Die Datenschutzkonferenz stellt fest, dass ein datenschutzkonformer Betrieb von Microsoft 365, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“, nicht möglich ist.
Der Datentransfer beim Einsatz von Microsoft 365 ist seit Jahren Bestandteil einer Auseinandersetzung zwischen den europäischen Datenschutzaufsichtsbehörden und Microsoft. Der US-Konzern überarbeitete mehrfach die Regelungen und die Dokumentation zu den Datentransfers. Zuletzt veröffentlichte das Unternehmen im September eine neue Fassung seines Auftragsverarbeitungsvertrags.
Hierin übernahm der US Konzern unter anderem die neuen Standardvertragsklauseln der EU-Kommission. Zudem kennzeichnete Microsoft genauer, zu welchem Zweck Daten ausgewertet werden und wie der User dies selbst kontrollieren kann. Diese Änderungen waren dringend notwendig, da der Europäische Gerichtshof (EuGH) bereits im Juni 2020 das transatlantische „Privacy Shield“ (Schrems-II-Urteil) und damit auch die früheren Standardvertragsklauseln für den Transfer von Kundendaten in die USA für ungültig erklärt hatte.
Doch auch die neuste Version des „Microsoft Products and Services Data Protection Addendum“ (DPA) reicht nicht aus, um den rechtlichen Anforderungen an Privatsphäre und Sicherheit gerecht zu werden. Zu diesem Entschluss kamen die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder auf ihrer 104. Datenschutzkonferenz (DSK).
Die DSK stellt fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“, nicht geführt werden kann. Trotz Korrekturen liefern die überarbeiteten Dokumente nicht die nötige Transparenz.
Zentrale und wiederkehrende Fragestellung war es, in welchen Fällen Microsoft als Auftragsverarbeiter tätig ist und in welchen als Verantwortlicher. Dies konnte nicht abschließend geklärt werden. Für den Anwender ist nach wie vor unklar, welche Daten von Microsoft für eigene Zwecke verwendet werden können und welche Informationen und Diagnosewerte darüber hinaus an den US Konzern übertragen werden. Damit lasse sich auch nicht prüfen, ob alle Schritte rechtmäßig sind.
Sollten Sie Interesse am vollständigen DSK-Bericht haben, finden Sie hier eine Zusammenfassung der einzelnen Ergebnisse.
Laut der deutschen Datenschutzkonferenz (DSK) bleibt Microsoft 365 damit datenschutzwidrig und sei für die rechtskonforme Verwendung in Unternehmen, Behörde sowie Schulen nicht geeignet. Der Bundesdatenschutzbeauftragter Ulrich Kelber warnt, dass Software-Anwender zwingend zusätzliche Schutzvorkehrungen treffen müssen.
Fazit
An der Bewertung der Datenschützer zu Microsoft Office 365 aus dem Jahr 2020 ändert sich also nichts. Das aktuelle Dokument muss noch um Geschäftsgeheimnisse bereinigt werden, dann wird es veröffentlicht. Für deutsche Behörden soll 2024 eine eigene Microsoft-Cloud online gehen.
Sollten Sie Microsoft 365 einsetzen oder den Einsatz planen unterstützen wir Sie gern.
Datenschutz Consulting Dresden GmbH
Folgende Beiträge könnten Sie auch interessieren:
- DSA – Was der neue EU-Digital Services Act besagt
- LfD Niedersachsen verhängt Bußgeld über 10,4 Millionen Euro
- Checkliste: Datenschutzrechtliche Vorgaben im Homeoffice