Micro­soft 365

Lese­dau­er 2 Minu­ten

Ein recht­mä­ßi­ger Ein­satz von Micro­soft 365 reicht auf­grund der bestehen­den Doku­men­ta­ti­on des Daten­trans­fers nicht aus.

Zu die­sem Schluss kommt die Daten­schutz­kon­fe­renz von Bund und Län­dern (DSK). Dies tei­le der Bun­des­da­ten­schutz­be­auf­trag­te Ulrich Kel­ber am 24. Novem­ber 2022 mit.

Denn Micro­soft kann die deut­schen Daten­schutz­be­hör­den nicht davon über­zeu­gen, dass der Ein­satz des Office-Pakets Micro­soft 365 in Behör­den, Schu­len oder Unter­neh­men nun rechts­kon­form ist.

Es ist nach wie vor unge­klärt, wel­che Daten erho­ben, über­tra­gen und für eige­ne Zwe­cke ver­ar­bei­tet würden.

Ulrich Kel­ber

Män­gel bei der Transparenz

So bestehen Män­gel bei der Trans­pa­renz und der Prü­fung, ob die Daten­ver­ar­bei­tung zu eige­nen Zwe­cken recht­mä­ßig ist. Es wird daher wei­te­rer Ver­bes­se­rungs­be­darf gese­hen. Posi­tiv bewer­te­te wird jedoch, dass die bis­her erziel­ten Fort­schrit­te nicht nur in Deutsch­land, son­dern welt­weit Umset­zung finden.

Frei­wil­li­ger Bericht

Micro­soft hat für die deut­schen Auf­sichts­be­hör­den frei­wil­lig einen als ver­trau­lich ein­ge­stuf­ten Bericht erstellt. Frei­wil­lig des­halb, weil der Anbie­ter nur gegen­über der in Euro­pa feder­füh­ren­den iri­schen Daten­schutz­be­hör­de berichts­pflich­tig ist.

Die­ser Bericht hat jedoch noch nicht die not­wen­di­ge Trans­pa­renz dar­über gelie­fert, “wel­che Daten auch für eige­ne Zwe­cke bei­spiel­haft von Micro­soft ver­wen­det werden”.

Ulrich Kel­ber

Der Bericht sei des­halb “nicht aus­rei­chend, um die Recht­mä­ßig­keit des Ein­sat­zes von Micro­soft 365 bele­gen zu können”.

Berich­te wer­den noch veröffentlicht

Die Zusam­men­fas­sung des Micro­soft-Berichts soll um Geschäfts­ge­heim­nis­se berei­nigt noch ver­öf­fent­licht wer­den, eben­so der ent­spre­chen­de Beschluss der DSK.

Das US-Unter­neh­men will errei­chen, dass die Behör­den den Ein­satz der Soft­ware als daten­schutz­recht­lich zuläs­sig wer­ten. Der Daten­trans­fer, wel­cher beim Ein­satz von Micro­soft 365 zu Micro­soft fließt, ist seit Jah­ren Bestand­teil einer Aus­ein­an­der­set­zung zwi­schen den euro­päi­schen Daten­schutz­auf­sichts­be­hör­den und Microsoft.

Ein­zel­fall anschauen

Ulrich Kel­ber kün­digt an, dass die Daten­schutz­be­hör­den “in Ein­zel­fäl­len anschau­en muss, ob es trotz­dem gelingt, eine Daten­schutz­kon­for­mi­tät herzustellen”.

Dabei geht es um den Umgang mit Biometrie‑, Dia­gno­se und Telemetriedaten.

Dem Daten­schutz­be­auf­trag­ten zufol­ge lässt sich der Ein­satz mög­li­cher­wei­se emp­feh­len, wenn eine Mikro­vir­tua­li­sie­rung vor­ge­nom­men oder ein Pro­xy­ser­ver dazwi­schen gehängt wird, der ver­hin­dert, dass die­se Daten zu Micro­soft abfließen.

Nut­zung genau überlegen

Ulrich Kel­ber bezwei­felt jedoch, dass sich Micro­soft 365 “ein­fach mal so auf einem Rech­ner ohne wei­te­re Schutz­maß­nah­men nut­zen lässt”.

Für Anwender:innen macht es die Sache “nicht einfacher”.

Dies weiß auch Ulrich Kel­ber, rät aber davon ab, das Soft­ware­pa­ket “ein­fach mal so auf einem Rech­ner” zu nutzen.

Am Nein der Daten­schüt­zer zu Micro­soft Office 365 aus dem Jahr 2020 ändert die neue Bewer­tung also nichts.

Also las­sen Sie sich gut beraten.