Microsoft 365

Festlegung der DSK: Microsoft 365 weiterhin datenschutzwidrig

Die Datenschutzkonferenz stellt fest, dass ein datenschutzkonformer Betrieb von Microsoft 365, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“, nicht möglich ist.

Der Datentransfer beim Einsatz von Microsoft 365 ist seit Jahren Bestandteil einer Auseinandersetzung zwischen den europĂ€ischen Datenschutzaufsichtsbehörden und Microsoft. Der US-Konzern ĂŒberarbeitete mehrfach die Regelungen und die Dokumentation zu den Datentransfers. Zuletzt veröffentlichte das Unternehmen im September eine neue Fassung seines Auftragsverarbeitungsvertrags.

Hierin ĂŒbernahm der US Konzern unter anderem die neuen Standardvertragsklauseln der EU-Kommission. Zudem kennzeichnete Microsoft genauer, zu welchem Zweck Daten ausgewertet werden und wie der User dies selbst kontrollieren kann. Diese Änderungen waren dringend notwendig, da der EuropĂ€ische Gerichtshof (EuGH) bereits im Juni 2020 das transatlantische „Privacy Shield“ (Schrems-II-Urteil) und damit auch die frĂŒheren Standardvertragsklauseln fĂŒr den Transfer von Kundendaten in die USA fĂŒr ungĂŒltig erklĂ€rt hatte.

Doch auch die neuste Version des „Microsoft Products and Services Data Protection Addendum“ (DPA) reicht nicht aus, um den rechtlichen Anforderungen an PrivatsphĂ€re und Sicherheit gerecht zu werden. Zu diesem Entschluss kamen die unabhĂ€ngigen Datenschutzaufsichtsbehörden des Bundes und der LĂ€nder auf ihrer 104. Datenschutzkonferenz (DSK).

Die DSK stellt fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“, nicht gefĂŒhrt werden kann. Trotz Korrekturen liefern die ĂŒberarbeiteten Dokumente nicht die nötige Transparenz.

Zentrale und wiederkehrende Fragestellung war es, in welchen Fällen Microsoft als Auftragsverarbeiter tĂ€tig ist und in welchen als Verantwortlicher. Dies konnte nicht abschließend geklärt werden. FĂŒr den Anwender ist nach wie vor unklar, welche Daten von Microsoft fĂŒr eigene Zwecke verwendet werden können und welche Informationen und Diagnosewerte darĂŒber hinaus an den US Konzern ĂŒbertragen werden. Damit lasse sich auch nicht prĂŒfen, ob alle Schritte rechtmĂ€ĂŸig sind.

Sollten Sie Interesse am vollstÀndigen DSK-Bericht haben, finden Sie hier eine Zusammenfassung der einzelnen Ergebnisse.

Laut der deutschen Datenschutzkonferenz (DSK) bleibt Microsoft 365 damit datenschutzwidrig und sei fĂŒr die rechtskonforme Verwendung in Unternehmen, Behörde sowie Schulen nicht geeignet. Der Bundesdatenschutzbeauftragter Ulrich Kelber warnt, dass Software-Anwender zwingend zusĂ€tzliche Schutzvorkehrungen treffen mĂŒssen.

Fazit

An der Bewertung der DatenschĂŒtzer zu Microsoft Office 365 aus dem Jahr 2020 Ă€ndert sich also nichts. Das aktuelle Dokument muss noch um GeschĂ€ftsgeheimnisse bereinigt werden, dann wird es veröffentlicht. FĂŒr deutsche Behörden soll 2024 eine eigene Microsoft-Cloud online gehen.

Sollten Sie Microsoft 365 einsetzen oder den Einsatz planen unterstĂŒtzen wir Sie gern. 

Datenschutz Consulting Dresden GmbH

 

Folgende BeitrÀge könnten Sie auch interessieren:

 

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert