DSGVO: Nutzung von Microsoft Office 365 verboten? – Anmerkung für die Praxis
Die deutsche Datenschutzkonferenz DSK (das Gremium aller Datenschutzbehörden) hat “mehrheitlich zustimmend zur Kenntnis genommen”, dass Microsoft Office 365 als Clouddienst nicht datenschutzkonform verwendet werden kann.
Nachfolgend erläutere ich, warum ich keinen Grund sehe übereilt zu handeln und die Nutzung von Office, bzw. Micorosoft 365 einzustellen.
US-Dienstleister als zusätzliche Problematik: Da Microsoft ein US-Dienst ist, muss auch dessen zulässiger Einsatz nach Wegfall des Privacy Shield geprüft werden. Allerdings sehe ich (pragmatisch betrachtet), auch diesbezüglich keinen Grund die Nutzung von Office einzustellen, vor allem, wenn EU-Server eingesetzt werden. Dazu empfehle ich Ihnen meinen Beitrag: “Keine Angst vor US-Datentransfers ohne Privacy Shield – Muster, Ratschläge und Checkliste für Standardvertragsklauseln“.
Hinweis: Seit dem 10. Juli 2023 existiert ein Nachfolger für das “Privacy Shield”, namens “Trans-Atlantic Data Privacy Framework (TADPF)”. Das TADPF ist sicherer als Standardvertragsklauseln. Warum der folgende Beitrag jedoch weiterhin aktuell bleibt und ob Sie sich auf das TADPF als sichere Rechtsgrundlage für den Einsatz von US-Anbietern, wie Google, Facebook, Amazon, etc. verlassen können, erfahren Sie in unserem Beitrag: Trans-Atlantic Data Privacy Framework (TADPF) – Einsatz von US-Dienstleistern nun DSGVO-sicher?
Gründe für eine fehlende DSGVO-Konformität
Als Gründe für eine fehlende DSGVO-Konformität wurden von der DSK insbesondere genannt:
- Fehlende Details: Beschreibung der Verarbeitung in Online Service Terms und im Auftragsverarbeitung sei nicht detailliert genug, um beurteilen zu können, ob die Verarbeitung durch Microsoft zulässig ist.
- Keine Rechtsgrundlage für Telemetrie: Es liegt keine Rechtsgrundlage für die Übermittlung Telemetrie-Diagnosedaten an Microsoft vor.
- Ungenauer Hinweis auf mögliche Weitergaben: Der vertragliche Vorbehalt der Weitergabe von Daten in gesetzlich vorgeschriebenen Fällen, sei zu abstrakt gefasst.
Heißt das nun, dass Sie Ihr Officepaket sofort deinstallieren oder gar zurückgeben sollten?
Es ist ein Prozess und keine Entscheidung
M.E. besteht aufgrund der folgenden Faktoren kein Grund, die Office-Dienste sofort zu verbannen:
- Uneinigkeit bei den Datenschutzbehörden: Die DSK hat nicht etwa eine einhellige Entscheidung getroffen, sondern die Empfehlung eines ihrer Arbeitskreise “mehrheitlich zustimmend zur Kenntnis genommen.” Dabei haben 8 der 17 Datenschutzbehörden denkbar knapp gegen diese Entscheidung gestimmt. Vier Aufsichtsbehörden halten die Entscheidung sogar ausdrücklich für verfrüht.
- Bündel von diversen Produkten: Office 365 sowie Microsoft 365 sind ein Bündel von diversen Produkten und Funktionen mit zum Teil unterschiedlichen Rechtsvereinbarungen. D. h. es müsste geprüft werden, ob die Entscheidung der DSK auf die individuelle Konstellation zutrifft. Das insbesondere, weil die DSK die Prüfung anhand von Unterlagen und nicht aufgrund technischer Einsicht vornahm.
- Laufende Anpassungen: Softwareprodukte ändern sich und auch Microsoft passt deren Software sowie Rechtstexte an. Die Einschätzung der DSK ist auf dem Stand von Januar 2020. D.h. eine derartige Einschätzung ist eine Momentaufnahme, die im Zeitpunkt einer etwaigen Untersagung geprüft werden muss. D.h. man kann sich trefflich streiten, ob und in welchem Umfang die beanstandeten Punkte angepasst wurden und in welchen Konstellationen die DSK inwieweit richtig liegt (was aber den Rahmen dieses Beitrags bei weitem sprengen würde).
- Keine akute Bußgeldgefahr: Von der Folgenseite gedacht, drohen derzeit keine akuten Untersagungsanordnungen oder Bußgelder. Dafür ist die Rechtslage zu unklar.
Praxisempfehlung
Es kann derzeit nicht abschließend gesagt werden, ob die Nutzung von Microsoft zulässig ist oder nicht. Das schon gar nicht abstrakt, ohne sich die konkrete Nutzung anzuschauen. Es sind also Pro- und Kontra-Ansichten vertretbar.
Dass sich an einer derart ungewissen Lage bei den heute rapide fortlaufenden Entwicklungen etwas ändert, ist zu bezweifeln. Daher kommt es in der Praxis vor allem auf eine wirtschaftliche Bewertung der Risikolage an.
Wirtschaftlich betrachtet, sehe ich keinen Grund die Nutzung der Office-Cloud-Dienste einzustellen. Denn die Wahrscheinlichkeit von Verboten oder gar Bußgeldern ist gering.
Vielmehr bleibt jetzt abzuwarten, wie Microsoft jetzt reagiert. Denn zumindest in der Vergangenheit hat sich Microsoft zu Anpassungen oder zumindest kampfbereit gezeigt.
Tipp für mehr Rechtssicherheit
Mit Hilfe unseres Generators für rechtssichere DSGVO-Datenschutzerklärung, können Sie Ihre Kunden oder Nutzer entsprechend Art. 13 DSGVO über den Einsatz von Microsoft-Cloud-Diensten informieren (nur für Geschäftskunden).
mit über 600 aktuellen Modulen testen ohne Anmeldung kein Abo nur 99,00 Euro netto (nur für Unternehmen). Grundmodule gratis für Privatpersonen.
Es scheint unsinnig, eine Produktpallette, wie jene von Microsoft, von heute auf morgen ohne Neuregelungen verbieten zu wollen. Microsofts Office-Lösungen sind Standard in jedem halbwegs professionell arbeitenden Büro. Schon alleine aufgrund der immer besseren Verzahnung der Dienste – Beispiele: Exchange/SharePoint/OneDrive/Teams/365-Apps
Es läge vielmehr in der Verantwortung der Datenschutzbehörden, auf allenfalls bestehende Schwachstellen konkret hinzuweisen, Übergangsfristen zur Nachbesserung zu setzen, als auch exakte Vorgaben/Richtlinien für und gemeinsam mit den Herstellern zu erstellen. Dann wird ein Schuh daraus. So ist das nur eine eher politisch motivierte Juristenpflanzerei.
Danke für Ihren Beitrag und der Beseitigung des Nebelkerzendunstes.
Ich frage mich, ob die DSGVO so langsam aber sicher zu einer Megabremse in der Digitalisierung mutiert. Datenschutz ist wichtig, aber warum wird das so kreuz und quer kommuniziert? Das verunsichert ungemein alle diejenigen, die Datenschutz wirklich ernst nehmen. Ich habe von diesen Wichtigtuern die Nase voll und werde auch bei Androhung von Strafen zukünftig alle Fünfe gerade sein lassen.
Wie weit der Datenschutz geht, erkenne ich an dem Konstrukt der Corona-App. Diese App ist ein zahnloser Tiger und der Gesundheitsförderung weniger dienlich, aber Hauptsache Datenschutz, der vor allem in diesem Lande wahrscheinlich über alles geht . Deutschland war schon immer päpstlicher als der Papst. Ehrlich gesagt, die Datenschützer machen mir mehr Angst als die Google-Überwachung.
Ich finde es gut, das sich die DSK aktiv mit der Problematik auseinandersetzt. Denn ist an der Zeit nach Alternativen zu suchen. Alternativen zu den übermächtigen US- Anbietern, die auf Grund laxer Bestimmungen bisher als Datenkraken fungiert. Und mal ehrlich. Donald Trump will Tic Toc in den USA verbieten, sofern sich nicht ein US- Unternehmen daran beteiligt, weil chinesische Behörden Zugriff auf Daten von US- Bürgern erhalten könnten!? Warum als nicht mal die europäischen Krallen ausfahren und einfach den Datenstrom nach USA unterbinden, weil US-Behörden Zugriff auf Daten von EU- Bürgern haben (Cloud Act).
“Warum als nicht mal die europäischen Krallen ausfahren und einfach den Datenstrom nach USA unterbinden, weil US-Behörden Zugriff auf Daten von EU- Bürgern haben (Cloud Act).”
@Jörg Hoffmann
Vielleicht, weil die USA (noch) ein Rechtsstaat sind, China aber nicht.
Einen Server in der EU verwenden? Wenn mich nicht alles täuscht, müssen nach dem CLOUD-Act die amerikanischen Muttergesellschaften den Durchgriff auf die Töchter ermöglichen.
Jeder spricht jetzt über Office. Was ist mit all den anderen, die u.a. auch auf dieser Website verlinked sind? Google, Facebook & Co.? Da sind die Daten auch auf der anderen Seite des großen Teichs…
Weiterhin: es gibt eine Entscheidung der DSK, egal mit welcher Mehrheit. Nach was wird denn bei einer Beschwerde oder Prüfung von der Landesdatenschutzbehörde beurteilt und ggf. ein Bußgeld verhängt?
Als bestellter Datenschützer: richte ich mich nach Interpretationen und Mutmaßungen oder nach den offiziellen Gegebenheiten?
Eine für alle funktionierende Antwort gibt es leider nicht. Als Datenschutzbeauftragte*r bietet es sich jedoch an, auf die Rechtslage hinzuweisen, den sichersten Weg aufzuzeigen (also keine US-Dienste nutzen), dies dem Auftrag-/Arbeitgeber zu empfehlen (wenn er ganz sicher sein will), jedoch zugleich auch die Alternativen aufzuzeigen (d.h. individuelle Prüfung wie im Artikel dargestellt) und nach deren Entscheidung daran mitzuwirken, die gewählte Marschroute möglichst rechtssicher umzusetzen.
Wow, eine sehrt mutige These, da die Begründung des Schremp-Urteils anders aussieht.
Ein Server in der EU ist nutzlos, selbst wenn es bei der Microsoft-Tochter in der EU steht, da eben gerade die Antiterrorgesetze der USA den Datenschutz komplett aushebeln und Microsoft sogar gezwungen werden kann, sich aktiv die Daten zu beschaffen auch von EU-Servern.
Einzige Möglichkeit ist eine Verschlüsselung.
Bussgelder sind je nach Landesbehörde durchaus zu befürchten.
Auch wenn ich es anders sehe, ist das eine vertretbare Ansicht und das Urteil des EuGH kann natürlich auch anders gelesen werden. Wie so häufig, da der EuGH nicht gerade für seine Eindeutigkeit bekannt ist.