Die Datenschutzrisiken von Microsoft 365 sind schon lange bekannt. Trotzdem verwenden viele Unternehmen den Softwaredienst weiter. Was die „Arbeitsgruppe für Microsoft-Onlinedienste“ der DSK zu diesem Thema erarbeitet hat, erfahren Sie hier.

DSK zu Microsoft 365

Die Datenschutzkonferenz (DSK) hat im September 2020 eine Arbeitsgruppe mit dem Namen „Arbeitsgruppe für Microsoft-Onlinedienste“ geschaffen. Diese hat im November 2022 ihre Ergebnisse veröffentlicht. Ziel war es, eine praxistaugliche Lösung zu finden, Microsoft 365 datenschutzkonform zu nutzen. Dazu gab es 14 mehrstündige Treffen der Arbeitsgruppe mit Vertretern von Microsoft.

Der Hauptkritikpunkt, der dabei herausgearbeitet wurde, ist die Verarbeitung personenbezogener Daten zu eigenen und nicht legitimen Zwecken durch Microsoft. Das Löschen dieser Daten findet scheinbar ebenfalls nicht datenschutzkonform statt. In den Verträgen von Microsoft mit den jeweiligen Kunden fehle es zudem an Klarstellungen zu Arten und Zwecken der Datenverarbeitungen.

Zudem schütze Microsoft die Daten beim internationalen Transfer nicht ausreichend (vgl. Schrems II-Entscheidung). Das Angebot an technischen und organisatorischen Maßnahmen von Microsoft sei ebenfalls nicht ausreichend.

Ebenso seien die vertraglichen Regelungen zur Anzeige neuer Unterauftragnehmer beim Kunden nicht ausreichend.

Die Ergebnisse der DSK können Sie in der ausführlichen Form auch hier und hier nachlesen.

Reaktion von Microsoft

Zeitgleich mit der Veröffentlichung der Ergebnisse der DSK veröffentlichte Microsoft eine Gegendarstellung. Diese trägt den Titel „Microsoft erfüllt und übertrifft europäische Datenschutzgesetze“. Wie der Titel schon zeigt, teilt Microsoft die Ansicht der DSK nicht. Der Softwaredienstleister sieht seine Produkte im Einklang mit dem europäischen Datenschutzrecht und begründet die widersprechenden Ergebnisse der DSK damit, dass bereits vorgenommenen Änderungen nicht angemessen berücksichtigt und die Funktionsweise der Dienste missverstanden wurden.

Die ausführliche Gegendarstellung von Microsoft können Sie hier nachlesen.

Und nun?

An den gegenläufigen Darstellungen von Microsoft und der DSK kann man erkennen, wie sich eine lange überfällige Debatte entfaltet. Es melden sich zudem einzelne Stimmen, die das Vorgehen der DSK kritisieren. So sei zum Beispiel eine Abstimmung im Kohärenzverfahren unter Mitwirkung des Europäischen Datenschutzausschusses ausgeblieben, die zu besseren Ergebnissen hätte führen können.

In jedem Fall sind die Ergebnisse der DSK als Apell an Microsoft zu verstehen, sich mehr mit dem Thema Datenschutz auseinanderzusetzen. Auch Unternehmen in der EU müssen sich wieder mit dem Thema Drittlandtransfer und Datenschutz befassen.

Im Bezug auf die Verwendung von Microsoft 365 gab es durch Aufsichtsbehörden in Deutschland bisher keine bekannten Maßnahmen. Dies soll sich nun aber ändern. So haben es zumindest schon einzelne Datenschutzbeauftragte anklingen lassen. Wichtig als Unternehmen ist es nun, genug Zeit und Ressourcen für eine Analyse der bestehenden Risiken zum Gebrauch von Microsoft 365 auf Basis der tatsächlichen Nutzung einzuplanen.

Sie benötigen Unterstützung bei datenschutzrechtlichen Risikoeinschätzungen oder anderen Themen rund um Datenschutz und Datensicherheit? Unser Team an Experten steht Ihnen zur Seite. Außerdem stellen wir Ihnen auch gerne einen externen Datenschutzbeauftragten. Kontaktieren Sie uns ganz unverbindlich hier.

DSB buchen
de_DEDeutsch