Microsoft 365, früher bekannt als Office 365, ist eine cloudbasierte Version und stellt einen etablierten Standard für viele Unternehmen dar. Unternehmen wird ermöglicht, dass verschiedene Vorgänge erfasst und bearbeitet werden können.

Geht es jedoch um datenschutzrechtliche Aspekte, so ist die Verarbeitung durch Microsoft eher umstritten. Seitens der Datenschutz-Aufsichtsbehörde gibt es bislang noch kein allgemeines Verbot für die Nutzung. Dass heißt jedoch nicht Entwarnung, denn eine zufriedenstellende Lösung für eine datenschutzkonforme Lösung gibt es seitens der Aufsichtsbehörde dennoch nicht.

Unternehmen, die Microsoft 365 als Dienst in Anspruch nehmen, sind weiterhin dem Risiko möglicher Bußgelder ausgesetzt.

Was ist die DSGVO und was regelt sie?

Aber mal ganz von vorn: Was ist die DSGVO überhaupt und welchen Regelungszweck verfolgt sie?

Die DSGVO (Datenschutz-Grundverordnung) gilt seit dem 25.05.2018 unmittelbar in allen europäischen Mitgliedstaaten. Sie bezweckt den Schutz zur Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentlichen Stellen in Europa.

Unternehmen werden durch die DSGVO umfangreiche Pflichten auferlegt (z.B. Meldepflichten, Rechenschaftspflichten, Sicherstellung der Datensicherheit sowie die Umsetzung von Betroffenenrechte).

Zudem stärkt die DSGVO die Rechte von Verbrauchern.

Europäischer Datenschutz

Microsoft 365 ist ein Anbieter mit Sitz in den USA und ist ein Cloud-Produkt. Es ermöglicht einen stetigen Daten- und Informationsaustausch sowie die synchrone Speicherung von Datenänderungen. Sämtliche Änderungen, die ein Unternehmen mit einem Microsoft 365 Produkt vornimmt, können hochgeladen und so von anderen Mitarbeitenden zur Kenntnis genommen werden.

Dadurch wird die Microsoft Corporation LLC ein Auftragnehmer von Unternehmen. Diese Art von Dienstleistung stellt wiederum eine Auftragsverarbeitung im Sinne des Art. 28 DSGVO dar. Dass heißt, mit Microsoft müsste ein rechtskonformer Vertrag abgeschlossen werden. Dies stellt sich jedoch als problematisch dar. Aus den USA heraus betreibt Microsoft über 100 Rechenzentren, auf denen die Leistungen von Microsoft erbracht werden. Die Nutzungsgefahr wird dadurch nicht gebannt, denn trotz dessen könnten die US-Behörden hierzulande auf Daten zugreifen.

Für Unternehmen, die ihren Sitz im europäischen Raum betreiben und somit dem Geltungsbereich der DSGVO unterliegen, bietet Microsoft an, dass die zentralen Services im Kern auch in europäischen Rechenzentren betrieben werden könnten.

Hierzu muss jedoch beachtet werden, dass dies nicht für alle Microsoft 365 Dienste angeboten werden kann. Speziell die Nutzeridentitäten und die damit verbundenen Meta-Daten fließen aus der EU in die USA. Das ist das Kernproblem der deutschen Datenschutzbehörden. Diese sehen den Transfer der Daten in die USA mehr als kritisch entgegen.

Grund für die kritische Betrachtungsweise ist, dass die USA aus europäischer Sicht ein Drittland ohne angemessene Datenschutzgarantien darstellt. Dieses Problem hat sich insbesondere dadurch verschärft, dass das bisher geltende Abkommen zwischen der EU und der USA, das sog. Privacy-Shield, im Jahr 2020 durch das sog. Schrems-II Urteil des EuGH für ungültig erklärt wurde.

Vorher war das Privacy-Shield die gültige Rechtsgrundlage, um die personenbezogenen Daten zwischen der EU und den USA zu übertragen. Diese Rechtsgrundlage ist nun jedoch weggefallen und der Datentransfer wurde erstmals verboten bzw. nur unter bestimmten Bedingungen erlaubt.

EuGH-Urteil: „Schrems II“

In seinem „Schrems II“-Urteil vom 16.07.2020 hat der EuGH die Datenübermittlung zu großen Teilen in die USA untersagt. Microsoft 365 übermittelt jedoch personenbezogene Daten in die USA und dadurch unmittelbar von diesem Urteil betroffen.

Wie bereits ausgeführt gibt es zwar noch kein allgemeinverbindliches Verbot für Microsoft 365. Die Datenschutzschutz-Aufsichtsbehörde hat sich jedoch mit einem konkreten Verbot für die Datenübermittlung positioniert.

Für deutsche sowie europäische Unternehmen ist dieses Urteil also mit weitreichenden Folgen belastet. Selbst wenn Unternehmen nicht die konkrete Absicht verfolgen, dass personenbezogene Daten in die USA oder auch andere Länder, die außerhalb des europäischen Wirtschaftsraum liegen, zu übermitteln, kann dies durch die Nutzung der Microsoft 365 Dienste dennoch gegeben sein.

Kann ich eine datenschutzkonforme Umsetzung der Microsoft 365 Dienste erreichen?

Zahlreiche Unternehmen sehen sich nun vor einer großen Herausforderung gestellt. Zum aktuellen Stand ist der vollständige DSGVO konforme Einsatz von Office 365 nicht möglich! Microsoft-Office Produkte sind jedoch ein allseits etablierter Standard. Die Aufsichtsbehörden weisen aber besonders bei Microsoft 365 auf datenschutzrechtliche Risiken hin. Wir unterstützen Sie daher von der Einrichtung über die datensparsame Konfiguration und Pflege der Systeme bis hin zur Beachtung der Anforderungen der DSGVO.  

Für Unternehmer erscheint es, angesichts der Risiken, äußerst relevant ein funktionierendes Datenschutz-Management-System zu etablieren, mit der Sie die Dokumentations- sowie Nachweispflichten der DSGVO erfüllen können.

Zudem erscheint es ratsam, sich regelmäßig über mögliche Änderungen zu informieren sowie Ihre Microsoft-Einstellung so datenschutzkonform wie möglich anzupassen.

Fazit

Betrachtet man den Einsatz von Microsoft 365 unter dem aktuellen Stand der DSGVO, lässt sich sagen, dass dieser Einsatz nicht datenschutzkonformen erfolgen kann. Im Umkehrschluss heißt es jedoch nicht, dass Sie vollends auf den Gebrauch von Microsoft 365 verzichten müssen.

Möglich und empfehlenswert ist es jedoch, eine möglichst datenschutzkonforme Konfiguration Ihrer Microsoft-Dienste durchführen zu lassen. Unsere IT-Experten der AHW Digital Services sind in sämtlichen Fragen für Sie da und helfen Ihnen dabei, eine datenschutzkonforme Konfiguration vorzunehmen. Dabei unterstützen wir Sie in sämtlichen Fragen sowie der Umsetzung. Wir arbeiten dabei eng mit unserem Datenschutzbeauftragten zusammen (www.kompass-datenschutz.de).

Zögern Sie nicht Herrn Christian Arlt, Geschäftsführer der IT per E-Mail (info@ahw-digital.de) oder telefonisch unter der 02236 3982 470 zu kontaktieren.