Bereits im September 2020 kam die Datenschutzkonferenz von Bund und Ländern (DSK) zu dem Ergebnis, dass kein datenschutzgerechter Einsatz von Microsoft 365 möglich ist.
Daraufhin wurden durch einen Arbeitskreis der DSK Gespräche mit Microsoft aufgenommen, um an einer Lösung zu arbeiten. Grundproblematik war die Weitergabe von Daten an unsichere Drittländer, etwa die USA, sowie fehlende Transparenz bei Erhebung und VerarbeitungJeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgan... More von Daten.
Knapp zwei Jahre später wurde auf der 104. DSK nun auf die Ergebnisse dieser Gespräche und erneut auf den aktuellen datenschutzrechtlichen Stand von Microsoft 365 geschaut.
Ergebnisse fallen nüchtern aus
Das Ergebnis fiel dabei denkbar nüchtern aus. So sei es nach wie vor ungeklärt, welche Daten erhoben, übertragen und für eigene Zwecke verarbeitete werden, teilte der Bundesdatenschutzbeauftragte Ulrich Kelber zum Abschluss der DSK in einer Pressekonferenz mit.
Dieser anhaltende Mangel an notwendiger Transparenz macht einen rechtmäßigen Einsatz von Microsoft 365 weiterhin unbelegt. Allerdings könnte es in Einzelfällen trotzdem gelingen, eine Datenschutzkonformität herzustellen, etwa wenn eine Mikrovirtualisierung vorgenommen wird oder durch den Einsatz von Proxyservern.
Microsoft drängt auf datenschutzrechtliche Zulässigkeit von Microsoft 365
Für Microsoft besteht ein Interesse daran, dass das Produkt Microsoft 365 datenschutzrechtlich zulässig ist. Im Laufe des Jahres wurden die Regelungen rund um Datentransfer und die entsprechende Dokumentation mehrfach überarbeitet. So werden etwa für statistische Analysen relevante Nutzungsdaten pseudonymisiert und aggregiert. Microsoft betont immer wieder, dass man keinen Zugriff auf inhaltliche Kundendaten habe.
Auch wurde im September 2022 der Auftragsverarbeitungsvertrag des Unternehmens aktualisiert, unter anderem, um die neuen Standardvertragsklauseln, die die EU-Kommission für einen rechtskonformen EU-US-Datentransfer verfügt hat, ergänzt.
Entsprechend scharf fällt die Kritik von Microsoft zu den Ergebnissen der DSK aus. So gehen die Anforderungen der Datenschützer zu weit: “Ein ausufernder Aufsichtsansatz, der keinen Betroffenenschutz mehr verfolgt, macht Datenschutz zum dogmatischen Selbstzweck”, heißt es in einer siebenseitigen Stellungnahme des Unternehmens.
Die Auseinandersetzung von EU-Datenschützern und US-Unternehmen dauert seit Jahren an und scheint trotz einiger Lösungsversuche nicht so recht voranzukommen.
