Laut Ansicht der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) und somit aller deutschen Aufsichtsbehörden, ist ein datenschutzkonformer Einsatz von Microsoft 365 grundsätzlich aktuell nicht möglich.
Obwohl Microsoft Änderungen an Verträgen und Anwendung vornahm bzw. versprach, bleiben wesentliche Kritikpunkte unberührt. Hier nur einige Wenige:
- Für Kunden keine verwertbaren Protokolle von Verarbeitungen
- Fehlende Dokumentation zur grundsätzlichen datenschutzrechtlichen Bewertung
- Fehlende Angaben zu Verarbeitungen (inkl. das eine solche stattfindet)
- Fehlende Angaben zu Empfängern
- Verkürzt: Fehlende Umsetzung von Betroffenenrechte
Ein grundsätzliches Problem mit dem amerikanischen Recht (CLOUD- u. PATRIOT-Act) ist da noch eher sekundär (trotz EU-US Data Privacy Framework, welches aktuell noch als Rechtsgrundlage für Übermittlungen in die USA gilt).
Den gesetzlichen Informationspflichten nach Art. 13 u. 14 DSGVO kann somit auch nicht nachgekommen werden. Auch eine Einwilligung wird somit sehr schwierig. Je nach Tätigkeit, z.B. als Berufsgeheimnisträger, kann eine unmittelbare Nutzung von Microsoft 365 einen laufenden Rechtsverstoß darstellen.
Microsofts Ziel ist es, die On-Premise-Version des Office Paketes zu Gunsten vom cloudbasierten Microsoft 365 zu beenden. Mittelfristig ist somit jedes Unternehmen betroffen, welches Office Produkte von Microsoft nutzt.
Ist ein Wechsel zu einer anderen Office-Software eine Alternative?
Das Hauptproblem ist hierbei: Diverse Produkte anderer Anbieter bauen auf Microsoft Produkten auf bzw. verfügen nur über Schnittstellen zu diesen.
Falls dies kein Problem ist, lautet die Empfehlung aus Sicht des Datenschutzes, eine Alternative, wie z.B. LibreOffice zu nutzen. Bei Beachtung einiger Einstellungen bestehen hier keine datenschutzrechtlichen Bedenken.
Möglichkeiten zur Risikominimierung
Ist ein Wechsel mittelfristig nicht möglich, bleibt nur die konsequente Risikominimierung.
- Idealerweise Betrieb auf einem eigenen Server bzw. eines datenschutzkonformen Dienstleisters
- Systemseitig technisch sichergestelltes Berechtigungskonzept
- Maximale Deaktivierung von Telemetriedaten in Office 365 selbst, mittels Firewall und, wenn möglich, mittels eines zwischengeschalteten Server
- Wiederholte Prüfung und Dokumentation jeder einzelnen Verarbeitung im Kontext von Microsoft 365 im Verzeichnis der Verarbeitungstätigkeiten
- Implementierung technischer und organisatorischer ergänzenden Maßnahmen zum Schutz personenbezogener Daten
Wie immer gilt auch hier: Ein Gespräch mit einem Datenschutzbeauftragten kostet zwar Zeit und ab und an auch Nerven, aber derartige Gespräche sind wesentlich angenehmer als ein kritischer Besuch der Aufsichtsbehörde.
Weiterführende Links
Kritik der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder
AG DSK „Microsoft-Onlinedienste“
URL: https://www.datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365_zusammenfassung.pdf
7.3 Microsoft Office 365 – eine Bürolösung mit fehlenden Antworten
URL: https://www.datenschutzzentrum.de/tb/tb35/kap07.html
Sicherheit in LibreOffice
URL: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Freie-Software/Sicherheit_LibreOffice/Sicherheit_LibreOffice_node.html
Geschrieben von Olaf König, selbstständiger Datenschützer aus Kiel.
Jetzt Website besuchen
