Die Datenschutzkonferenz des Bundes und der Länder (DSK) hat geprüft, ob der Einsatz von Microsoft Office 365 mit Artikel 28 der DSGVO vereinbar ist.
Unter dem Namen Microsoft 365 bündelt der Hersteller seine Cloud-basierte Büro-Suite, die bis Mitte 2020 als Office 365 vertrieben wurde. Enthalten sind die flächendeckend verbreiteten und kaum mehr wegzudenkenden Software-Lösungen Word für Textverarbeitung, Excel für Tabellenkalkulation, Powerpoint für Präsentationen sowie Outlook und Microsoft Teams für Kommunikation und Kollaborationen.
Am 22.09.2020 wurde nun entschieden, dass ein datenschutzkonformer Einsatz aktuell nicht möglich sei. Beanstandet wurden gleich mehrere Punkte. So sei etwa Es unklar, ob Microsoft Nutzerdaten ausreichend schützt und wie lange diese gespeichert werden. Darüber hinaus bestehe außer dem Auftragsverarbeitungsvertrag keine Rechtsgrundlage für den Transfer von Telemetrie-Diagnosedaten von den Usern an Microsoft.
Wer 100 % rechtssicher arbeiten will muss auf den Einsatz von Microsoft 365 verzichten. Dies dürfte allerdings für die Mehrheit der Unternehmen keine Option sein, da die Software nicht einfach ausgetauscht werden kann.
Mit einer entsprechenden Konfigurationen der Software kann der Datenschutz verbessert werden. Ein Restrisiko kann aber nicht ausgeschlossen werden. Ob die Behörden der einzelnen Länder hier aktiv werden, ist aktuell nicht abschätzbar.
Verantwortliche sollten in jedem Fall aufmerksam verfolgen, ob der Einsatz von Microsoft 365 bei Prüfungen durch Aufsichtsbehörden bei anderen Unternehmen zukünftig bemängelt wird.
Gerne stehen wir Ihnen mit Rat und Tat zu Seite.
Dr. Stephan Schenk
Zertifizierter Datenschutzbeauftragter (DSB-TÜV)