Immer auf dem Laufenden bleibenDie Konferenz der Datenschutzaufsichtsbehörden hat am 24.11.22 einen Bericht zu Microsoft 365 veröffentlicht. Bemängelt wird die fehlende Transparenz, wie weit Microsoft Kundendaten zu eigenen Zwecken verwendet. Solange diese Transparenz nicht bestehen würde, ist es den Verantwortlichen auf Kundenseite nicht möglich, einen rechtskonformen Einsatz von Microsoft 365 nachzuweisen. Ohne einen solchen Nachweis ist eine rechtskonforme Nutzung aus Sicht der Behörden ausgeschlossen.
Microsoft unter Beobachtung
Die deutschen Aufsichtsbehörden für den Datenschutz und Microsoft sind bereits seit geraumer Zeit im Gespräch. Die Behörden sind mehrheitlich überzeugt, dass Microsoft bei der Bereitstellung seiner Cloud-Produkte Kundendaten auch für eigene Zwecke abgreift und verwendet. Microsoft hat im Verlauf der langen Gespräche bereits mehrfach Auskunft zu Produkten, Verträgen und dem Umgang mit Kundendaten gegeben. Eine häufige Kritik in der begleitenden Literatur ist, dass die Behörden bei Ihren Bewertungen immer wieder veraltete Informationen nutzen und die Bewertungen somit nicht den aktuellen Produktstand bei Microsoft berücksichtigen.
Am 24.11.22 hat die Datenschutzkonferenz der deutschen Aufsichtsbehörden für den Datenschutz (DSK) eine Festlegung der Arbeitsgruppe DSK „Microsoft-Onlinedienste“ veröffentlicht.
Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann.
Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.
Festlegung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 24.11.2022 (Ergänzende Formatierungen durch den Autor)
Damit wird praktisch erklärt, dass derzeit ein rechtskonformer Einsatz von Microsoft 365 nicht möglich ist.
Microsoft sieht das ganz anders
Dem widerspricht Microsoft in seiner Stellungnahme vom 25.11.2022 deutlich.
Wir teilen die Position der DSK nicht. Wir stellen sicher, dass unsere M365-Produkte die strengen EU-Datenschutzgesetze nicht nur erfüllen, sondern oft sogar übertreffen. Unsere Kunden in Deutschland und in der gesamten EU können M365-Produkte weiterhin bedenkenlos und rechtssicher nutzen.
Stellungnahme zur datenschutzrechtlichen Bewertung von Microsoft 365 durch die DSK vom 25.11.2022
Dazu hat Microsoft weitere Details und Informationen in einem eigenen Dokument veröffentlicht und bietet dieses zum Download an.
O-Ton: “Microsoft 365 ist datenschutzkonform einsetzbar”
Was sollten Unternehmen jetzt beachten?
Es gibt kaum noch Unternehmen, die nicht regelmäßig Produkte von Microsoft einsetzen. Die Produkt- und Lizenzpolitik von Microsoft geht unübersehbar deutlich in Richtung Cloudlösungen. Unternehmen dürfte es zunehmend schwerfallen, überhaupt noch Microsoftprodukte ohne Cloudanbindung effizient nutzen zu können. Zukünftig wird es diverse Microsoftprodukte gar nicht mehr in einer on-premise-Variante geben.
Wir empfehlen Unternehmen, die solche Produkte einsetzen wollen und ggf. auch müssen, sich intensiv mit den Datenschutzanforderungen zu beschäftigen. Nur auf diesem Wege kann unserer Meinung nach eine mindestens weitgehend rechtskonforme Nutzung dieser Produkte erreicht werden.
Die aktuelle Stellungnahme der Aufsichtsbehörde ist am Ende nur eine Meinung – wenn auch eine durchaus relevante. Nutzungsverbote oder gar gerichtliche Klarstellungen scheinen aktuell noch weit entfernt zu sein.
