Ist der Einsatz von Microsoft 365 rechtskonform – oder doch nicht?

Viele Unternehmen nutzen täglich Microsoft 365. In der Vergangenheit wurden immer wieder die Datenschutzkonformität und damit die Rechtskonformität angezweifelt. Laut der deutschen Datenschutzkonferenz (DSK) bleibt Microsoft 365 auch weiterhin datenschutzwidrig und eignet sich dadurch nicht für rechtskonforme Verwendung in beispielsweise Behörden. Die DSK ist die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder. Bei den bemängelten Sachverhalten geht es insbesondere um die Verarbeitung personenbezogener Daten. Ab sofort müssen Unternehmen den Datenschutzbehörden von Bund und Ländern nachweisen können, dass der jeweilige Einsatz von Microsoft datenschutzkonform und damit rechtmäßig ist.

Mangelnde Transparenz bei Microsoft 365

Trotz diverser Nachbesserungen ist es Microsoft bisher nicht gelungen, die DSGVO-Konformität von Microsoft 365 sicherzustellen. Laut dem Bundesdatenschutzbeauftragten Ulrich Kelber fehlt es noch immer an der nötigen Transparenz. Es sei nicht vollständig ersichtlich, welche Daten tatsächlich von Microsoft erhoben und verarbeitet werden. Dadurch kann auch kein ordnungsgemäßer und datenschutzkonformer Umgang mit personenbezogenen Daten sichergestellt werden. Für Schulen und Behörden bleibt die Nutzung damit weiterhin untersagt. Zudem wird auch Unternehmen und Privatpersonen von einer Nutzung von Microsoft 365 abgeraten. Nach der Entscheidung der DSK wird Microsoft weitere Maßnahmen ergreifen, um für mehr Transparenz zu sorgen.

Die DSK verfasste eine Zusammenfassung der erreichten Nachbesserungen und bewertete jede einzelne Maßnahme. Dabei stellte die Arbeitsgruppe fest, dass es von Microsoft keine signifikanten Nachbesserungen in der Vertragsgestaltung im Hinblick auf die Festlegung von Arten und Zwecken der Verarbeitung sowie der Arten der verarbeiteten personenbezogenen Daten gab. Diese Nachbesserungen bleiben auch weiterhin erforderlich.

Pflicht einer Datenschutz-Folgenabschätzung

In der Datenschutz-Grundverordnung ist gemäß Art. 35 Abs. 1 geregelt, dass eine Datenschutz-Folgenabschätzung immer dann gemacht werden muss, wenn die Verarbeitung personenbezogener Daten wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Nach Auffassung der Aufsichtsbehörden dürfte ein hohes Risiko in diesem Fall vorliegen.