Datenschutzkonferenz: Microsoft 365 ist und bleibt datenschutzwidrig

Einzelne Fortschritte Microsofts erkennen die Datenschützer Deutschlands an. Das reicht nicht.

25.11.2022 

Microsoft hat im September eine neue Fassung seines Auftragsverarbeitungsvertrags veröffentlicht. Mit dieser Version des „Microsoft Products and Services Data Protection Addendum“ (DPA) hat der US-Konzern unter anderem die neuen Standardvertragsklauseln der EU-Kommission übernommen. Das war notwendig, weil der Europäische Gerichtshof (EuGH) mit dem Schrems-II-Urteil den transatlantischen „Privacy Shield“ und damit eine der wichtigsten Grundlagen für den Transfer von Kundendaten in die USA für ungültig erklärt hat.

 

Präzisiert hat Microsoft zudem Angaben dazu, welche Daten zu eigenen Zwecken genutzt werden. Der Datenkonzern gibt an, beispielsweise statistische, nicht-personenbezogene Daten aus pseudonymisierten Daten zu aggregieren und Statistiken zu erstellen. Er versichert dabei, auf die Inhalte von Kundendaten nicht zuzugreifen und diese so auch nicht zu analysieren. Bisher genannte Zwecke wie der Kampf gegen Betrug oder IT-Kriminalität finden sich an diesem Punkt nicht mehr.

Den Datenschutzbehörden reichen die Korrekturen nicht aus. Microsoft habe damit zwar „in einzelnen Punkte Fortschritte“ erzielt, erkennt Kelber an. Die überarbeiteten Dokumente lieferten aber nicht die nötige Transparenz, welche Daten von dem Unternehmen „für eigene Zwecke verwendet werden können“. Die Kontrolleure können „an einigen Stellen“ nach wie vor nicht einschätzen, welche Informationen und Diagnosewerte noch erhoben und an Microsoft übertragen werden. Damit lasse sich auch nicht prüfen, „ob alle Schritte rechtmäßig sind“.

Für die Anwender macht das die Sache „nicht einfacher“, weiß auch Kelber. Beim Streit über die Telemetrie-Daten bei Windows 10 hätten die Datenschützer empfohlen, als Abhilfe Mikrovirtualisierung oder zwischengeschaltete Filter-Proxy einzusetzen. Ähnliche Absicherungen sind prinzipiell auch bei Microsoft 365 denkbar. Kelber rät jedenfalls davon ab, das Softwarepaket „einfach mal so auf einem Rechner“ zu nutzen.

Hier unsere Praxisanmerkungen zum DSGVO–Verbot Nutzung Microsoft Office 365:
Das Gremium aller Datenschutzbehörden, die deutsche DSK Datenschutzkonferenz hat „mehrheitlich zustimmend zur Kenntnis genommen“ dass Microsoft Office 365 als Clouddienst bei der Verwendung nicht datenschutzkonform sein kann. Im Verlauf des Textes wird erklärt, warum die Nutzer von Microsoft Office 356 nicht übereilt handeln sollten, und die Nutzung des Programms nicht vorzeitig beenden sollen.

Der US-Dienst und seine Problematiken:

Der US-Dienst Microsoft muss auf seine Einsatzfähigkeit geprüft werden, nachdem das Privacy Shield weggefallen ist.

Der Wegfall ist kein Grund, Office nicht mehr zu nutzen, besonders nicht bei der Verwendung von eines EU-Server.

Warum ist es nicht mit der DSGVO konform?

Genannte Gründe der DSK für das Fehlen der Konformität zur DSGVO:

  1. Fehlende Details:

Die Beschreibung der genauen Tätigkeiten ist nicht gut genug, um sagen zu können, ob Microsoft weiter genutzt werden kann.

  1. Die Telemetrie hat keine Rechtsgrundlage:

Es fehlt die rechtliche Grundlage für die übermittelten Telemetrie-Diagnosedaten.

  1. Ungenauer Hinweis zu eventuellen Weitergaben:

Es gibt gesetzlich vorgeschriebene Fälle, in denen die Datenweitergabe unter einem vertraglichen Vorbehalt steht, dieser Bereich ist zu abstrakt verfasst.

Sollte Office 365 nun deinstalliert werden?

Es gibt keinen Grund, den Dienst zu verteufeln und sofort auf die Nutzung zu verzichten. Hier 4 Erläuterungen zum laufenden Prozess:

  1. Datenschutzbehörden sind sich uneinig:

Die Entscheidung der DSK war nicht einstimmig. Die Entscheidung war mit 8 zu 17 Datenschutzbehörden denkbar knapp. Für zu früh bezeichneten vier Aufsichtsbehörden diese Entscheidung.

  1. Microsoft 365 besteht aus verschiedenen zusammengefassten Produkten.

Bei diesen Bündelungen gibt es bei unterschiedlichen Produkten verschiedene Rechtsvereinbarungen. Es müsste also zuerst geprüft werden, ob die von der DSK getroffene Entscheidung auf diese Zusammensetzungen zutrifft. Dazu kommt, dass die bisherige Entscheidung nicht auf einer technischen Einsicht beruht, sondern anhand von Unterlagen getroffen wurde.

  1. Software und die dazugehörigen Rechtstexte werden laufend angepasst.

Das trifft auf Microsoft natürlich auch zu. Die aktuelle Entscheidung wurde im Januar 2020 getroffen und ist damit eine Momentaufnahme.

  1. Es besteht aktuell keine Gefahr für ein Bußgeld.

Da die Rechtslage im Moment derart unklar ist, drohen keine Folgen in Form von Untersagungsanordnungen oder Bußgeldern.

Die Empfehlung für die Praxis:

Einfach kann noch keine Entscheidung getroffen werden, ob die weitere Nutzung zulässig ist. Bei der Beurteilung kommt es auch darauf an, wofür genau das Programm genutzt wird. Da der Prozess noch am Laufen ist, kann die rechtliche Lage sich schnell ändern. Hier sollte es eine individuelle Risikobewertung geben. Ehe alles über Board geschmissen wird, erstmal die Reaktion von Microsoft abwarten. In der Vergangenheit gab es durchaus gute Kompromisse bei ähnlichen Problemen.