von RA Phil Salewski

Microsoft 365 vs. Datenschutzbehörden: Rechtskonformer Einsatz möglich?

News vom 27.10.2020, 10:08 Uhr | Keine Kommentare

Bereits seit 2019 hat sich ein spezieller Arbeitskreis der Datenschutzkonferenz von Bund und Ländern (DSK) mit der Cloud-Software „Microsoft 365“ befasst und die Konformität von Datenerhebungen, -speicherungen und -übermittlungen überprüft. Am 22.09.2020 urteilte die DSK sodann mit knapper Mehrheit zu Datenschutzproblemen des Dienstes. Mehr zu den Hintergründen und Entscheidungskriterien sowie eine Risikoeinschätzung lesen Sie in diesem Beitrag.

I. Microsoft 365: intransparente und zugriffsgefährdete Datenverarbeitungen?

Microsoft Office ist eine Office-Lösung mit Cloud-Komponenten, die aus einem Online-Dienst und einer Office-Webanwendung besteht. Im Unterschied zum lokal auf einem Rechner betriebenen „Microsoft Office“ ermöglicht die „365“-Variante es Anwendern, Office-Dateien cloudbasiert abzulegen und so ortsunabhängig von beliebigen unterstützen Endgeräten aus zu arbeiten.

Dass diese Cloud-Lösung für ihre ordnungsgemäße Funktion nicht ohne die Verarbeitung diverser Informationen auskommt, liegt zwar auf der Hand.

Eine seit 2019 mit der Office-Lösung befasste Delegation der Datenschutzkonferenz von Bund und Ländern (DSK) kommt aber zu dem Ergebnis, dass Microsoft Daten über den Dienst jenseits dessen verarbeitet, was nach der DSGVO erlaubt ist.
Einigkeit besteht, dass Microsoft bei der Bereitstellung der „365“-Services als Auftragsverarbeiter für Anwender tätig wird.

Nach Ansicht der Datenschützer fehle es aber an hinreichender Transparenz dahingehend, welche Arte von personenbezogenen Daten überhaupt von Microsoft erhoben würden. So sei unklar, welche Informationen beim Anwender abgegriffen und für welche Zwecke sie genutzt würden. Behindert werde eine klare Bewertung auch dadurch, dass verschiedene Erklärungen zum Datenschutz über diverse Vertragsgrundlagen (etwa die „Online Service Terms“ von Microsoft einerseits und das „Data Processing Addendum“ andererseits) verstreut seien.

Als weiteres Problem wurde identifiziert, dass Microsoft Diagnosedaten beim Anwender erhebe und diese auch an Microsoft-Server in den USA übertrage. Dort seien die Daten – zumindest ohne weitere Maßnahmen von Seiten Microsofts, über welche keine Aussage getroffen werde –aber nicht hinreichend vor Zugriffen durch amerikanische Sicherheitsbehörden geschützt.

Auch fehle es auf Seiten von Microsoft auch an hinreichenden Informationen zu den Datensicherheitsmaßnahmen, welche Microsoft zur Minimierung des Verletzungsrisiko eingerichtet haben müsste.

Schließlich sei datenschutzrechtlich bedenklich, dass Microsoft erhobene Daten an Unterauftragnehmer weitergebe, ohne – gemäß Auftragsverarbeitungsvertrag – eine hinreichende Zustimmung des Anwenders dafür einzuholen. Eine solche komme nur in Betracht, wenn der Anwender auch über die aktuell genehmigten Subunternehmer aufgeklärt werde. Daran fehle es aber derzeit.

asd

II. Welche Dienste sind betroffen?

Nach Ansicht der Datenschützer kritisch zu bewerten ist der Einsatz der folgenden Office-Komponenten (in der Cloud-Variante von Microsoft 365):

  • Word
  • Excel
  • PowerPoint
  • Microsoft Teams (Kommunikationsdienst)
  • One Drive (Cloud-Speicher)

Offensichtlich nicht betroffen soll das für Unternehmer besonders relevante Mailprogramm „Microsoft Outlook“ sein.

Von der Diskussion ausgeschlossen ist im Übrigen die Microsoft Office in der Desktop-Version, die mit rein lokalem Speicher arbeitet.

III. Uneinigkeit bei der DSK: 9 zu 8 gegen Datenschutzkonformität

Auf Basis der Untersuchungsergebnisse entschied die DSK am 22.09.2020 in einem noch nicht veröffentlichten Positionspapier, dass eine datenschutzkonforme Verwendung von „Microsoft 365“ derzeit nicht möglich sei.

Beachtenswert hierbei aber ist, dass die Entscheidung äußerst knapp ausfiel. 8 Landesdatenschutzbehörden (darunter diejenigen aus Bayern, Baden-Württemberg, Hessen und dem Saarland) teilten die Positionen nicht, weil sie „zu undifferenziert“ ausfielen.

Gebeten wurde sogar darum, im offiziellen Protokoll das jeweilige abweichende Votum kenntlich zu machen.

IV. Was gilt nun in Bezug auf Microsoft 365?

Bezüglich der Datenschutzkonformität von Microsoft 365 scheint ein letztes Wort noch nicht gesprochen. Dass sich 8 Landesbehörden gegen die Einschätzungen stellten, zeigt, dass Datenschutzprobleme in Verbindung mit dem Microsoft-Service nicht eindeutig sind.

Grund hierfür mag vor allem sein, dass sich die Untersuchungsdelegation weit überwiegend auf Erklärungen Microsofts zu seinen Datenschutzkonzepten selbst stützte. Wie diese tatsächlich eingerichtet wurden und gehandhabt werden, wurde – nach bisherigem Kenntnisstand – nicht im Detail geprüft. So ist nicht auszuschließen, dass Microsoft gegebenenfalls zwar unzureichend im Sinne der DSGVO über das Datenmanagement aufklärt, aber in tatsächlicher technischer und organisatorischer Hinsicht die Datenschutzanforderungen erfüllt.

Für Online-Händler und private Unternehmen besteht nach Ansicht der IT-Recht Kanzlei derzeit kein hinreichender Anlass, die Verwendung von Microsoft 365 abzustellen und auf Alternativen umzuschwenken.

Empfehlungen der DSK, von einer Verwendung abzusehen, richten sich bisher nur an Behörden und öffentliche Einrichtungen wie z.B. Schulen.

Mittlerweile hat die DSK im Übrigen bereits eine neue Arbeitsgruppe eingesetzt, um mit Microsoft in Dialog zu treten und geeignetere Datenschutzkonzepte zu erwirken.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Autor:
Phil Salewski
Rechtsanwalt

Besucherkommentare

Bisher existieren keine Kommentare.

Vielleicht möchten Sie der Erste sein?

© 2005-2020 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller
IT-Recht Kanzlei München 311
4.9 5