Bewertung der Datenschutzkonferenz (DSK) zu Microsoft Office365 negativ

05.10.2020. 08:32

 

Die DSK als Konferenz der der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat am 2.10.2020 eine Pressemitteilung zur datenschutzrechtlichen Bewertung von Office365 herausgegeben. Der von der DSK beschlossene Arbeitskreis "Verwaltung zur Auftragsverarbeitung bei Microsoft Office 365“ hatte die dem Einsatz des Produktes Microsoft Office 365 zu Grunde liegenden Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft-Onlinedienste (Data Processing Addendum / DPA) – jeweils Stand: Januar 2020“ geprüft und in seiner Bewertung vom 15. Juli 2020 angegeben, „dass auf Basis der genannten Unterlagen kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich ist„.

Die DSK  hat die Bewertung seines Arbeitskreises  mehrheitlich zustimmend zur Kenntnis genommen. Die Entscheidung der Datenschutzkonferenz erging mit einer knappen Mehrheit von 9 Stimmen bei 8 Gegenstimmen. Gegen die uneingeschränkte Zustimmung sprachen sich unter anderem die Landesbeauftragten für den Datenschutz Baden-Württemberg, Bayern, Hessen und im Saarland sowie der Präsident des Bayerischen Landesamts für Datenschutzaufsicht aus, das für die Microsoft Deutschland GmbH zuständig ist.

Praktische Auswirkungen sind erstmal eher weniger zu beführchten, denn einerseits haben sich die der Prüfung zugrunde liegenden Dokumentationen zwischenzeitlich wohl deutlich geändert, was auch Auswirkungen auf die vertraglichen Regelungen haben kann. Andererseits ist der Leistungsumfang von Microsoft Office sehr unterschiedlich, es gibt zahlreiche unterschiedliche Produkte bzw. Lizenzen – von Microsoft „Pläne“ genannt. Was im Einzelnen geprüft wurde ist, soweit ersichtlich, nicht veröffentlicht worden.

De Aufsichtsbehörde in Saaland führt hierzu aus:

"Die Datenschutzaufsichtsbehörden Baden-Württembergs, Bayerns, Hessens und des Saarlands stellen klar, dass auch sie bei Microsoft Office 365 erhebliche datenschutzrechtliche Verbesserungspotenziale sehen, gerade auch mit Blick auf die jüngste Entscheidung des Europäischen Gerichtshofs zu internationalen Datentransfers vom 16. Juli 2020 (C-311/18 – Schrems II). Sie unterstützen deshalb im Grundsatz die Zielsetzungen des Arbeitskreises, soweit er Ansatzpunkte für datenschutzrechtliche Verbesserungen des Produkts Microsoft Office 365 formuliert. Seine Gesamtbewertung können sie allerdings schon deshalb nicht teilen, weil sie zu undifferenziert ausfällt. Überdies hat der Arbeitskreis Verwaltung seine Bewertung auf der Grundlage von Vertragsbestimmungen getroffen, die Microsoft zwischenzeitlich bereits zweimal überarbeitet hat. Schließlich konnten noch nicht die Feststellungen des Europäischen Gerichtshofs zu den Anforderungen der Datenschutz-Grundverordnung an internationale Datentransfers berücksichtigt werden." (Hervorhebung durch uns).

 

 

Das könnte Sie auch interessieren

13 Januar 2023

LfDI BaWü: Handreichung…

LfDI BaWü: Handreichung zur Einbindung von Videos auf Webseiten

Mehr Erfahren
15 Dezember 2022

Wann können Arbeitnehmer…

Wann können Arbeitnehmer bei Datenschutzverstöße Adressaten von aufsichtsbehördlichen Maßnahmen sein?

Mehr Erfahren
09 Dezember 2022

Datenschutz und Microsoft…

Datenschutz und Microsoft Office 365, was nun?

Mehr Erfahren
05 Dezember 2022

So prüft das LDI NRW…

So prüft das LDI NRW Webseiten

Mehr Erfahren
14 November 2022

900.000 Euro Bußgeld…

900.000 Euro Bußgeld wegen unzulässiger Auswertung von Kundendaten eines Kreditinstitutes in Niedersachsen

Mehr Erfahren
26 Oktober 2022

Muss mein Unternehmen…

Muss mein Unternehmen Datenschutzaudits durchführen?

Mehr Erfahren