Ein rechtmäßiger Einsatz von Microsoft 365 reicht aufgrund der bestehenden Dokumentation des Datentransfers nicht aus.
Zu diesem Schluss kommt die Datenschutzkonferenz von Bund und Ländern (DSK). Dies teile der Bundesdatenschutzbeauftragte Ulrich Kelber am 24. November 2022 mit.
Denn Microsoft kann die deutschen Datenschutzbehörden nicht davon überzeugen, dass der Einsatz des Office-Pakets Microsoft 365 in Behörden, Schulen oder Unternehmen nun rechtskonform ist.
Es ist nach wie vor ungeklärt, welche Daten erhoben, übertragen und für eigene Zwecke verarbeitet würden.
Ulrich Kelber
Mängel bei der Transparenz
So bestehen Mängel bei der Transparenz und der Prüfung, ob die Datenverarbeitung zu eigenen Zwecken rechtmäßig ist. Es wird daher weiterer Verbesserungsbedarf gesehen. Positiv bewertete wird jedoch, dass die bisher erzielten Fortschritte nicht nur in Deutschland, sondern weltweit Umsetzung finden.
Freiwilliger Bericht
Microsoft hat für die deutschen Aufsichtsbehörden freiwillig einen als vertraulich eingestuften Bericht erstellt. Freiwillig deshalb, weil der Anbieter nur gegenüber der in Europa federführenden irischen Datenschutzbehörde berichtspflichtig ist.
Dieser Bericht hat jedoch noch nicht die notwendige Transparenz darüber geliefert, “welche Daten auch für eigene Zwecke beispielhaft von Microsoft verwendet werden”.
Ulrich Kelber
Der Bericht sei deshalb “nicht ausreichend, um die Rechtmäßigkeit des Einsatzes von Microsoft 365 belegen zu können”.
Berichte werden noch veröffentlicht
Die Zusammenfassung des Microsoft-Berichts soll um Geschäftsgeheimnisse bereinigt noch veröffentlicht werden, ebenso der entsprechende Beschluss der DSK.
Das US-Unternehmen will erreichen, dass die Behörden den Einsatz der Software als datenschutzrechtlich zulässig werten. Der Datentransfer, welcher beim Einsatz von Microsoft 365 zu Microsoft fließt, ist seit Jahren Bestandteil einer Auseinandersetzung zwischen den europäischen Datenschutzaufsichtsbehörden und Microsoft.
Einzelfall anschauen
Ulrich Kelber kündigt an, dass die Datenschutzbehörden “in Einzelfällen anschauen muss, ob es trotzdem gelingt, eine Datenschutzkonformität herzustellen”.
Dabei geht es um den Umgang mit Biometrie‑, Diagnose und Telemetriedaten.
Dem Datenschutzbeauftragten zufolge lässt sich der Einsatz möglicherweise empfehlen, wenn eine Mikrovirtualisierung vorgenommen oder ein Proxyserver dazwischen gehängt wird, der verhindert, dass diese Daten zu Microsoft abfließen.
Nutzung genau überlegen
Ulrich Kelber bezweifelt jedoch, dass sich Microsoft 365 “einfach mal so auf einem Rechner ohne weitere Schutzmaßnahmen nutzen lässt”.
Für Anwender:innen macht es die Sache “nicht einfacher”.
Dies weiß auch Ulrich Kelber, rät aber davon ab, das Softwarepaket “einfach mal so auf einem Rechner” zu nutzen.
Am Nein der Datenschützer zu Microsoft Office 365 aus dem Jahr 2020 ändert die neue Bewertung also nichts.
Also lassen Sie sich gut beraten.