Microsoft 365 vs. Datenschutzbehörden: Rechtskonformer Einsatz möglich?

Microsoft 365 vs. Datenschutzbehörden: Rechtskonformer Einsatz möglich?
4 min
Beitrag vom: 27.10.2020

Bereits seit 2019 hat sich ein spezieller Arbeitskreis der Datenschutzkonferenz von Bund und Ländern (DSK) mit der Cloud-Software „Microsoft 365“ befasst und die Konformität von Datenerhebungen, -speicherungen und -übermittlungen überprüft. Am 22.09.2020 urteilte die DSK sodann mit knapper Mehrheit zu Datenschutzproblemen des Dienstes.

Microsoft 365: intransparente und zugriffsgefährdete Datenverarbeitungen?

Microsoft Office ist eine Office-Lösung mit Cloud-Komponenten, die aus einem Online-Dienst und einer Office-Webanwendung besteht. Im Unterschied zum lokal auf einem Rechner betriebenen „Microsoft Office“ ermöglicht die „365“-Variante es Anwendern, Office-Dateien cloudbasiert abzulegen und so ortsunabhängig von beliebigen unterstützen Endgeräten aus zu arbeiten.

Dass diese Cloud-Lösung für ihre ordnungsgemäße Funktion nicht ohne die Verarbeitung diverser Informationen auskommt, liegt zwar auf der Hand.

Eine seit 2019 mit der Office-Lösung befasste Delegation der Datenschutzkonferenz von Bund und Ländern (DSK) kommt aber zu dem Ergebnis, dass Microsoft Daten über den Dienst jenseits dessen verarbeitet, was nach der DSGVO erlaubt ist.
Einigkeit besteht, dass Microsoft bei der Bereitstellung der „365“-Services als Auftragsverarbeiter für Anwender tätig wird.

Nach Ansicht der Datenschützer fehle es aber an hinreichender Transparenz dahingehend, welche Arte von personenbezogenen Daten überhaupt von Microsoft erhoben würden. So sei unklar, welche Informationen beim Anwender abgegriffen und für welche Zwecke sie genutzt würden. Behindert werde eine klare Bewertung auch dadurch, dass verschiedene Erklärungen zum Datenschutz über diverse Vertragsgrundlagen (etwa die „Online Service Terms“ von Microsoft einerseits und das „Data Processing Addendum“ andererseits) verstreut seien.

Als weiteres Problem wurde identifiziert, dass Microsoft Diagnosedaten beim Anwender erhebe und diese auch an Microsoft-Server in den USA übertrage. Dort seien die Daten – zumindest ohne weitere Maßnahmen von Seiten Microsofts, über welche keine Aussage getroffen werde –aber nicht hinreichend vor Zugriffen durch amerikanische Sicherheitsbehörden geschützt.

Auch fehle es auf Seiten von Microsoft auch an hinreichenden Informationen zu den Datensicherheitsmaßnahmen, welche Microsoft zur Minimierung des Verletzungsrisiko eingerichtet haben müsste.

Schließlich sei datenschutzrechtlich bedenklich, dass Microsoft erhobene Daten an Unterauftragnehmer weitergebe, ohne – gemäß Auftragsverarbeitungsvertrag – eine hinreichende Zustimmung des Anwenders dafür einzuholen. Eine solche komme nur in Betracht, wenn der Anwender auch über die aktuell genehmigten Subunternehmer aufgeklärt werde. Daran fehle es aber derzeit.

LegalScan Pro – Ihr Warnsystem für produktspezifische Rechtspflichten

Welche Dienste sind betroffen?

Nach Ansicht der Datenschützer kritisch zu bewerten ist der Einsatz der folgenden Office-Komponenten (in der Cloud-Variante von Microsoft 365):

  • Word
  • Excel
  • PowerPoint
  • Microsoft Teams (Kommunikationsdienst)
  • One Drive (Cloud-Speicher)

Offensichtlich nicht betroffen soll das für Unternehmer besonders relevante Mailprogramm „Microsoft Outlook“ sein.

Von der Diskussion ausgeschlossen ist im Übrigen die Microsoft Office in der Desktop-Version, die mit rein lokalem Speicher arbeitet.

Uneinigkeit bei der DSK: 9 zu 8 gegen Datenschutzkonformität

Auf Basis der Untersuchungsergebnisse entschied die DSK am 22.09.2020 in einem noch nicht veröffentlichten Positionspapier, dass eine datenschutzkonforme Verwendung von „Microsoft 365“ derzeit nicht möglich sei.

Beachtenswert hierbei aber ist, dass die Entscheidung äußerst knapp ausfiel. 8 Landesdatenschutzbehörden (darunter diejenigen aus Bayern, Baden-Württemberg, Hessen und dem Saarland) teilten die Positionen nicht, weil sie „zu undifferenziert“ ausfielen.

Gebeten wurde sogar darum, im offiziellen Protokoll das jeweilige abweichende Votum kenntlich zu machen.

Was gilt nun in Bezug auf Microsoft 365?

Bezüglich der Datenschutzkonformität von Microsoft 365 scheint ein letztes Wort noch nicht gesprochen. Dass sich 8 Landesbehörden gegen die Einschätzungen stellten, zeigt, dass Datenschutzprobleme in Verbindung mit dem Microsoft-Service nicht eindeutig sind.

Grund hierfür mag vor allem sein, dass sich die Untersuchungsdelegation weit überwiegend auf Erklärungen Microsofts zu seinen Datenschutzkonzepten selbst stützte. Wie diese tatsächlich eingerichtet wurden und gehandhabt werden, wurde – nach bisherigem Kenntnisstand – nicht im Detail geprüft. So ist nicht auszuschließen, dass Microsoft gegebenenfalls zwar unzureichend im Sinne der DSGVO über das Datenmanagement aufklärt, aber in tatsächlicher technischer und organisatorischer Hinsicht die Datenschutzanforderungen erfüllt.

Für Online-Händler und private Unternehmen besteht nach Ansicht der IT-Recht Kanzlei derzeit kein hinreichender Anlass, die Verwendung von Microsoft 365 abzustellen und auf Alternativen umzuschwenken.

Empfehlungen der DSK, von einer Verwendung abzusehen, richten sich bisher nur an Behörden und öffentliche Einrichtungen wie z.B. Schulen.

Mittlerweile hat die DSK im Übrigen bereits eine neue Arbeitsgruppe eingesetzt, um mit Microsoft in Dialog zu treten und geeignetere Datenschutzkonzepte zu erwirken.

Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .

Bildquelle: Alex Photo Stock / Shutterstock.com

Link kopieren

Als PDF exportieren

Drucken
|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

0 Kommentare

Beiträge zum Thema

Müssen Online-Marktplätze Gastbestellungen ermöglichen?
(23.04.2025, 12:15 Uhr)
Müssen Online-Marktplätze Gastbestellungen ermöglichen?
BGH: DSGVO-Schadensersatz bei unerwünschter Werbe-E-Mail?
(21.03.2025, 07:55 Uhr)
BGH: DSGVO-Schadensersatz bei unerwünschter Werbe-E-Mail?
Reicht eine Entschuldigung als DSGVO-Schadensersatz aus?
(05.03.2025, 07:24 Uhr)
Reicht eine Entschuldigung als DSGVO-Schadensersatz aus?
Verbot von US-Datentransfers droht - Datenschutzerklärungen betroffen
(25.02.2025, 14:18 Uhr)
Verbot von US-Datentransfers droht - Datenschutzerklärungen betroffen
EuGH: Zwingende Anrede-Auswahl ist DSGVO-Verstoß
(27.01.2025, 19:00 Uhr)
EuGH: Zwingende Anrede-Auswahl ist DSGVO-Verstoß
DSGVO-Verstoß bei Dienstleister: Schadensersatz!
(20.01.2025, 10:43 Uhr)
DSGVO-Verstoß bei Dienstleister: Schadensersatz!
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern
Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.

Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.

Ihre IT-Recht Kanzlei
Vielen Dank!

Fragen oder Anregungen?

Kontaktieren Sie uns:
IT-Recht Kanzlei
Kanzlei Keller-Stoltenhoff, Keller
Alter Messeplatz 2
Tel.: +49 (0)89 / 130 1433-0
Fax: +49 (0)89 / 130 1433-60
E-Mail: info@it-recht-kanzlei.de
© 2004-2025 · IT-Recht Kanzlei