Microsoft Office 365 - Pressemitteilung zur Bewertung der Datenschutzkonferenz

Microsoft Office 365 - Pressemitteilung zur Bewertung der Datenschutzkonferenz

21. Juni 2021

Am 02. Oktober 2020 gab die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (kurz: Datenschutzkonferenz, DSK) eine Pressemitteilung bezüglich der Untersuchung des datenschutzgerechten Einsatzes von Microsoft Office 365 heraus.

Es geht unter anderem daraus hervor, dass der Arbeitskreis Verwaltung über ein halbes Jahr lang geprüft hatte, ob „die dem Einsatz des Produktes Microsoft Office 365 zu Grunde liegenden Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft-Onlinedienste (Data Processing Addendum / DPA) – jeweils Stand: Januar 2020“ mit der Datenschutz-Grundverordnung (DS-GVO) zur Auftragsdatenverarbeitung vereinbar seien.

Am 15. Juli 2020 kam der Arbeitskreis schließlich zu dem Resultat, dass das Produkt Microsoft Office 365 nicht datenschutzkonform ist und ein US-Zugriff auf Daten nicht ausgeschlossen werden kann. Um es genauer auszudrücken: Wer mit der Cloud-Variante von Word, Excel oder PowerPoint arbeitet, handelt nach Ansicht der DSK nicht rechtskonform und verstößt somit gegen geltendes Recht. Die Entscheidung für dieses Ergebnis erfolgte jedoch nur mit einer knappen Mehrheit von 9 Pro- zu 8 Kontra-Stimmen.

Zu den Gegenstimmen zählen unter anderem die Landesbeauftragten für den Datenschutz in Baden-Württemberg, Bayern, Hessen und im Saarland. Sie erklären in einer Gegendarstellung, dass Microsoft Office 365 tatsächlich ein enormes datenschutzrechtliches Verbesserungspotenzial biete, insbesondere im Hinblick auf die erst kürzlich gefällte Entscheidung des Europäischen Gerichtshofes (EuGH) zum EU-US-Privacy Shield vom 16. Juli 2020. Aber sie teilen nicht die Gesamtbewertung des Arbeitskreises Verwaltung, da diese zu undifferenziert ausfalle. Außerdem habe der Arbeitskreis seine Beurteilung auf der Basis von Vertragsbestimmungen gefällt, die von Microsoft mittlerweile zweimal überarbeitet wurden. Nicht zuletzt wurde die EuGH-Entscheidung in der Bewertung nicht berücksichtigt.

Schlussendlich wird in der Gegendarstellung erklärt, dass die Bewertung des Arbeitskreises Verwaltung vom 15. Juli 2020 zwar als wesentliche Arbeitsgrundlage, aber noch nicht als entscheidungsreif angesehen wird. Außerdem sei bisher noch keine Anhörung von Microsoft erfolgt, was jedoch zu einem fairen, rechtsstaatlichen Verfahren dazugehöre.

Fazit: Die Datenschutzkonferenz hat schließlich einstimmig eine Arbeitsgruppe eingerichtet, die Gespräche mit Microsoft aufnehmen soll. Dabei soll es das Ziel sein, dass der Hersteller an seinem Produkt Microsoft Office 365 zeitnah und nachhaltig datenschutzgerechte Nachbesserungen vornehmen kann.

 

Meine Quellen:

https://www.heise.de/news/Microsoft-Office-365-Die-Gruende-fuer-das-Nein-der-Datenschuetzer-4919847.html

https://www.e-recht24.de/news/datenschutz/12400-microsoft-kritik-behoerden.html

https://www.datenschutz.de/microsoft-office-365-bewertung-der-datenschutzkonferenz-zu-undifferenziert-nachbesserungen-gleichwohl-geboten/ 

 

Autorin: Aline Neißner