Allerdings sind die Microsoft-Cloud-Produkte in deutschen Unternehmen und vor allem auch in öffentlichen Organisationen derart verbreitet, dass ein potenzielles Verbot im Grunde undenkbar ist. Deutsche Organisationen würden mit dem Einsatz von Microsoft 365 im Verbotsfall quasi kollektiv einen Verstoß begehen.
Dennoch stellt sich für Verantwortliche, wie z.B. Vorstände oder Geschäftsführer die Frage, ob durch die Nutzung von Microsofts Cloud-Produkten nicht vielleicht doch Haftungsrisiken bestehen. Die oben beschriebene Duldung durch Datenschutzbehörden hin- oder her – Gesetzestext ist schließlich Gesetzestext.
Dieser Frage ist der Datenschutz-Experte Dr. Olaf Koglin, Rechtsanwalt in Berlin und Director HR und Legal beim zur Axel Springer SE gehörenden News-Aggregator upday, in einem interessanten Artikel im Datenschutz-Berater, Ausgabe 02/2022, nachgegangen.
Seine Kern-Überlegung möchten wir hier zusammengefasst darstellen:
Der entscheidende Punkt ist nicht die Frage, ob man Microsoft 365 Produkte einsetzt oder nicht, sondern: Was sind die Alternativen? Hierbei sind sämtliche IT-Risiken zu beachten und nicht nur der Spezialfall, ob ein US-Geheimdienst auf personenbezogene Daten zugreifen könnte.
Mit anderen Worten: Wähle ich anstelle einer Cloud-Lösung eine On-Premise-Lösung, ist diese dann sicherer? Oder: Wähle ich statt Microsoft 365 einen anderen Cloud-Anbieter, ist dieser dann sicherer? Und, um noch eins `draufzusetzen: Wenn ich bei einem europäischen Cloud-Anbieter bin, ist dann das Schutzniveau gegenüber europäischen Behörden höher als gegenüber US-amerikanischen?
Es muss also abgewogen werden. Dies führt zur sogenannten „Business Judgement“ Regel, die auf §93 Abs. 1 S.2 Aktiengesetz basiert (das auch für die Rechtsprechung für GmbHs gilt). Demnach liegt keine Pflichtverletzung vor, „wenn das Vorstandsmitglied (bzw. der Geschäftsführer, Anm. d. Verf.) bei einer unternehmerischen Entscheidung vernünftigerweise annehmen durfte, auf der Grundlage angemessener Information zum Wohle der Gesellschaft zu handeln.“
Das Fazit des Artikels ist daher: Wenn eine Entscheidung zum Zeitpunkt der Entscheidung professionell und vertretbar gefällt wurde, ist eine persönliche Haftung in der Regel ausgeschlossen. Es geht also bei der Entscheidung zwischen mehreren Alternativen um eine bewusste und nachvollziehbare Abwägung von Kosten, Nutzen und Risiken. Ist dies gegeben, dürften die Haftungsrisiken auf dem Niveau sein, das sich auch bei vielen anderen Entscheidungen ergibt.
Gleichwohl lenkt dieser Grundsatz das Augenmerk darauf, dass bekannte Risiken minimiert werden müssen. Speziell für die IT-Infrastruktur sind hier beispielsweise die Maßnahmen unseres Security-Leitfadens relevant. Aus übergeordneter Sicht sind dies u.a. die regelmäßige Prüfung von AV-Verträgen, der TOMs (Technisch-organisatorischen Maßnahmen) und der Verfahrensverzeichnisse.