Deutsche Datenschutz-Behörden bemängeln Datenschutz bei Microsoft 365

Obwohl Microsoft 365 weltweit eingesetzt wird, wird es vor allem von deutschen Datenschutzbehörden beanstandet. Der Hauptgrund ist die fehlende Transparenz und Dokumentation darüber, wie die Software personenbezogene Daten verarbeitet. In ihrem Bericht kommt die DSK zu folgendem Schluss: "Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung von Microsoft für eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht nachgewiesen ist, kann dieser Nachweis (des datenschutzkonformen Einsatzes) nicht erbracht werden."

Die gute Nachricht vorweg: Wir sehen noch einige Spielräume für die Nutzung.

Die Verarbeitung personenbezogener Daten

Microsoft 365 überträgt eine Vielzahl von Nutzungsdaten, darunter Informationen über die von euch verwendeten Geräte, wie ihr sie nutzt und auf welche Apps und Funktionen ihr zugreift. Diese Daten können Microsoft helfen, seine Produkte und Dienste zu verbessern - werfen aber Fragen zum Datenschutz auf. So kann Microsoft zum Beispiel sehen, an welchen Dokumenten ihr arbeitet, wenn ihr die Office-Anwendungen verwendet. Laut DSK sei weiterhin nicht ersichtlich, welche der personenbezogenen Daten gespeichert und verarbeitet werden und inwiefern diese von Microsoft genutzt werden.

Microsofts Antwort auf die Kritik

Microsoft hat erklärt, eng mit den Datenschutzbehörden zusammenzuarbeiten, um die notwendige Dokumentation und Transparenz zu schaffen. In einer Erklärung sagte ein Microsoft-Sprecher: "Wir stellen sicher, dass unsere M365-Produkte die strengen EU-Datenschutzgesetze nicht nur erfüllen, sondern oft sogar übertreffen. (…). Unsere Anstrengungen zum Schutz der Daten unserer Kunden sind marktführend. Wir bieten eine Vielzahl von Instrumenten und Lösungen an, die unseren globalen Kunden mehr Kontrolle über ihre Daten geben”. Sie würden die Zweifel der DSK sehr ernst nehmen und wollen künftig “weitere Dokumentationen über die Datenströme [der] Kunden und die Zwecke der Verarbeitung bereitstellen”.

Die Zukunft von Microsoft 365 in Deutschland

Zurzeit ist die Zukunft von Microsoft 365 ungewiss. Die Datenschutzbehörden haben noch keine endgültige Entscheidung in dieser Angelegenheit getroffen - Einzelfälle sollen an dieser Stelle ebenfalls berücksichtigt werden. Die Auffassung der Behörden wurde von den Gerichten bisher nicht bestätigt. Sollte Microsoft jedoch nicht in der Lage sein, die notwendige Dokumentation und Transparenz zu liefern, ist es möglich, dass die Software in Deutschland verboten wird. Das wäre ein schwerer Schlag für Microsoft, da Deutschland einer der größten Märkte des Unternehmens ist. Auch ist fraglich, welche alternativen Dienste in Deutschland in Zukunft genutzt werden würden.

Man kann die Sache allerdings auch anders sehen: Die Behörden verlangen von Microsoft in den Vertragsunterlagen einen Grad an Detail, der der technischen Komplexität der Anwendung nicht gerecht wird. Gleichzeitig ist es Microsoft nicht möglich, jede Nutzung durch Nutzer*innen in den Vertragsunterlagen abzubilden. Was die Verarbeitung von Daten zu eigenen Zwecken betrifft, so erkennen die Behörden nicht die von Microsoft verfolgten spezifischen Zwecke an.

Die Auffassung der Behörden wurde von den Gerichten bisher nicht bestätigt. Letztlich nehmen die Behörden hier aktuell extreme Positionen ein, und wir von heyData sind zuversichtlich, dass diese derzeit anders gesehen werden können.