Bewertung der Datenschutzkonferenz liefert Erkenntnisse
Microsoft Office 365 steht schon länger in der Kritik, wenn es um das Thema Datenschutz geht. Den Skeptikern ist unter anderem nicht klar, zu welchem Zweck gewisse Daten erhoben werden, die Befürworter argumentieren, dass Microsoft bereits an seinen Bedingungen gearbeitet habe und diese stets weiterentwickelt. Nun kam die Datenschutzkonferenz zu einer Entscheidung.
Kein konformer Einsatz von Microsoft Office 365 möglich
In der Pressemitteilung vom 02. Oktober 2020 der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder nahm die Konferenz Stellung, inwieweit ein datenschutzgerechter Einsatz von Microsoft Office 365 möglich sei. Mit nur einer Stimme Mehrheit (9 zu 8 Stimmen) kamen die Verantwortlichen zu der Entscheidung, dass Microsoft Office 365 nicht datenschutzkonform eingesetzt werden könne.
Begründung des Beschlusses
Die Bewertung des datenschutzkonformen Einsatzes wurde durch den „Arbeitskreis Verwaltung“ durchgeführt. Betrachtet wurden die „dem Einsatz des Produktes Microsoft Office 365 zu Grunde liegenden Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft-Onlinedienste (Data Processing Addendum / DPA) jeweils Stand: Januar 2020“.
Der Beschluss bemängelt folgende Kritikpunkte:
- Eine Beschreibung von Art und Zweck der Verarbeitung von personenbezogenen Daten gem. Art. 9 DSGVO sei nicht vorhanden.
- Innerhalb der Datenschutzbestimmungen für die Microsoft Online-Dienste sei nicht eindeutig erkennbar, welche personenbezogenen Daten bezüglich der normalen Geschäftstätigkeiten eines Unternehmens durch Microsoft eigenverantwortlich verarbeitet werden. Besonders für öffentliche Stellen ist dieser Punkt interessant, da die Übermittlung von personenbezogenen Daten an Microsoft einer eigenständigen Rechtsgrundlage bedarf. Microsoft müsse an dieser Stelle die „legitimen Geschäftstätigkeiten“ anpassen. Privatunternehmen können sich an dieser Stelle auf die Rechtsgrundlage der Interessensabwägung berufen.
- Die Offenlegung von verarbeiteten Daten an Strafverfolgungsbehörden sehen die Behörden ebenfalls als groben Verstoß. In den Datenschutzbestimmungen der Microsoft Online-Dienste wird darauf hingewiesen, dass die Daten auch ohne Zustimmung des Kunden offengelegt werden können, wenn dieses gesetzlich vorgeschrieben wird. Angesichts der letzten EUGH-Rechtsprechung zur Unwirksamkeit des Privacy-Shields sei dieser Punkt bei EU-Standardvertragsklauseln noch nicht geklärt. Zwar setzt Microsoft bereits auch auf EU-Standardvertragsklauseln, allerdings ist ein Zugriff durch US-Behörden nicht ausgeschlossen.
- Weiterhin sei die Dokumentation der technischen und organisatorischen Maßnahmen sowie zur Löschung der Daten nicht ausreichend. Sofern Microsoft Informationen diesbezüglich nachliefert, könne dieser Punkt neu bewertet werden.
- Zuletzt wird die fehlende Transparenz der Unterauftraggeber kritisiert. Microsoft solle proaktiv Mechanismen zur Benachrichtigung von Kunden einführen.
Was bedeutet dies in der Praxis?
Durch das knappe Ergebnis wird deutlich, dass die knappe Minderheit der Aufsichtsbehörden die Bewertung nicht uneingeschränkt teilen. Dennoch stellen sie eine Grundlage für folgende Gespräche mit Microsoft dar, welche unter der Leitung des Datenschutz-Landesbeauftragten Brandenburgs und dem Landesamt für Datenschutzaufsicht Bayerns stattfinden werden.
Welche Auswirkungen hat dies nun für Ihr Unternehmen? Dürfen Sie Microsoft Office 365 weiternutzen? Wie bereits erwähnt sind sich die Aufsichtsbehörden untereinander noch nicht einig. Weiterhin werden Gespräche mit Microsoft zu den besagten Punkten folgen. Auch wurden die dem Einsatz des Produktes Microsoft Office 365 zu Grunde liegenden Online Service Terms (OST) und Data Processing Addendum (PDA) mit Stand Januar 2020 betrachtet. Seitdem wurden diese von Microsoft bereits mehrfach überarbeitet.
Daher kann die vorsichtige Annahme getroffen werden, dass vermutlich eher Microsoft Änderungen vornehmen wird, bzw. werden muss, als dass Maßnahmen gegenüber Unternehmen folgen werden oder diese von der Nutzung absehen müssen.
Wir werden die Entwicklungen weiterverfolgen und Sie darüber auf dem Laufenden halten. Ohne konkrete Punkte der Behörden ist die Nutzung von Microsoft Office 365 zum jetzigen Zeitpunkt nicht datenschutzwidrig.