Microsoft 365 ist eine der beliebtesten Plattformen zum Speichern und Bearbeiten von Daten. Gerade im unternehmerischen Umfeld ist das cloudbasierte Softwarepaket nicht wegzudenken. Man könnte es aus guten Gründen als Standardtool für Officeanwendungen in Unternehmen bezeichnen.
Aber wie sicher ist Microsoft 365 wirklich? Kann man Microsoft 365 datenschutzkonform nutzen oder gibt es Fallstricke, die man beachten muss? Dieser Beitrag möchte die Nutzung von Microsoft 365 aus datenschutzrechtlicher Sicht erläutern.
Datenschutzkonformität von Microsoft 365 ist fraglich
Die Frage, ob Microsoft 365 datenschutzkonform genutzt werden kann oder nicht, ist leider nicht so einfach zu beantworten. Jedenfalls ist das zurzeit noch so, nachdem sich die Datenschutzbehörden und Microsoft selbst widersprüchlich zu der Frage äußern.
Die Datenschutzkonferenz (DSK) ist das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder. Die DSK hatte bereits am 2020 eine Bewertung des Arbeitskreises Verwaltung zu den dem Einsatz von Microsoft 365 zu Grunde liegenden Online Service Terms (OST) sowie den Datenschutzbestimmungen für Microsoft-Onlinedienste (Data Processing Addendum / DPA) — jeweils Stand: Januar 2020 — hinsichtlich der Erfüllung der Anforderungen von Artikel 28 Absatz 3 Datenschutz-Grundverordnung (DSGVO) zur Kenntnis genommen. Die damalige Bewertung des AK Verwaltung kommt zum Ergebnis, „dass auf Basis dieser Unterlagen kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich“ sei
Seitdem ist einiges passiert. Es gab Gespräche zwischen Microsoft und den Behörden und Microsoft hat erkennbar einiges dafür getan, die DSGVO-Konformität von Microsoft 365 zu erreichen. Doch anscheinend – bislang – ohne Erfolg.
Denn die DSK sagt auch in ihrer neuesten Veröffentlichung vom 24.11.2022 zu Microsoft 365 ziemlich klar:
„Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann. Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.“
Dem gegenüber stellt Microsoft als „Reaktion“ auf diesen Bericht in einer Pressemeldung vom 25.11.2022 die Datenschutzkonformität seines Dienstes Microsoft 365 fest und unterstreicht die Positionen, die Microsoft bereits im August 2022 vertreten hatte:
„Wir stellen sicher, dass unsere M365-Produkte die strengen EU-Datenschutzgesetze nicht nur erfüllen, sondern oft sogar übertreffen. Unsere Kunden in Deutschland und in der gesamten EU können M365-Produkte weiterhin bedenkenlos und rechtssicher nutzen.“
Nach Auffassung von Microsoft berücksichtigen die von der DSK geäußerten Bedenken die von Microsoft bereits vorgenommenen Änderungen nicht angemessener Art und Weise und beruhen auf „mehreren Missverständnissen hinsichtlich der Funktionsweise der Microsoft-Dienste und der von Microsoft bereits ergriffenen Maßnahmen“.
Ebenfalls unterstütze Microsoft auch das EU-US Data Privacy Framework, das Microsoft-Kunden wichtige Rechtssicherheit und mehr Klarheit über den Datenschutz bei der transatlantischen Übermittlung von Daten bieten werde und sehen einem positiven Angemessenheitsbeschluss der Europäischen Kommission im Rahmen der DSGVO im Jahr 2023 entgegen.
Unternehmen, die Microsoft 365 einsetzen oder den Einsatz planen, dürften mit diesen beiden widerstreitenden Positionen von Microsoft und der DSK nicht wirklich geholfen sein.
Wie lautet unsere Empfehlung?
Microsoft 365 kann ein sehr nützliches Werkzeug für Unternehmen sein, aber es gibt zurzeit rechtliche Risiken bei der Nutzung des Tools, die berücksichtigt werden sollten. Denn es besteht angesichts der Auffassung der Datenschutzbehörden das Risiko von Bußgeldern und Ansprüchen Betroffener, wenn dennoch die Cloudlösung Microsoft 365 eingesetzt wird.
Die Auffassung der DSK ist zwar nicht bindend – auch Gerichte können das ganz anders sehen, als die DSK – aber sie sollte trotzdem beachtet werden und Anlass sein, Maßnahmen zu treffen, um die Datenschutz-Konformität zumindest zu verbessern. Und rechtlich betrachtet muss die offizielle Meinung der DSK, also der Datenschutzaufsichtsbehörden höher gewichtet werden als die Aussage von Microsoft selbst, das natürlich sein Produkt weiter vermarkten möchte.
Nach aktueller Rechtslage muss die Empfehlung also lauten: Entweder auf die Nutzung ganz verzichten (was zugegeben oft gar nicht möglich ist, vor allem, wenn das Cloudpaket schon ausgerollt wurde) oder zumindest die datenschutzfreundlichste Nutzungsmöglichkeit verwenden, die möglich ist. Das wiederum kann durch möglichst restriktive Einstellung hinsichtlich der Analyse und Datenübermittlung an Microsoft, durch die Reduzierung der Verarbeitung und Speicherung von personenbezogenen Daten und durch Sensibilisierung der Mitarbeiter geschehen, welche Daten überhaupt mit den Office-Programmen von Microsoft bearbeitet werden und vor allem, welche Daten auf dem OneDrive Cloudspeicher von Microsoft abgelegt werden dürfen.
Durch weitere technische und organisatorische Maßnahmen lässt sich das tatsächlich und rechtliche Risiko weiter minimieren. Wir beraten und unterstützen Sie hierbei gerne. Nehmen Sie hierfür gern Kontakt mit uns auf.
Und: Unternehmen müssen dafür sorgen, dass alle Benutzer entsprechend geschult werden und dass sie über die Grundsätze des Datenschutzes informiert sind. Darüber hinaus sollten regelmäßig Tests und Audits durchgeführt werden, um sicherzustellen, dass alle Richtlinien ordnungsgemäß befolgt werden. Solche Schulungen und auch Policies, also Anweisungen und Hinweise an die Mitarbeiter, erstellen wir für Sie gerne. Schicken Sie uns eine E-Mail an info@schutt-waetke.de für mehr Informationen.
Zusammenfassung und Tipps
Microsoft hat in den letzten Jahren bereits eine Reihe von Maßnahmen ergriffen, um sicherzustellen, dass die Verwendung von Microsoft 365 datenschutzkonform möglich ist. Aus Sicht der DSK aber noch nicht genug. Da Microsoft nach wie vor im Dialog mit den Behörden steht ist zu hoffen, dass es hier bald zu einer weiteren Verbesserung und damit zur Datenschutz-Konformität von Microsoft 365 führt. Bis dahin muss man wachsam bleiben und eigene Maßnahmen treffen, um rechtlich bestmöglich geschützt zu sein.
Update 22.09.2023
Sieben Datenschutzaufsichtsbehörden in Deutschland haben eine Handreichung zum Umgang mit der Standard-Auftragsverarbeitungsvereinbarung (DPA) von Microsoft für den Einsatz von „Microsoft 365“ erarbeitet. Diese wurde am 22. September 2023 veröffentlicht.
Laut der Handreichung sind etwa die im DPA aufgeführten Löschfristen vertraglich anzupassen, ferner werden in der Handreichung die Anforderungen an die Information über den Einsatz von Unterauftragsverarbeitern aufgeführt. Ein weiterer wichtiger Aspekt der Handreichung ist der Umgang mit der Verarbeitung durch Microsoft zu eigenen Geschäftszwecken.
Ausgenommen von der Handreichung sind auf Grund der zum Erstellungszeitpunkt noch nicht abgeschlossenen Bewertung die Themen internationaler Datentransfer und extraterritorialer Anwendungsbereich von US-Gesetzen. Zudem ersetzt die Umsetzung der in der Handreichung enthaltenen Empfehlungen insbesondere nicht die datenschutzrechtliche Bewertung sämtlicher technischer Funktionen von „Microsoft 365“, die dem Verantwortlichen potenziell zur Verfügung gestellt werden. Eine solche Bewertung muss der Verantwortliche in Abhängigkeit davon vornehmen, welche Funktionen für die Verarbeitung welcher personenbezogenen Daten eingesetzt werden sollen.
Die Handreichung kann hier abgerufen werden: Handreichung Microsoft 365 (PDF)