habe jetzt noch die LDI NRW im Angebot.
Die LDI NRW gibt nun aktuell eine Hilfestellung zur Verarbeitung von Gesundheitsdaten
im Beschäftigungsverhältnis.
Die Landesdatensbeauftragte NRW, also LDI NRW, gibt hier den Beteiligten nun
erstmals eine Hilfestellung an die Hand.
Sie erklärt, was erlaubt ist und was nicht, insbesondere wenn Beschäftigte länger
krank sind und Arbeitgeber bestimmte Informationen benötigen,
um zum Beispiel die weitere Zahlung des Arbeitsentgelts zu prüfen.
Die LDI beschäftigt sich hier insbesondere mit der Erforderlichkeit zur Entgeltfortzahlungspflicht,
der Frage der Einwilligung und mit der sicheren Aufbewahrung.
Und ich glaube, das Thema ist etwas, was tatsächlich jedes Unternehmen betrifft,
denn sobald man Mitarbeiter hat, hat man auch deren Gesundheitsdaten.
Von daher auch hier einen Hinweis wert. Ich glaube, wir haben es jetzt.
Ich wollte gerade sagen, ich glaube, damit haben wir alle Hinweise für diese Woche untergebracht.
Wir bedanken uns ganz herzlich fürs Zuhören, wünschen euch ein schönes Wochenende,
falls ihr uns heute zuhört oder einen guten Start in die nächste Woche,
falls ihr uns erst am Montag hört und wären dankbar, wenn ihr uns treu bleibt. Bis bald.
Bis zum nächsten Mal. Schönes Wochenende. Tschüss.