Reuschlaw

Daten­schutz bei Micro­soft 365

Auf­sichts­be­hör­den und Micro­soft äußern sich

Am 25. Novem­ber 2022, hat die Daten­schutz­kon­fe­renz (DSK), das Gre­mi­um der unab­hän­gi­gen deut­schen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der, eine Stel­lung­nah­me zu Micro­soft 365 ver­öf­fent­licht. Die Stel­lung­nah­me ist das Ergeb­nis einer Rei­he von gemein­sa­men Gesprä­chen zwi­schen der DSK und Micro­soft, nach­dem bereits im Sep­tem­ber 2020 die DSK eine ers­te Bewer­tung von Micro­soft Office 365 (jetzt: Micro­soft 365) vor­ge­nom­men hat­te. Nach­dem die DSK im Jahr 2020 zu dem Ergeb­nis gekom­men war, dass „kein daten­schutz­recht­li­cher Ein­satz von Micro­soft Office 365 mög­lich“ sei, sol­len nun­mehr ledig­lich „gering­fü­gi­ge Ver­bes­se­run­gen“ zu erken­nen sein. In die­sem Arti­kel stel­len wir die wesent­li­chen Streit­punk­te dar und bewer­ten die­se. Am Ende kön­nen Sie eine aus­führ­li­che Gegen­über­stel­lung der Posi­tio­nen und unse­re Ein­schät­zung herunterladen.

Die Bewer­tung der DSK

Grund­la­ge der aktu­el­len Bewer­tung der DSK ist der „Daten­schutz­nach­trag zu den Pro­duk­ten und Ser­vices von Micro­soft“ (auf engl.: „Micro­soft Pro­ducts and Ser­vices Data Pro­tec­tion Adden­dum“ („DPA“)) in der Ver­si­on vom 15. Sep­tem­ber 2022. Die DSK betont, dass neben der Bewer­tung des Ver­trags­wer­kes kei­ne tech­ni­sche Unter­su­chung der Ver­ar­bei­tungs­vor­gän­ge und auch kei­ne Eva­lu­ie­rung der Umset­zung der ver­trag­li­chen Ver­ein­ba­run­gen statt­ge­fun­den hat. Wesent­li­che Kri­tik­punk­te sind unter ande­rem die aus Sicht der DSK intrans­pa­ren­te Ver­ar­bei­tung von Daten durch Micro­soft zu eige­nen Zwe­cken sowie die Daten­über­mitt­lung in die USA, wobei hier die neue Exe­cu­ti­ve Order des US-Präsidenten vom 07.10.2022 aus­drück­lich noch kei­nen Ein­gang in die Bewer­tung gefun­den hat.

Stel­lung­nah­me durch Microsoft

Micro­soft hat bereits am glei­chen Tag auf die Bewer­tung der DSK reagiert und eine eige­ne Stel­lung­nah­me ver­öf­fent­licht. Dar­in erklärt das Unter­neh­men, dass die Micro­soft 365-Produkte „die stren­gen EU-Datenschutzgesetze nicht nur erfül­len, son­dern oft sogar über­tref­fen“. Die von der DSK geäu­ßer­ten Beden­ken berück­sich­ti­gen nach Ansicht des Unter­neh­mens die bereits vor­ge­nom­me­nen Ände­run­gen nicht ange­mes­sen und wür­den auf meh­re­ren Miss­ver­ständ­nis­sen hin­sicht­lich der Funk­ti­ons­wei­se der Diens­te beruhen.

Gegen­über­stel­lung der wesent­li­chen Aussagen

Hier fin­den Sie unse­re ers­te Ein­schät­zung zu der Stel­lung­nah­me der DSK. Wir kom­men dar­in zu dem Ergeb­nis, dass wei­ter­hin ein daten­schutz­kon­for­mer Ein­satz von Micro­soft 365 mög­lich ist. Die anschlie­ßen­de Gegen­über­stel­lung der wesent­li­chen diver­gie­ren­den Aus­sa­gen der bei­den Stel­lung­nah­men soll zudem eine Hil­fe­stel­lung für die (recht­li­che) Bewer­tung des Ein­sat­zes von Micro­soft 365 geben. Unse­ren One­pager zur Datenschutz-Compliance bei Micro­soft 365 fin­den Sie hier.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.