Microsoft 365 und DSGVO vertragen sich nicht

Bereits 2020 hatte die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, eine Bewertung zu den Online-Diensten von Microsoft abgegeben. Damals hatte es noch Widerspruch aus den eigenen Reihen gegeben: Den Datenschutzbehörden Baden-Württembergs, Bayerns, Hessens und des Saarlandes war die Bewertung zu undifferenziert. Der nun veröffentlichte Bericht wiederholt viele der bekannten Kritikpunkte, scheint nun aber eine einvernehmliche Stellungnahme zu sein. Beleuchtet wurden ausschließlich die Vertrags­inhalte der Microsoft-Terms (speziell das Data Processing Addendum, Stand 15.9.22). Hauptkritikpunkt ist, dass Microsoft personenbezogene Daten der Kunden zu eigenen und nicht legitimen Zwecken verarbeite. Auch würde Microsoft diese Daten nicht korrekt löschen.

Ein Dauerbrenner in der Datenschutzwelt: Es würden keine angemessenen Maßnahmen zum Schutz internationaler Datentransfers getroffen, die gemäß des Schrems-II-Urteils erforderlich seien. Zudem würde Microsoft keine angemessenen technischen und organisatorischen Maßnahmen für Services anbieten, die nicht in die Professional Services fielen. Letztlich würde die vertragliche Regelung zur Anzeige neuer Unterauftragnehmer gegenüber den Kunden nicht genügen.

Wie auch in der Vergangenheit ließ die Reaktion von Microsoft nicht lange auf sich warten: Quasi zeitgleich veröffentlichte der US-Konzern seine Stellungnahme unter dem Titel „Microsoft erfüllt und übertrifft europäische Datenschutzgesetze“. Man ist sich einig, uneinig zu sein.

Unternehmen, aber auch Behörden müssen sich wieder einmal verstärkt Gedanken machen, wie sie dem Risiko beim Einsatz von Microsoft 365 begegnen. Es besteht jedoch kein Grund, in Panik zu verfallen, denn Fakt ist: Bislang gibt es kaum aufsichtsbehördliche Kontrollen im Hinblick auf Microsoft 365 und derzeit sind weder Bußgelder noch Untersagungsverfügungen bekannt. Für dieses Jahr sind allerdings mehr Kontrollen durch die Behörden angekündigt. Der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) in Baden-Württemberg plant, sich um öffentliche Stellen zu kümmern und einen Fokus auf besonders sensible Daten und die Sozialverwaltung zu legen. Der Landesdatenschutzbeauftragte Thüringens möchte zunächst mittels einer Untersuchung herausfinden, wie stark Microsoft 365 in der Unternehmerschaft verbreitet ist.

Unternehmen können sich auf diese Entwicklung und eine Prüfung durch eine Aufsichtsbehörde vorbereiten. In Zusammenarbeit mit dem Datenschutzbeauftragten sollte eine Analyse der Risiken beim Gebrauch von Microsoft 365 durchgeführt werden. Es wird nicht ausreichen, sich auf den Abschluss des Data Processing Addendums und der Übernahme der Standardeinstellungen bei den Microsoft-Diensten zu verlassen. Die Datenschutzkonferenz hat klargestellt, dass ein Nachweis der Datenschutzkonformität so nicht erbracht werden kann. Vielmehr sollten Unternehmen sich genau anschauen, welche Dienste benötigt werden und welche zusätzlichen Funktionen deaktiviert werden können. Anhand der Ergebnisse kann dann eine Risikoanalyse erstellt werden, die Unternehmen in die Lage versetzt, im Fall von Anfragen oder sogar einer etwaigen Kontrolle durch Aufsichtsbehörden mit diesen in einen Dialog zu treten.