Microsoft 365 – datenschutzrechtlich umstritten
Nicht nur im privaten Umfeld, auch in vielen Unternehmen und Behörden zählen die Produkte von Microsoft zur Standardausstattung und werden – nicht zuletzt aufgrund ihrer weiten Verbreitung – von Datenschutzbehörden immer wieder genauer unter die Lupe genommen.
Sie sind datenschutzrechtlich umstritten, wobei die Behörden bisher keine einheitlichen Empfehlungen und/oder Verbote herausgegeben haben.
Nutzung von Microsoft 365 in Schulen?
Erst vor einigen Wochen hat der LfDI Baden-Württemberg einen kritischen Hinweis zur Nutzung von Microsoft 365 durch Schulen veröffentlicht und u.a. ein FAQ zu Microsoft Office 365 auf seiner Website veröffentlicht. Dort lassen sich – gut zusammengefasst – die datenschutzrechtlichen Probleme und Risiken, die mit der Nutzung von Microsoft 365 einhergehen, nachlesen.
Übertragung personenbezogener Daten in die USA – Drittlandtransfer
Hauptsitz des Unternehmens ist bekanntermaßen in den USA. Von dort betreibt Microsoft überall in der Welt Rechenzentren, über welche die Leistungen von Office 365 gesteuert werden. Um der Datenschutz-Grundverordnung (DSGVO) im europäischen Wirtschaftsraum gerecht zu werden, bietet Microsoft an, auch die zentralen Services in europäischen Rechenzentren zu betreiben. Für Dienste die den Betrieb von Office 365 sicherstellen, gilt dies jedoch nicht. Nutzeridentitäten und damit verbundene Meta-Daten werden aus der EU in die USA übertragen. Es handlet sich also um den viel diskutierten Drittlandtransfer.
Problem dabei ist die Einstufung der USA als Drittland ohne angemessene Datenschutzgarantien. Wir berichteten an dieser Stelle bereits ausführlich über Ursachen und Auswirkungen des sog. Schrems-II-Urteils. Rein rechtlich gesehen ist seither der Datentansfer in die USA verboten, bzw. nur unter bestimmten Bedingungen erlaubt.
Stichwort: EU-Standardvertragsklauseln. Diese sind zwar zwischenzeitlich Bestandteil des Microsoft-Lizenzvertrages, reichen einigen deutschen Aufsichtsbehörden aber dennoch nicht aus.
Maßnahmen für einen datenschutzkonformen Betrieb
Um Bußgelder zu vermeiden und einen datenschutzkonformen Betrieb von Microstoft 365 zu gewährleisten, haben Verantwortliche im Unternehmen risikominimierende Maßnahmen zu ergreifen. Zu diesen zählen verschienste datenschutzrelevante Voreinstellungen und Konfigurationen. Stichwörter sind hier: Connected Experiences/Services, Diagnose Daten, Telemetrie-Niveau, LinkeIn u.v.m..
Laut DSGVO besteht zusätzlich die Möglichkeit der Verarbeitung auf Basis einer Datenschutz-Folgeabschätzung (DSFA) gemäß Artikel 35 DSGVO. Diese bietet die Chance – mittels Risikoabwägung – Maßnahmen zu ergreifen, die das Datenschutzniveau anforderungsgemäß erhöhen.
In jedem Fall sollte ein funktionierendes Datenschutz-Management-Systeminstalliert werden. Es erfüllt die Dokumentations-und Nachweispflichten gemäß DSGVO, und dokumentiert die Umsetzung der Risikoabwägung im Rahmen einer Datenschutz-Folgeabschätzung.
Melden Sie sich gerne bei uns, um genauere Informationen zum Thema DSFA nach Art. 35 DSGVO zu erhalten.