Microsoft 365

Festlegung der DSK: Microsoft 365 weiterhin datenschutzwidrig

Die Datenschutzkonferenz stellt fest, dass ein datenschutzkonformer Betrieb von Microsoft 365, auf der Grundlage des von Microsoft bereitgestellten ‚ÄěDatenschutznachtrags vom 15. September 2022‚Äú, nicht m√∂glich ist.

Der Datentransfer beim Einsatz von Microsoft 365 ist seit Jahren Bestandteil einer Auseinandersetzung zwischen den europ√§ischen Datenschutzaufsichtsbeh√∂rden und Microsoft. Der US-Konzern √ľberarbeitete mehrfach die Regelungen und die Dokumentation zu den Datentransfers. Zuletzt ver√∂ffentlichte das Unternehmen im September eine neue Fassung seines Auftragsverarbeitungsvertrags.

Hierin √ľbernahm der US Konzern unter anderem die neuen Standardvertragsklauseln der EU-Kommission. Zudem kennzeichnete Microsoft genauer, zu welchem Zweck Daten ausgewertet werden und wie der User dies selbst kontrollieren kann. Diese √Ąnderungen waren dringend notwendig, da der Europ√§ische Gerichtshof (EuGH) bereits im Juni 2020 das transatlantische „Privacy Shield“ (Schrems-II-Urteil) und damit auch die fr√ľheren Standardvertragsklauseln f√ľr den Transfer von Kundendaten in die USA f√ľr ung√ľltig erkl√§rt hatte.

Doch auch die neuste Version des „Microsoft Products and Services Data Protection Addendum“ (DPA) reicht nicht aus, um den rechtlichen Anforderungen an Privatsph√§re und Sicherheit gerecht zu werden. Zu diesem Entschluss kamen die unabh√§ngigen Datenschutzaufsichtsbeh√∂rden des Bundes und der L√§nder auf ihrer 104. Datenschutzkonferenz (DSK).

Die DSK stellt fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten ‚ÄěDatenschutznachtrags vom 15. September 2022‚Äú, nicht gef√ľhrt werden kann. Trotz Korrekturen liefern die √ľberarbeiteten Dokumente nicht die n√∂tige Transparenz.

Zentrale und wiederkehrende Fragestellung war es, in welchen FaŐąllen Microsoft als Auftragsverarbeiter t√§tig ist und in welchen als Verantwortlicher. Dies konnte nicht abschlie√üend geklaŐąrt werden. F√ľr den Anwender ist nach wie vor unklar, welche Daten von Microsoft f√ľr eigene Zwecke verwendet werden k√∂nnen und welche Informationen und Diagnosewerte dar√ľber hinaus an den US Konzern √ľbertragen werden. Damit lasse sich auch nicht pr√ľfen, ob alle Schritte rechtm√§√üig sind.

Sollten Sie Interesse am vollständigen DSK-Bericht haben, finden Sie hier eine Zusammenfassung der einzelnen Ergebnisse.

Laut der deutschen Datenschutzkonferenz (DSK) bleibt Microsoft 365 damit datenschutzwidrig und sei f√ľr die rechtskonforme Verwendung in Unternehmen, Beh√∂rde sowie Schulen nicht geeignet. Der Bundesdatenschutzbeauftragter Ulrich Kelber warnt, dass Software-Anwender zwingend zus√§tzliche Schutzvorkehrungen treffen m√ľssen.

Fazit

An der Bewertung der Datensch√ľtzer zu Microsoft Office 365 aus dem Jahr 2020 √§ndert sich also nichts. Das aktuelle Dokument muss noch um Gesch√§ftsgeheimnisse bereinigt werden, dann wird es ver√∂ffentlicht. F√ľr deutsche Beh√∂rden soll 2024 eine eigene Microsoft-Cloud online gehen.

Sollten Sie Microsoft 365 einsetzen oder den Einsatz planen unterst√ľtzen wir Sie gern.¬†

Datenschutz Consulting Dresden GmbH

 

Folgende Beiträge könnten Sie auch interessieren:

 

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert