Bewertung der Datenschutzkonferenz (DSK) zu Microsoft Office365 negativ

05.10.2020. 08:32

 

Die DSK als Konferenz der der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat am 2.10.2020 eine Pressemitteilung zur datenschutzrechtlichen Bewertung von Office365 herausgegeben. Der von der DSK beschlossene Arbeitskreis "Verwaltung zur Auftragsverarbeitung bei Microsoft Office 365“ hatte die dem Einsatz des Produktes Microsoft Office 365 zu Grunde liegenden Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft-Onlinedienste (Data Processing Addendum / DPA) – jeweils Stand: Januar 2020“ geprüft und in seiner Bewertung vom 15. Juli 2020 angegeben, „dass auf Basis der genannten Unterlagen kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich ist„.

Die DSK  hat die Bewertung seines Arbeitskreises  mehrheitlich zustimmend zur Kenntnis genommen. Die Entscheidung der Datenschutzkonferenz erging mit einer knappen Mehrheit von 9 Stimmen bei 8 Gegenstimmen. Gegen die uneingeschränkte Zustimmung sprachen sich unter anderem die Landesbeauftragten für den Datenschutz Baden-Württemberg, Bayern, Hessen und im Saarland sowie der Präsident des Bayerischen Landesamts für Datenschutzaufsicht aus, das für die Microsoft Deutschland GmbH zuständig ist.

Praktische Auswirkungen sind erstmal eher weniger zu beführchten, denn einerseits haben sich die der Prüfung zugrunde liegenden Dokumentationen zwischenzeitlich wohl deutlich geändert, was auch Auswirkungen auf die vertraglichen Regelungen haben kann. Andererseits ist der Leistungsumfang von Microsoft Office sehr unterschiedlich, es gibt zahlreiche unterschiedliche Produkte bzw. Lizenzen – von Microsoft „Pläne“ genannt. Was im Einzelnen geprüft wurde ist, soweit ersichtlich, nicht veröffentlicht worden.

De Aufsichtsbehörde in Saaland führt hierzu aus:

"Die Datenschutzaufsichtsbehörden Baden-Württembergs, Bayerns, Hessens und des Saarlands stellen klar, dass auch sie bei Microsoft Office 365 erhebliche datenschutzrechtliche Verbesserungspotenziale sehen, gerade auch mit Blick auf die jüngste Entscheidung des Europäischen Gerichtshofs zu internationalen Datentransfers vom 16. Juli 2020 (C-311/18 – Schrems II). Sie unterstützen deshalb im Grundsatz die Zielsetzungen des Arbeitskreises, soweit er Ansatzpunkte für datenschutzrechtliche Verbesserungen des Produkts Microsoft Office 365 formuliert. Seine Gesamtbewertung können sie allerdings schon deshalb nicht teilen, weil sie zu undifferenziert ausfällt. Überdies hat der Arbeitskreis Verwaltung seine Bewertung auf der Grundlage von Vertragsbestimmungen getroffen, die Microsoft zwischenzeitlich bereits zweimal überarbeitet hat. Schließlich konnten noch nicht die Feststellungen des Europäischen Gerichtshofs zu den Anforderungen der Datenschutz-Grundverordnung an internationale Datentransfers berücksichtigt werden." (Hervorhebung durch uns).

 

 

Das könnte Sie auch interessieren

03 April 2024

Thüringer LfDI: Telefax…

Thüringer LfDI: Telefax ist kein sicheres Transportmittel

Mehr Erfahren
31 Januar 2024

Datenschutz bei Microsoft…

Datenschutz bei Microsoft 365 Copilot

Mehr Erfahren
28 August 2023

BAG: Datenschutzbeauftragter…

BAG: Datenschutzbeauftragter und Betriebsratsvorsitzender sind nicht in Personalunion möglich

Mehr Erfahren
31 März 2023

VG Hannover: Datenerhebung…

VG Hannover: Datenerhebung bei Amazon in Winsen datenschutzrechtlich zulässig

Mehr Erfahren
27 März 2023

Koordinierte Prüfung…

Koordinierte Prüfung zu Stellung und Aufgaben von Datenschutzbeauftragten

Mehr Erfahren
27 März 2023

Anforderung der Prüfberichte…

Anlasslose aufsichtsbehördliche Prüfung: Anforderung der Prüfberichte des Datenschutzbeauftragten

Mehr Erfahren