Datenschutz bei Office 365 Sollten Unternehmen Microsoft 365 nutzen oder nicht?

Anbieter zum Thema

Die Datenschutzkonferenz hat eine neue Bewertung zur Nutzung von Microsoft 365 veröffentlicht. Nicht nur Schulen und Behörden, auch Unternehmen sollten jetzt prüfen, wie sie die Office-Lösung aus der Cloud datenschutz­gerecht einsetzen können. Wir geben einen aktuellen Überblick.

Die Datenschutzkonferenz (DSK) hat eine Bewertung zru Frage veröffentlicht, ob man nach EU-Recht Microsoft 365 datenschutzrechtskonform betreiben kann.
Die Datenschutzkonferenz (DSK) hat eine Bewertung zru Frage veröffentlicht, ob man nach EU-Recht Microsoft 365 datenschutzrechtskonform betreiben kann.
(Bild: Benjamin Haas - stock.adobe.com)

Es ist eine viel beachtete Festlegung, die die Datenschutzkonferenz (DSK), bestehend aus den unabhängigen Datenschutzbehörden des Bundes und der Länder, kürzlich veröffentlicht hat. Kein Wunder, geht es doch um die Frage, ob man nach EU-Recht Microsoft 365 datenschutz­rechtskonform betreiben kann.

Die Entscheidung der Datenschutzaufsichtsbehörden richtet sich nicht etwa an Microsoft, wie man vielleicht vermuten könnte, sondern an die Nutzenden von Microsoft 365, an die Behörden, an die Schulen und an die Unternehmen.

Entsprechend sollten sich die öffentlichen und nicht-öffentlichen Stellen, die die Microsoft Office – Lösung nutzen, genau damit befassen und nicht etwa nur Microsoft. Die Datenschutz-Grundverordnung (DSGVO) enthält Vorgaben für Verantwortliche und Auftragsverarbeiter.

So müssen die Verantwortlichen (und damit zum Beispiel die Unternehmen) nachweisen können, dass ihre Nutzung von Microsoft 365 dem EU-Datenschutz genüge tut. Das ist insbesondere nur dann möglich, wenn Unternehmen nur mit solchen Auftragsverarbeitern zusammen arbeiten, die nachweisen können, dass die personenbezogenen Daten der Auftraggeber datenschutzkonform verarbeitet werden.

Ob dieser Nachweis bei der Nutzung von Microsoft 365 erbracht werden kann, dazu haben sich nun die Aufsichtsbehörden zu Wort gemeldet.

Was die Prüfung der Verträge von Microsoft ergeben hat

Für die Nutzung von Microsoft 365 gibt es Verträge, die auch Aussagen zu den Datenschutzmaßnahmen enthalten, die Microsoft ergreift. Hierzu hat Microsoft auch einen „Datenschutznachtrag vom 15. September 2022“ erstellt, der Teil der Verträge wird. Genau diesen Nachtrag haben sich nun die Aufsichtsbehörden sehr genau angesehen.

Auf Basis des Berichts der Arbeitsgruppe DSK „Microsoft-Onlinedienste“ stellt die DSK fest, „dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutz­rechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann.“

Ohne diesen Nachweis aber kann ein Unternehmen die Vorgaben der DSGVO für Auftragsverarbeitung nicht einhalten. Die DSK macht deutlich: „Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.“

Was Aufsichtsbehörden nun sagen

Dr. Lutz Hasse, Thüringer Landesbeauftragter für den Datenschutz, erklärte dazu: „Zunächst freut mich die positive Resonanz in der Datenschutzkonferenz. Meine Aufsichtsbehörde wird nun – wie die anderen Datenschutzaufsichtsbehörden auch – mit den Verantwortlichen im öffentlichen und nicht-öffentlichen Bereich den Kontakt suchen, um eine verhältnismäßige Umsetzung dieser Rechtslage zu erörtern. Hierbei werden zeitliche Aspekte und alternative Pfade Gegenstand der Erörterung sein.“

Der Landesdatenschutzbeauftragte erklärte die Situation so: Die Verantwortlichen müssen nach DSGVO nachweisen können, dass Microsoft 365 transparent und rechtmäßig verwendet werden kann. Das können sie aber nicht, solange Microsoft seinen eigenen Unterlagen zufolge personenbezogene Daten (von wem?) für eigene Zwecke (welche?) verwendet und hierüber auch keine weiteren Angaben macht.

Überdies kann vor diesem Hintergrund der Verantwortliche den Auftragsverarbeiter (Microsoft) gar nicht anweisen, die Daten in bestimmter Weise zu verarbeiten oder eben nicht zu verarbeiten, solange sich Microsoft vorbehält, die Daten für eigene Zwecke zu verarbeiten, ein Verstoß gegen die DSGVO. Hinzu kommen die Fragen der Datenübermittlung in die USA, so Dr. Hasse.

Bei der aktuellen Veröffentlichung der DSK handelt es sich also um keine vollständige datenschutzrechtliche Bewertung des Cloud-Dienstes Microsoft 365, sondern um eine Bewertung der vorliegenden Datenschutzbestimmungen als Teil der Verträge zur Nutzung von Microsoft 365. Es müssen also weitere Fragen erörtert werden.

Wissen, was läuft

Täglich die wichtigsten Infos aus dem ITK-Markt

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Man kann aus Sicht der Aufsichtsbehörden Stand Ende November 2022 sagen: Hinsichtlich Microsoft 365 gibt es weiterhin Regelungen in den Nutzungsbedingungen (Online Service Terms OST) bzw. den Datenschutzbestimmungen (Date Processing Agreement DPA), die den datenschutzrechtlichen Anforderungen aus der DSGVO an die Transparenz der Datenverarbeitung, die Einwirkungsmöglichkeiten des Auftraggebers, die Zwecke der Datenverarbeitung oder die Löschung von Daten nicht entsprechen.

Für die Datenschützer steht außer Frage, dass weitere Regelungen und Maßnahmen erforderlich sind, um einen datenschutzkonformen Betrieb von Microsoft 365 zu erreichen.

Wie Microsoft das Prüfungsergebnis kommentiert

Microsoft sieht die datenschutzrechtliche Situation anders: „Wir teilen die Position der DSK nicht. Wir stellen sicher, dass unsere M365-Produkte die strengen EU-Datenschutzgesetze nicht nur erfüllen, sondern oft sogar übertreffen. Unsere Kunden in Deutschland und in der gesamten EU können M365-Produkte weiterhin bedenkenlos und rechtssicher nutzen.“

Die eigene Position erläutert Microsoft so: „Die von der DSK geäußerten Bedenken berücksichtigen die von uns bereits vorgenommenen Änderungen nicht angemessen und beruhen auf mehreren Missverständnissen hinsichtlich der Funktionsweise unserer Dienste und der von uns bereits ergriffenen Maßnahmen. Wir sind auch der Meinung, dass der Bericht der DSK wichtige rechtliche Änderungen nicht berücksichtigt, die einen größeren Schutz der Privatsphäre für den Datenverkehr zwischen der EU und den USA bieten werden.“

Zur Transparenz bei der Datenverarbeitung sagte Microsoft: „Wir nehmen uns die Forderung der DSK nach mehr Transparenz zu Herzen.“ Und weiter: „Insbesondere werden wir im Rahmen unserer geplanten EU-Datengrenze im Sinne der Transparenz weitere Dokumentationen über die Datenströme unserer Kunden und die Zwecke der Verarbeitung bereitstellen. Wir werden auch mehr Transparenz über die Standorte und die Verarbeitung durch Unterauftragsverarbeiter und Microsoft Mitarbeiter außerhalb der EU schaffen.“

Es bleibt also spannend, wie die weiteren Bewertungen der Datenschutz­aufsichtsbehörden aussehen werden und welche Möglichkeiten gefunden werden, um die bemängelten Punkte auszuräumen.

Als Unternehmen sollte man hier unbedingt „am Ball bleiben“, denn die Verantwortung für den Datenschutz liegt nicht nur bei Microsoft, sondern eben bei den Verantwortlichen in den Unternehmen, wie auch in den Behörden und in und Schulen. Sie müssen entscheiden, ob sie Microsoft 365 (weiterhin) nutzen oder nicht.

(ID:48835044)