DSGVO: Nutzung von Microsoft Office 365 verboten? – Anmerkung für die Praxis

Die deutsche Datenschutzkonferenz DSK (das Gremium aller Datenschutzbehörden) hat “mehrheitlich zustimmend zur Kenntnis genommen”, dass Microsoft Office 365 als Clouddienst nicht datenschutzkonform verwendet werden kann.

Nachfolgend erläutere ich, warum ich keinen Grund sehe übereilt zu handeln und die Nutzung von Office, bzw. Micorosoft 365 einzustellen.

Hinweis: Seit dem 10. Juli 2023 existiert ein Nachfolger für das “Privacy Shield”, namens “Trans-Atlantic Data Privacy Framework (TADPF)”. Das TADPF ist sicherer als Standardvertragsklauseln. Warum der folgende Beitrag jedoch weiterhin aktuell bleibt und ob Sie sich auf das TADPF als sichere Rechtsgrundlage für den Einsatz von US-Anbietern, wie Google, Facebook, Amazon, etc. verlassen können, erfahren Sie in unserem Beitrag: Trans-Atlantic Data Privacy Framework (TADPF) – Einsatz von US-Dienstleistern nun DSGVO-sicher?

Gründe für eine fehlende DSGVO-Konformität

Als Gründe für eine fehlende DSGVO-Konformität wurden von der DSK insbesondere genannt:

  • Fehlende Details: Beschreibung der Verarbeitung in Online Service Terms und im Auftragsverarbeitung sei nicht detailliert genug, um beurteilen zu können, ob die Verarbeitung durch Microsoft zulässig ist.
  • Keine Rechtsgrundlage für Telemetrie: Es liegt keine Rechtsgrundlage für die Übermittlung Telemetrie-Diagnosedaten an Microsoft vor.
  • Ungenauer Hinweis auf mögliche Weitergaben: Der vertragliche Vorbehalt der Weitergabe von Daten in gesetzlich vorgeschriebenen Fällen, sei zu abstrakt gefasst.

Heißt das nun, dass Sie Ihr Officepaket sofort deinstallieren oder gar zurückgeben sollten?

Es ist ein Prozess und keine Entscheidung

M.E. besteht aufgrund der folgenden Faktoren kein Grund, die Office-Dienste sofort zu verbannen:

  1. Uneinigkeit bei den Datenschutzbehörden: Die DSK hat nicht etwa eine einhellige Entscheidung getroffen, sondern die Empfehlung eines ihrer Arbeitskreise “mehrheitlich zustimmend zur Kenntnis genommen.” Dabei haben 8 der 17 Datenschutzbehörden denkbar knapp gegen diese Entscheidung gestimmt. Vier Aufsichtsbehörden halten die Entscheidung sogar ausdrücklich für verfrüht.
  2. Bündel von diversen Produkten: Office 365 sowie Microsoft 365 sind ein Bündel von diversen Produkten und Funktionen mit zum Teil unterschiedlichen Rechtsvereinbarungen. D. h. es müsste geprüft werden, ob die Entscheidung der DSK auf die individuelle Konstellation zutrifft. Das insbesondere, weil die DSK die Prüfung anhand von Unterlagen und nicht aufgrund technischer Einsicht vornahm.
  3. Laufende Anpassungen: Softwareprodukte ändern sich und auch Microsoft passt deren Software sowie Rechtstexte an. Die Einschätzung der DSK ist auf dem Stand von Januar 2020. D.h. eine derartige Einschätzung ist eine Momentaufnahme, die im Zeitpunkt einer etwaigen Untersagung geprüft werden muss. D.h. man kann sich trefflich streiten, ob und in welchem Umfang die beanstandeten Punkte angepasst wurden und in welchen Konstellationen die DSK inwieweit richtig liegt (was aber den Rahmen dieses Beitrags bei weitem sprengen würde).
  4. Keine akute Bußgeldgefahr: Von der Folgenseite gedacht, drohen derzeit keine akuten Untersagungsanordnungen oder Bußgelder. Dafür ist die Rechtslage zu unklar.

Praxisempfehlung

Es kann derzeit nicht abschließend gesagt werden, ob die Nutzung von Microsoft zulässig ist oder nicht. Das schon gar nicht abstrakt, ohne sich die konkrete Nutzung anzuschauen. Es sind also Pro- und Kontra-Ansichten vertretbar.

Dass sich an einer derart ungewissen Lage bei den heute rapide fortlaufenden Entwicklungen etwas ändert, ist zu bezweifeln. Daher kommt es in der Praxis vor allem auf eine wirtschaftliche Bewertung der Risikolage an.

Wirtschaftlich betrachtet, sehe ich keinen Grund die Nutzung der Office-Cloud-Dienste einzustellen. Denn die Wahrscheinlichkeit von Verboten oder gar Bußgeldern ist gering.

Vielmehr bleibt jetzt abzuwarten, wie Microsoft jetzt reagiert. Denn zumindest in der Vergangenheit hat sich Microsoft zu Anpassungen oder zumindest kampfbereit gezeigt.

Tipp für mehr Rechtssicherheit

Mit Hilfe unseres Generators für rechtssichere DSGVO-Datenschutzerklärung, können Sie Ihre Kunden oder Nutzer entsprechend Art. 13 DSGVO über den Einsatz von Microsoft-Cloud-Diensten informieren (nur für Geschäftskunden).

mit über 600 aktuellen Modulen   testen ohne Anmeldung  kein Abo  nur 99,00 Euro netto (nur für Unternehmen). Grundmodule gratis für Privatpersonen.

DSGVO: Nutzung von Microsoft Office 365 verboten? – Anmerkung für die Praxis