Unzureichender Datenschutz bei Microsoft Office 365

Die Datenschutzkonferenz des Bundes und der Länder (DSK) hat ein halbes Jahr lang geprüft, ob das Cloud-basierte Microsoft Office 365 mit Artikel 28 der DSGVO vereinbar ist. In diesem geht es um die Auftragsdatenverarbeitung. Nun wurde vom Arbeitskreis Verwaltung der DSK entschieden, dass dies nicht der Fall ist. Das berichtete Heise Online. Das Software-Paket könne demnach nicht datenschutzgerecht verwendet werden. Problematisch sei außerdem, dass es in von Microsoft veröffentlichten Papieren wie den Online Service Terms unersichtlich bleibe, welche personenbezogenen Daten Microsoft aus welchem Grund sammelt.

Darüber hinaus bestehe außer dem Auftragsverarbeitungsvertrag keine Rechtsgrundlage für den Transfer von Telemetrie-Diagnosedaten von den Usern an Microsoft. Insgesamt seien die Angaben Microsofts zu abstrakt und damit nicht konkret genug. So heißt es vonseiten Microsofts etwa, dass Daten auch außerhalb der Vorgaben eines Users preisgegeben werden können. Dies sei etwa der Fall, wenn dies vom Gesetz vorgeschrieben werde. Nicht präzise genug angegeben sei laut der DSK, inwiefern der Cloud Act der USA, welcher der DSGVO der EU widerspricht, hier mit hineinspielt. Ebenfalls nicht klar angegeben sei, wie lange Microsoft Daten, welche zu eigenen Zwecken verarbeitet werden, aufbewahrt.

Keine einstimmige Entscheidung

Insbesondere für öffentliche Einrichtungen und Behörden hat diese Entscheidung der DSK womöglich nachhaltige Auswirkungen. Denn diese handeln laut der Einschätzung der Datenschutzkonferenz nicht rechtskonform, wenn sie das Software-Paket nutzen.

Der Beschluss wurde nicht einstimmig gefasst. So waren immerhin fünf Bundesländer dagegen, Office 365 als nicht vereinbar mit der DSGVO zu bewerten. Der Bericht sei ihnen zu vage verfasst. Dennoch beurteilten sie die Bemühungen der DSK, mithilfe einer neuen Arbeitsgruppe ins Gespräch mit Microsoft über den Datenschutz zu treten, als wünschenswert.