Haben Sie bereits die empfohlenen Einstellungen zum Datenschutz in Microsoft 365 vorgenommen?

Die Datenschutzkonferenz der Landesdatenschutzbeauftragten der einzelnen Bundesländer (DSK) hat am 15. Juli 2020 beschlossen:

Derzeit ist kein datenschutzgerechter Einsatz von Microsoft 365 möglich!

Zu den Hintergründen:

Zu den Hintergründen:

  1. Beschlussfindung DSK:
    Das Ergebnis der Abstimmung für diese Entscheidung fiel mit 9:8 Stimmen deutlich knapp aus und zeigt, wie gespalten die Einschätzungen hierzu sind. Die Landesbeauftragten von Baden-Württemberg, Bayern, Hessen und dem Saarland veröffentlichten sogar eine eigene Pressemitteilung mit der die Bewertung der DSK als „zu undifferenziert“ erachtet wird.
  2. Untersuchter Sachverhalt:
    Als Grundlage wurden die Online Service Term (OST) und die Datenschutzbestimmungen für Microsoft Online Dienste (Data Processing Addendum (DPS)) jeweils mit Stand Januar 2020 verwendet.
  3. Technische Überprüfung:
    Eine technische Überprüfung der tatsächlich übermittelten Daten hat nicht stattgefunden.

Kommentar von Marc Pinkus (GABO mbH & Co. KG)

Ich finde es gut, dass das Thema Datenschutz in Deutschland sehr ernst genommen wird, dennoch ist der getroffene Beschluss der DSK für mich nicht nachvollziehbar.

Der Beschluss basiert auf der Vertragsgrundlage von Januar 2020. Aufgrund der aktuellen Entwicklungen und von verschiedenen Initiativen hat Microsoft diese Regelungen zum Zeitpunkt des Beschlusses bereits zweimal nachgebessert. Diese durchgeführten Anpassungen von Microsoft wurden aber nicht berücksichtigt und somit hat dieser Beschluss maximal historische Bedeutung.

Eine technische Überprüfung der tatsächlich übermittelten Daten hat nicht stattgefunden. Somit kann auch nicht beurteilt werden ob diese Daten überhaupt eine datenschutzrechtliche Relevanz haben. Die technischen Veränderungen von Microsoft zur Reduzierung der übermittelten Daten, das Bereitstellen von Tools für die Analyse der übermittelten Daten und der damit verbundenen Erhöhung der Transparenz sind ebenfalls nicht gewürdigt worden.

Microsoft unternimmt sehr hohe Anstrengungen, um den regionalen Datenschutzanforderungen gerecht zu werden – die veröffentlichten Zahlen belegen das. Dennoch ist sich Microsoft aber auch bewusst, dass in Sachen Datenschutz noch „Luft nach oben“ ist und will mit den regionalen Aufsichtsbehörden zusammenarbeiten, um die Anforderungen Best möglichst umzusetzen.

Microsoft wurde aber gar nicht in das Verfahren einbezogen und es fand keine Anhörung statt.

Was bedeutet das für Unternehmen, die Microsoft 365 nutzen?

Zunächst muss festgestellt werden, dass der Beschluss der DSK keine rechtliche Auswirkung hat.
Dennoch empfehle ich die folgenden Maßnahmen, um den Datenschutz bei der Nutzung zu erhöhen:

  1. Konfigurationsmöglichkeiten von Microsoft 365 nutzen, um die Übermittlung von Telemetrie und anderen Analyse Daten soweit wie möglich einzuschränken.
  2. Die Nutzung von Tools, Apps und Funktionen, die Daten außerhalb der EU verwalten, sollte einzeln beurteilt und entschieden werden.
  3. Vertragliche Grundlage prüfen. Hierbei spielen unterschiedliche Faktoren eine Rolle. Grundsätzlich gelten die Verträge zum Zeitpunkt des Vertragsabschlusses, für neue Produkte (z.B. Lists) gelten die OST aus dem Monat der Einführung. Aus diesem Grund ist es erforderlich, genau zu prüfen, welche Teile des Produkts, wann eingeführt wurden. Erst dadurch ergibt sich die vertragliche Grundlage. Es kann also vorkommen, dass einige Services oder Apps datenschutzkonform eingesetzt werden können, andere aber wiederum nicht. Deshalb muss an dieser Stelle genau differenziert werden.

Fazit

Der Einsatz von Microsoft 365 ist nicht verboten, von einer Rechtssicherheit beim Einsatz kann aber auch nicht gesprochen werden. Es gibt keine einheitliche rechtliche Einschätzung dazu – es kommt auf das Bundesland an in dem das jeweilige Unternehmen seinen Sitz hat.
Begrüßenswert ist es, dass Microsoft nun im Nachgang in das Verfahren einbezogen wird und somit die Chance besteht, dass ein gemeinsames Verständnis von Hersteller und Datenschutzbehörden geschaffen werden kann. Bis zu einer einheitlichen Regelegung, sollten Unternehmen bei der Nutzung von Microsoft 365 alle Maßnahmen ergreifen, die das datenschutzrechtliche Risiko minimieren. Das kann zum Beispiel auch die derzeitige Möglichkeit sein, alle Daten kostenfrei in ein deutsches Rechenzentrum zu übertragen.

Unser Angebot

Wenn Sie sich nicht sicher sind, ob alle aus Datenschutzsicht empfohlenen Konfigurationen in Ihrem Tenant vorgenommen wurden, unterstützen wir Sie gerne bei der Überprüfung und Dokumentation der Einstellungen.

Füllen Sie hierzu einfach unser Kontaktformular aus. Wir freuen uns, wenn wir Sie unterstützen dürfen.

    Einwilligung Datenschutz

    Ich willige ein, dass meine Angaben zur Kontaktaufname und Zuordnung für eventuelle Rückfragen dauerhaft gespeichert werden können. Diese Einwilligung kann ich jederzeit mit Wirkung für die Zukunft widerrufen, indem ich eine E-Mail an dialog@gabo.de schicke. Mehr Informationen dazu finden Sie in unserer Datenschutzinformation.

    Weitere Informationen zum Datenschutz und zu den Betroffenenrechten finden Sie in unserer Datenschutzerklärung.