Zum Inhalt springen
Microsoft 365 Datenschutz

DSGVO-konform?- Microsoft 365 Datenschutz

Viele Unternehmen setzten auf Microsoft-Dienste. Oftmals wird direkt das Cloud-Angebot Microsoft 365 genutzt, mit welchem orts- und geräteunabhängig gearbeitet werden kann. Allerdings gibt es dabei eine wesentliche Herausforderung: Datenschutz. In diesem Beitrag erklären wir euch die Problematik rundum Microsoft 365 und der DSGVO. Denn der Microsoft 365 Datenschutz ist nicht unbedingt vorbildlich.

Microsoft 365

Microsoft 365 ist ein Angebot von Microsoft für Privat- sowie Firmenkunden. Für Unternehmen stehen drei verschiedene Pakete zur Verfügung, die jeweils unterschiedliche Anwendungen, Tools und Funktionen umfassen. Alle Pakete enthalten allerdings grundsätzlich die gängigen Office-Anwendungen wie z.B. Word, Excel, PowerPoint und OneNote sowie das E-Mail-Tool Outlook. Daneben kann dann auch noch Teams und weitere ergänzende Tools und Funktionen mitgebucht werden. Das besondere daran ist, dass die Anwendungen und Dokumente bei Microsoft 365 nicht mehr lokal auf den Geräten der Nutzer gespeichert sind, sondern in der Microsoft-Cloud. Dies hat den Vorteil, dass von überall und mit jeglichen kompatiblen Geräten auf die Cloud zugegriffen und entsprechend gearbeitet werden kann. Für viele Unternehmen ist dies sehr vorteilhaft.

Microsoft 365 Datenschutz

Doch, es ist zu schön, um wahr zu sein. Denn mit der Speicherung in der Microsoft-Cloud, gibt man die absolute Kontrolle über die Daten ab. Dies ist im Falle von Microsoft 365 aus Sicht der DSGVO aus verschiedenen Gründen problematisch.

Datenübermittlung in die USA

Zentrales Problem ist die Übermittlung von Daten in die USA. Vor einiger Zeit gab es mit dem Privacy-Shield-Abkommen noch einen Angemessenheitsbeschluss der europäischen Union, der besagte, dass in den USA ein gleiches Datenschutzniveau herrscht, wie in der EU. Auf Grundlage dieses Beschlusses konnte man personenbezogene Daten ohne Probleme an die USA übermitteln. Dies ist seit dem Schrems II-Urteil des EuGHs nicht mehr möglich. Mit dem Urteil stellte die EU fest, dass US-amerikanische Rechtsvorschriften nicht mit den Vorgaben der DSGVO vereinbar sind, womit das Privacy-Shield-Abkommen ungültig wurde. Eine Übermittlung von Daten in die USA ist nun nur noch in seltenen Fällen rechtmäßig, da dafür besondere Verträge und ergänzende technische Maßnahmen notwendig sind.

Der CLOUD-Act

Viele US-amerikanische Anbieter von Softwareanwendungen haben auf das Urteil reagiert und bieten Kunden nun die Möglichkeit Daten in der EU zu speichern. Genau so hat auch Microsoft reagiert. Auf den ersten Blick scheint damit das Problem mit der Datenübermittlung geklärt zu sein. Doch so einfach ist es leider nicht. Denn die US-amerikanischen Rechtsvorschriften, die u.a. dazu geführt haben, dass das Privacy-Shield-Abkommen gekippt wurde, machen die generelle Beauftragung von Anbietern aus den USA schwierig. Hierbei ist vor allem der sog. CLOUD-Act maßgeblich. Dieser ermöglicht es US-amerikanischen Behörden in bestimmten Fällen Zugriff auf Daten von US-amerikanischen Unternehmen zu erhalten, auch wenn diese außerhalb der USA gespeichert sind. Damit liegt eine fundamentale Inkompatibilität mit dem europäischen Datenschutzrecht vor.

Demnach macht es aus datenschutzrechtlicher Sicht auch keinen Unterschied, ob die Daten auf Servern in der EU liegen. Solange ein US-Anbieter involviert ist, könnte auch ein Drittlands-Transfer nach DSGVO vorliegen und dieser ist nur noch mit speziellen Verträgen und umfangreichen ergänzenden Maßnahmen rechtmäßig. Da die notwendigen ergänzenden Maßnahmen (der EDPB empfiehlt bspw. die separate Verschlüsselung der Daten) recht aufwändig und oftmals kaum realisierbar sind, ist eine diesbezügliche DSGVO-konforme Nutzung von Microsoft 365 bereits oftmals nicht möglich.

Datentransfer_Microsoft 365 Datenschutz
Seit Schrems II kaum noch möglich: Datentransfer in die USA

Auftragsverarbeitungsvertrag

Sobald ein Unternehmen ein anderes Unternehmen damit beauftragt weisungsgebunden personenbezogene Daten zu verarbeiten, ist ein sog. Auftragsverarbeitungsvertrag notwendig. In diesem Vertrag muss u.a. angegeben werden, wie und zu welchem Zweck die Daten verarbeitet werden. Da Microsoft mit Microsoft 365 ein cloudbasiertes Anwendungspaket anbietet, besteht eindeutig ein Auftragsverarbeitungsverhältnis. Hier tut sich allerdings das nächste datenschutzrechtliche Problem auf. Laut der bundesweiten Datenschutzkonferenz sind nämlich die Auftragsverarbeitungsverträge von Microsoft zu ungenau, um als DSGVO-konform zu gelten. Besonders bemängelt wird, dass Microsoft angibt, die betroffenen personenbezogene Daten auch noch für weitere legitime Geschäftszwecke zu verarbeiten, ohne, dass ersichtlich wird, welche Daten für welchen der angegebenen Geschäftszwecke verarbeitet werden. Hinzu kommt, dass Microsoft Telemetriedaten komplett ohne Rechtsgrundlage zu verarbeiten scheint. Auch durch explizite Anpassung der Datenschutzeinstellungen/-konfiguration können diese Defizite nicht beseitigt werden.

Datensicherheit

Auch in Bezug auf die Datensicherheit bleibt Microsoft in seiner Dokumentation unspezifisch. Für Verantwortliche ist somit nicht festzustellen, welche dem Risiko angemessenen Sicherheitsmaßnahmen für die Verarbeitung von personenbezogenen Daten ergriffen wurden. Damit ist es kaum möglich einzuschätzen, ob ein ausreichendes Sicherheitsniveau bei Microsoft vorliegt. Damit ist eine Beauftragung von Microsoft auch unter diesem Gesichtspunkt datenschutzrechtlich riskant.  

Datensicherheit_Microsoft 365 Datenschutz

Meinung der Aufsichtsbehörden

Spätestens seit der Corona-Pandemie und der damit einhergehenden Homeschooling Phase im Bildungsbereich, haben sich Aufsichtsbehörden vermehrt mit Datenschutz bei Microsoft 365 beschäftigt. Besonders aktiv war dabei der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg. Dieser teilte bereits früh mit, dass der Einsatz von Microsoft 365 mit einem inakzeptabel hohen datenschutzrechtlichen Risiko verbunden sei. Von dieser Einschätzung ist er bis heute nicht abgewichen. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz gibt an, dass ein Einsatz von Microsoft 365 nur mit sehr umfangreichen ergänzenden Maßnahmen rechtmäßig sein könnte. Die Landesbeauftragte für den Datenschutz und die Informationsfreiheit Niedersachsen und der Bundesbeauftragten für Datenschutz und Informationsfreiheit schließen sich der Datenschutzkonferenz an und stufen die Nutzung von Microsoft 365 als kritisch ein. Auch die niederländische Datenschutzaufsichtsbehörde stuft das Microsoft Angebot aus beschriebenen Gründen als datenschutzrechtlich fragwürdig ein.

Fazit: Microsoft 365 Datenschutz

Auch wenn einiges darauf hinweist, ist nicht abschließend geklärt, ob Microsoft 365 DSGVO-konform eingesetzt werden kann. Die Datenschutzkonferenz ist im Austausch mit Microsoft, um besseren Datenschutz zu erhalten. Momentan gehen allerdings viele relevante Stellen davon aus, dass ein konformer Einsatz aufgrund von diversen Faktoren nicht möglich ist. Somit ist ein Einsatz von Microsoft 365 durchaus risikobehaftet.


Du interessierst dich für datenschutzrechtliche Themen? Dann schau doch bei unseren anderen Beiträge vorbei, die bspw. über die anstehende ePrivacy-Verordnung.

Sollte dir der Blog-Beitrag gefallen haben, folge uns am besten auf InstagramFacebookLinkedIn oder XING, um immer informiert zu bleiben.

Weitere Artikel

Datenschutz bei TikTok
Datenschutz

Sicherheit und Datenschutz bei TikTok

TikTok ist einer der beliebtesten Social-Media Plattformen. Weltweit nutzen mittlerweile ca. 1 Mrd. Menschen den chinesischen Dienst. Doch wie steht es um die Sicherheit und um den Datenschutz bei TikTok?

Weiter lesen...
Microsoft 365 Datenschutz
Datenschutz

DSGVO-konform?- Microsoft 365 Datenschutz

Viele Unternehmen setzten auf Microsoft-Dienste. Oftmals wird direkt das Cloud-Angebot Microsoft 365 genutzt, mit welchem orts- und geräteunabhängig gearbeitet werden kann. Allerdings gibt es dabei eine wesentliche Herausforderung: Datenschutz. In

Weiter lesen...
Titelbild DSGVO Bußgeld: Viele Bündel an Euroscheinen
Datenschutz

DSGVO Bußgeld: Neue Leitlinie des EDPB

Das European Data Protection Board (EDPB) hat vor kurzem eine neue Leitlinie veröffentlicht, in der sie darlegen, wie ein DSGVO Bußgeld in Zukunft berechnet werden sollte. Diese Leitlinie ist fürs

Weiter lesen...