Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
page
post
referenzen
neuigkeiten-stories
Jeder hat es, jeder braucht es

Microsoft (Office) 365 und der Datenschutz

Laut Ansicht der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) und somit aller deutschen Aufsichtsbehörden, ist ein datenschutzkonformer Einsatz von Microsoft 365 grundsätzlich aktuell nicht möglich.

Obwohl Microsoft Änderungen an Verträgen und Anwendung vornahm bzw. versprach, bleiben wesentliche Kritikpunkte unberührt. Hier nur einige Wenige:

  • Für Kunden keine verwertbaren Protokolle von Verarbeitungen
  • Fehlende Dokumentation zur grundsätzlichen datenschutzrechtlichen Bewertung
  • Fehlende Angaben zu Verarbeitungen (inkl. das eine solche stattfindet)
  • Fehlende Angaben zu Empfängern
  • Verkürzt: Fehlende Umsetzung von Betroffenenrechte
mediendiele und der Datenschutz
Zwar gibt Microsoft in datenschutzrechtlichen Vereinbarungen an, auf Aufforderung zu löschen, aber aus der beruflichen Praxis habe ich mehrmals erlebt, dass Microsoft Löschaufforderungen oder Anfragen zu unrechtmäßig erhaltenen Informationen schlicht nicht nachkommt oder überhaupt nicht reagiert.

Ein grundsätzliches Problem mit dem amerikanischen Recht (CLOUD- u. PATRIOT-Act) ist da noch eher sekundär (trotz EU-US Data Privacy Framework, welches aktuell noch als Rechtsgrundlage für Übermittlungen in die USA gilt).

Den gesetzlichen Informationspflichten nach Art. 13 u. 14 DSGVO kann somit auch nicht nachgekommen werden. Auch eine Einwilligung wird somit sehr schwierig. Je nach Tätigkeit, z.B. als Berufsgeheimnisträger, kann eine unmittelbare Nutzung von Microsoft 365 einen laufenden Rechtsverstoß darstellen.

Microsofts Ziel ist es, die On-Premise-Version des Office Paketes zu Gunsten vom cloudbasierten Microsoft 365 zu beenden. Mittelfristig ist somit jedes Unternehmen betroffen, welches Office Produkte von Microsoft nutzt.

mediendiele Datenschutz

Ist ein Wechsel zu einer anderen Office-Software eine Alternative?

Das Hauptproblem ist hierbei: Diverse Produkte anderer Anbieter bauen auf Microsoft Produkten auf bzw. verfügen nur über Schnittstellen zu diesen.

Falls dies kein Problem ist, lautet die Empfehlung aus Sicht des Datenschutzes, eine Alternative, wie z.B. LibreOffice zu nutzen. Bei Beachtung einiger Einstellungen bestehen hier keine datenschutzrechtlichen Bedenken.

Möglichkeiten zur Risikominimierung

Ist ein Wechsel mittelfristig nicht möglich, bleibt nur die konsequente Risikominimierung.

  • Idealerweise Betrieb auf einem eigenen Server bzw. eines datenschutzkonformen Dienstleisters
  • Systemseitig technisch sichergestelltes Berechtigungskonzept
  • Maximale Deaktivierung von Telemetriedaten in Office 365 selbst, mittels Firewall und, wenn möglich, mittels eines zwischengeschalteten Server
  • Wiederholte Prüfung und Dokumentation jeder einzelnen Verarbeitung im Kontext von Microsoft 365 im Verzeichnis der Verarbeitungstätigkeiten
  • Implementierung technischer und organisatorischer ergänzenden Maßnahmen zum Schutz personenbezogener Daten

Wie immer gilt auch hier: Ein Gespräch mit einem Datenschutzbeauftragten kostet zwar Zeit und ab und an auch Nerven, aber derartige Gespräche sind wesentlich angenehmer als ein kritischer Besuch der Aufsichtsbehörde.

Weiterführende Links

Kritik der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder
AG DSK „Microsoft-Onlinedienste“
URL: https://www.datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365_zusammenfassung.pdf

7.3 Microsoft Office 365  – eine Bürolösung mit fehlenden Antworten
URL: https://www.datenschutzzentrum.de/tb/tb35/kap07.html

Sicherheit in LibreOffice
URL: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Freie-Software/Sicherheit_LibreOffice/Sicherheit_LibreOffice_node.html

Geschrieben von Olaf König, selbstständiger Datenschützer aus Kiel.
Jetzt Website besuchen

Wir haben Dein Interesse geweckt? Bitteschön!

Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
page
post
referenzen
neuigkeiten-stories
Was interessiert Sie! 2