Unsere Hotline

+49 (0)241 559693-0

Mo. - Fr. 8:00 - 17:00 Uhr

Zahlarten bei 2ndsoft


Social Media

  



Sicher einkaufen
2ndsoft.de, Ihr Spezialist
für Software An- & Verkauf,
ist ein von Trusted Shops geprüfter Onlinehändler mit Gütesiegel und Käuferschutz. Mehr...

Shop-Blog

Nov 08 2020

Datenschutzkonferenz: „Kein datenschutzgerechter Einsatz von Microsoft 365 möglich“


Bewertung besonders für Unternehmen und Behörden problematisch


Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (kurz: Datenschutzkonferenz, DSK) beschloss bereits am 22. September 2020, dass „kein datenschutzgerechter Einsatz von Microsoft 365 möglich ist“. Das Gremium, welches sich mit aktuellen Fragen des Datenschutzes in Deutschland befasst, folgte damit einer Bewertung seines Arbeitskreises Verwaltung vom 15. Juli 2020. Der Arbeitskreis Verwaltung hatte über einen Zeitraum von mehr als sechs Monaten geprüft, ob die Datenschutzbestimmungen und Online-Geschäftsbedingungen von Microsoft 365 mit Artikel 28 der Datenschutz-Grundverordnung (DSGVO), der die Auftragsverarbeitung betrifft, vereinbar seien.

Microsoft 365: Cloud-Varianten von Word, Excel oder PowerPoint nicht rechtskonform


Der rheinland-pfälzische Datenschutzbeauftragte Dieter Kugelmann verwies darauf, dass ein rechtskonformer Einsatz von Microsoft 365 nicht möglich sei. Die Kontrolleure rügten, dass die Arten der personenbezogenen Daten und der Zweck, warum diese verarbeitet würden, unklar seien. Beispielhaft werden hier die „Online Service Terms“ (OST) (Direktlink zum Dokument)  sowie der „Data Processing Addendum“ (DPA) aufgeführt. Es sei nicht möglich, gesonderte datenschutzrechtliche Anforderungen und Risikostufen zu bestimmen, da Art und Verarbeitung der Daten mitunter unklar seien. Bereits im Auftragsverarbeitungsvertrag müssten diese Angaben ersichtlich sein.

Gremium spricht Empfehlungen aus


Die Datenschutzkonferenz empfiehlt Microsoft, „den Abstraktionsgrad zu verringern und Freifelder“ einzusetzen. So könnten Zwecke, für die die Daten erfasst werden, im Einzelfall konkret benannt werden. Ende 2019 hatte Microsoft nach Kritik seine Datenschutzbestimmungen für Online-Dienste angepasst und versprach in einem Blogbeitrag „mehr Transparenz für geschäftliche Cloud-Kunden“. Microsoft verweist darauf, selbst im Zusammenhang mit legitimen eigenen Geschäftstätigkeiten verantwortlich zu sein und benennt diese auch. Das Gremium kritisiert jedoch, dass „weiterhin nicht eindeutig ersichtlich“ sei, "welche weiteren personenbezogenen Daten in diesem Rahmen verarbeitet werden". Unter anderem an dieser Stelle müsse Microsoft zwingend nachbessern, hieß es. Microsoft stelle darauf ab, dass der Verantwortliche für sich entscheiden müsse, ob Sicherheitsverpflichtungen den Anforderungen entsprächen. Auf Grundlage der von Microsoft zur Verfügung gestellten Informationen sei dies aber unmöglich. In Fällen, in denen Microsoft die Verantwortung trägt und Daten zu eigenen Zwecken auswertet, würden diese „nicht gelöscht“ – es sei zu hinterfragen, wie lange die Messwerte aufbewahrt würden.

Microsofts Telemetrie-Diagnosedaten ohne Rechtsgrundlage


Die Datenschutzkonferenz resümiert, dass für den Transfer personenbezogener Informationen vom Nutzer an Microsoft – das ist beispielsweise beim Sammeln von Telemetrie-Diagnosedaten der Fall – neben dem Auftragsverarbeitungsvertrag keine weitere Rechtsgrundlage bestehe. Insbesondere für behördliche Einrichtungen sei dieser Umstand prekär, ein „nachhaltig sicherer Einsatz der Software“ müsse möglich sein, da ein Nutzen von Informationen wegen der Grundrechtsrelevanz höheren Anforderungen unterliegt. Die Angabe Microsofts, dass verarbeitete Daten außerhalb der Maßgaben des Kunden auch offengelegt werden könnten, wenn dies etwa gesetzlich vorgeschrieben sei, schätzten die Kontrolleure als „nicht hinreichend konkret“ ein. Vor allem die Auswirkungen des Cloud Acts, welchem Microsoft als US-Unternehmen unterliegt, seien „nicht hinreichend geklärt“. Die Unklarheiten sind insbesondere kritisch, falls Behörden, die Microsoft 365 nutzen, Daten von Beschäftigten oder Bürgern im Rahmen von Telemetrie-Diagnosedaten verfügbar machen.

Darüber hinaus störten sich die Aufsichtsbehörden an den Details der Regeln zur Datenweitergabe an Unterauftragnehmer. Die hier vorgesehene "vorherige schriftliche Zustimmung des Kunden" sei nur dann ausreichend, wenn eine Übersicht aktuell genehmigter weiterer Dienstleister vorliege. Microsoft müsse hier proaktive Mechanismen, beispielsweise Push-Nachrichten, einsetzen, um über Updates zu informieren.

Fazit: Microsoft besserte nach, Cloud-basierte Software jedoch nicht DSGVO-konform


Datenschutzrecht ist eine komplexe Angelegenheit. Immer wieder stand Microsoft wegen seiner Datenschutzpolitik in der Kritik. Von verschiedenster Stelle erhielt der Konzern Handlungsempfehlungen, diesen wurde in der Regel nachgegangen. Allerdings verstreicht zwischen den Aktualisierungen viel Zeit und Microsoft 365 ist noch immer nicht vollständig datenschutzkonform, was die Einschätzung der Datenschutzkonferenz unterstreicht. Auch der Der EU-Datenschutzbeauftragte, Wojciech Wiewiórowski, hatte jüngst die Verträge der EU-Gremien mit Microsoft geprüft – und kam zu einem ähnlichen Fazit wie die DSK. Nutzer*innen sollten sich nach Alternativen umschauen, die „höhere Datenschutzstandards erlauben“.
Der starke Cloud-Fokus von Microsoft 365 ist einer der Gründe dafür, dass die Software (noch) nicht DSGVO-konform eingesetzt werden kann. Microsoft lässt laut Datenschutzexperten viele Fragen über die Art und Weise der erfassten und gespeicherten Daten offen. Abhilfe kann hier der Umstieg auf eine andere Bürosoftware schaffen, bei dem höhere Datenschutzstandards möglich sind. Das ist bereits bei einer Kaufversion von Microsoft Office der Fall, bei der keine Cloud-Anbindung vorliegt.

Office-Pakete als Dauerlizenz bei 2ndsoft kaufen

Google del.icio.us WebNews Yigg