Ist Microsoft 365 datenschutzkonform?

Schlechte Nachrichten für deutsche Unternehmen, die Microsoft 365 nutzen.

Nach einem neuen Beschluss der deutschen Datenschutzkonferenz (DSK) bleibt Microsoft 365 weiterhin datenschutzwidrig und sei damit beispielsweise nicht für die Nutzung in Schulen, Behörden oder Unternehmen geeignet. 

Trotz Nachbesserungen ist es Microsoft bisher nicht gelungen, die Datenschutzkonformität im Sinne der Datenschutzgrundverordnung (DSGVO) zu erreichen.

Worum geht es? 

Microsoft hat im September eine neue Fassung seines Auftragsverarbeitungsvertrags veröffentlich. In diesem hat das Unternehmen unter anderem die neuen Standardvertragsklauseln der EU-Kommission übernommen. 

Dies war erforderlich, weil der Europäische Gerichtshof mit dem Schrems-II-Urteil das sog. „Privacy Shield“, welches als Grundlage für die Datenübermittlung in die USA fungierte, für ungültig erklärt hat. 

Mit der Datenschutzkonformität von Microsoft 365 befasste sich nun die deutsche Datenschutzkonferenz (DSK). 

Was ist die Datenschutzkonferenz? 

Die Datenschutzkonferenz ist die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder in Deutschland. Sie beschäftigen sich mit den aktuellen Fragen des Datenschutzes in Deutschland und nehmen dazu Stellung. 

Zudem setzt die Datenschutzkonferenz Arbeitsgruppen ein, um besonders problematische Themen umfangreich ausarbeiten zu können. 

Bewertung zu Microsoft 365

Die DSK hat in ihrer Sitzung am 22.September 2020 eine Arbeitsgruppe gebeten, Gespräche mit Microsoft aufzunehmen, um zeitnah datenschutzkonforme Verbesserungen vorzunehmen. 

Insbesondere war es der DSK ein wichtiges Anliegen, festzustellen, ob der Auftragsverarbeitungsvertrag von Microsoft die Anforderungen von Art. 28 DSGVO erfüllt und ob die einzelnen Verarbeitungstätigkeiten rechtmäßig sind. 

Im September 2022 veröffentlichte die Arbeitsgruppe einen abschließenden Bericht zum Thema Microsoft 365. Mit Blick auf diesen Bericht kam die DSK im November 2022 nun bei ihrer 104. Datenschutzkonferenz zu dem Ergebnis, dass Microsoft 365 nicht datenschutzkonform eingesetzt werden kann. 

Zwar wurde positiv bewertet, dass Microsoft die neuen Standardvertragsklauseln der EU-Kommission übernahm, jedoch fehle Microsoft die nötige Transparenz hinsichtlich der einzelnen Verarbeitungstätigkeiten.

Zu beachten sei, dass der Verantwortliche nach Art. 5 Abs. 2 DSGVO nachweisen können muss, dass Microsoft 365 transparent und rechtmäßig verwendet werden kann. 

Das ist jedoch nach Auffassung der DSK nicht möglich, solange Microsoft nicht offenlegt, welche Daten tatsächlich erhoben und verarbeitet werden.

Solange Microsoft diese Transparenz also nicht bietet, kann die DSK die Datenschutzkonformität also gar nicht explizit überprüfen.

Hinweis

Die Zusammenfassung der Bewertung der aktuellen Vereinbarung zur Auftragsverarbeitung von Microsoft finden Sie unter dem nachstehenden Link: 

https://datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365_zusammenfassung.pdf

Was ist zu tun?

In einer öffentlichen Gegendarstellung hatte Microsoft sogar behauptet, die datenschutzetlichen Anforderungen der DS-GVO zu übertreffen. Die Ansichten der Aufsichtsbehörden sind beachtlich und geben Orientierung. Letztlich aber werden die Gerichte entscheiden müssen, ob die datenschutzrechtlichen Voraussetzungen erfüllt werden. Solange ist die datenschutzkonforme Nutzung von Microsoft 365 weiterhin mit einem gewissen Risiko verbunden.

Wichtig ist, dass alle sonstigen Voraussetzungen erfüllt werden, wozu u.a. folgende Maßnahmen gehören:

• Wahl des Datenverarbeitungsortes mindestens innerhalb der EU,

• vollständige Erfassung der Verarbeitungstaetigkeiten und Aktualisierung/Aufnahme in das Verzeichnis der Verarbeitungstaetigkeiten

• Vorhandensein eines Auftragsverarbeitungsvertrages nach Maßgabe der aktuellen Standard Datenschutzklausel (SCC)

• Dokumentation eines durchgeführten Transfer Impact-Assessment (TIA) nach Art. 14 der SCC

• Erfüllung der Informationspflichten gegenüber Beschäftigten.

Henning Koch, Rechtsanwalt (Wirtschaftskanzlei Ruhmann Peters Altmeyer PartG mbB) //
Fachanwalt für Arbeitsrecht  // Fachanwalt für Informationstechnologierecht,
Behördlicher Datenschutzbeauftragter (TÜV) // Datenschutzbeauftragter (TÜV) //
Lehrbeauftragter an der Technischen Hochschule Mittelhessen (Studium Plus)  und
Geschäftsführer der RPA Datenschutz + Compliance GmbH.                  

Sie können mir folgen auf LinkedIn

Hier hören Sie meinen Podcast.