DSGVO: Nutzung von Microsoft Office 365 verboten? – Anmerkung fĂŒr die Praxis

Die deutsche Datenschutzkonferenz DSK (das Gremium aller Datenschutzbehörden) hat “mehrheitlich zustimmend zur Kenntnis genommen”, dass Microsoft Office 365 als Clouddienst nicht datenschutzkonform verwendet werden kann.

Nachfolgend erlĂ€utere ich, warum ich keinen Grund sehe ĂŒbereilt zu handeln und die Nutzung von Office, bzw. Micorosoft 365 einzustellen.

Hinweis: Seit dem 10. Juli 2023 existiert ein Nachfolger fĂŒr das “Privacy Shield”, namens “Trans-Atlantic Data Privacy Framework (TADPF)”. Das TADPF ist sicherer als Standardvertragsklauseln. Warum der folgende Beitrag jedoch weiterhin aktuell bleibt und ob Sie sich auf das TADPF als sichere Rechtsgrundlage fĂŒr den Einsatz von US-Anbietern, wie Google, Facebook, Amazon, etc. verlassen können, erfahren Sie in unserem Beitrag: Trans-Atlantic Data Privacy Framework (TADPF) – Einsatz von US-Dienstleistern nun DSGVO-sicher?

GrĂŒnde fĂŒr eine fehlende DSGVO-KonformitĂ€t

Als GrĂŒnde fĂŒr eine fehlende DSGVO-KonformitĂ€t wurden von der DSK insbesondere genannt:

  • Fehlende Details: Beschreibung der Verarbeitung in Online Service Terms und im Auftragsverarbeitung sei nicht detailliert genug, um beurteilen zu können, ob die Verarbeitung durch Microsoft zulĂ€ssig ist.
  • Keine Rechtsgrundlage fĂŒr Telemetrie: Es liegt keine Rechtsgrundlage fĂŒr die Übermittlung Telemetrie-Diagnosedaten an Microsoft vor.
  • Ungenauer Hinweis auf mögliche Weitergaben: Der vertragliche Vorbehalt der Weitergabe von Daten in gesetzlich vorgeschriebenen FĂ€llen, sei zu abstrakt gefasst.

Heißt das nun, dass Sie Ihr Officepaket sofort deinstallieren oder gar zurĂŒckgeben sollten?

Es ist ein Prozess und keine Entscheidung

M.E. besteht aufgrund der folgenden Faktoren kein Grund, die Office-Dienste sofort zu verbannen:

  1. Uneinigkeit bei den Datenschutzbehörden: Die DSK hat nicht etwa eine einhellige Entscheidung getroffen, sondern die Empfehlung eines ihrer Arbeitskreise “mehrheitlich zustimmend zur Kenntnis genommen.” Dabei haben 8 der 17 Datenschutzbehörden denkbar knapp gegen diese Entscheidung gestimmt. Vier Aufsichtsbehörden halten die Entscheidung sogar ausdrĂŒcklich fĂŒr verfrĂŒht.
  2. BĂŒndel von diversen Produkten: Office 365 sowie Microsoft 365 sind ein BĂŒndel von diversen Produkten und Funktionen mit zum Teil unterschiedlichen Rechtsvereinbarungen. D. h. es mĂŒsste geprĂŒft werden, ob die Entscheidung der DSK auf die individuelle Konstellation zutrifft. Das insbesondere, weil die DSK die PrĂŒfung anhand von Unterlagen und nicht aufgrund technischer Einsicht vornahm.
  3. Laufende Anpassungen: Softwareprodukte Ă€ndern sich und auch Microsoft passt deren Software sowie Rechtstexte an. Die EinschĂ€tzung der DSK ist auf dem Stand von Januar 2020. D.h. eine derartige EinschĂ€tzung ist eine Momentaufnahme, die im Zeitpunkt einer etwaigen Untersagung geprĂŒft werden muss. D.h. man kann sich trefflich streiten, ob und in welchem Umfang die beanstandeten Punkte angepasst wurden und in welchen Konstellationen die DSK inwieweit richtig liegt (was aber den Rahmen dieses Beitrags bei weitem sprengen wĂŒrde).
  4. Keine akute Bußgeldgefahr: Von der Folgenseite gedacht, drohen derzeit keine akuten Untersagungsanordnungen oder Bußgelder. DafĂŒr ist die Rechtslage zu unklar.

Praxisempfehlung

Es kann derzeit nicht abschließend gesagt werden, ob die Nutzung von Microsoft zulĂ€ssig ist oder nicht. Das schon gar nicht abstrakt, ohne sich die konkrete Nutzung anzuschauen. Es sind also Pro- und Kontra-Ansichten vertretbar.

Dass sich an einer derart ungewissen Lage bei den heute rapide fortlaufenden Entwicklungen etwas Àndert, ist zu bezweifeln. Daher kommt es in der Praxis vor allem auf eine wirtschaftliche Bewertung der Risikolage an.

Wirtschaftlich betrachtet, sehe ich keinen Grund die Nutzung der Office-Cloud-Dienste einzustellen. Denn die Wahrscheinlichkeit von Verboten oder gar Bußgeldern ist gering.

Vielmehr bleibt jetzt abzuwarten, wie Microsoft jetzt reagiert. Denn zumindest in der Vergangenheit hat sich Microsoft zu Anpassungen oder zumindest kampfbereit gezeigt.

Tipp fĂŒr mehr Rechtssicherheit

Mit Hilfe unseres Generators fĂŒr rechtssichere DSGVO-DatenschutzerklĂ€rung, können Sie Ihre Kunden oder Nutzer entsprechend Art. 13 DSGVO ĂŒber den Einsatz von Microsoft-Cloud-Diensten informieren (nur fĂŒr GeschĂ€ftskunden).

✔ mit ĂŒber 600 aktuellen Modulen  ✔ testen ohne Anmeldung ✔ kein Abo ✔ nur 99,00 Euro netto (nur fĂŒr Unternehmen). Grundmodule gratis fĂŒr Privatpersonen.

DSGVO: Nutzung von Microsoft Office 365 verboten? – Anmerkung fĂŒr die Praxis