Microsoft erfüllt die DSGVO-Anforderungen an Auftragsverarbeiter nicht, urteilt die Datenschutzkonferenz, das höchste Gremium der Deutschen Datenschutzaufsichtsbehörden.

Die Datenschutzkonferenz urteilt, dass kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich ist. Grund dafür ist, dass viele Formulierungen in den Datenschutzbestimmungen und den Online-Geschäftsbedingungen für Microsoft Office365 vage gehalten sind und ein US-Zugriff auf die Kundendaten nicht ausgeschlossen werden kann. Nach Ansicht der Aufsichtsbehörde sind die Datenschutzbestimmungen für das Cloud-basierte Softwarepaket nicht mit Art. 28 DSGVO zur Auftragsdatenverarbeitung vereinbar.

Die wesentlichen Kritikpunkte sind:

  • Die von Microsoft kommenden Bedingungen in den Online Service Terms und dem Data Processing Addendum machen nicht ausreichend klar, welche nutzerbezogenen Daten wie bearbeitet werden. Es sei auch nicht möglich, gegebenenfalls gesonderte datenschutzrechtliche Anforderungen und Risikostufen zu bestimmen. Solche Angaben müssten eigentlich schon aus dem Auftragsverarbeitungsvertrag ersichtlich sein. Aus diesem Grund schlägt die Konferenz der Datenschutzbehörden (DSK) mehr Transparenz durch den Einsatz von Freifeldern vor, die gegebenenfalls individuell angepasst werden können.
  • Ausserdem weist die Aufzeichnung und Nutzung der von Microsoft erhobenen Telemetrie-Diagnosedaten Unklarheiten in Bezug auf die rechtliche Grundlage auf. Für den Transfer der personenbezogenen Daten vom Nutzer an Microsoft bestehe neben dem Auftragsverarbeitungsvertrag keine weitere Rechtsgrundlage. Insbesondere die behördliche Nutzung könnte im Hinblick auf individuelle, internationale Regelungen nicht konkret genug sein. Als nicht hinreichend konkret wird die Angabe Microsofts eingeschätzt, dass verarbeitete Daten außerhalb der Massgaben des Kunden auch offengelegt werden könnten, wenn dies etwa gesetzlich vorgeschrieben sei. Insbesondere die Auswirkungen des Cloud Acts sind in diesem Zusammenhang unzureichend geklärt.
  • Fraglich ist auch, ob Microsoft Nutzerdaten ausreichend schützt und wie lange diese gespeichert Es ist unklar, welche dem Risiko angemessenen Massnahmen für die Verarbeitung von personenbezogenen Daten getroffen werden.
  • Ein weiterer Kritikpunkt ist die unzureichende Regelung bei der Weitergabe von Nutzerdaten an Unterauftragnehmer. Problematisch wird dies etwa im Fall nachträglich beauftragter Dienstleister, die den Windows-Umfang erweitern – ohne die explizite Zustimmung des Nutzers zu erhalten. Eine vorherige schriftliche Zustimmung des Kunden sei nur dann ausreichend, wenn dem Kunden eine aktuelle Übersicht weiterer Dienstleister vorliegt, an den die Nutzerdaten weitergegeben werden.

Aufgrund der genannten Kritikpunkte und Mängel hinsichtlich der Online Services Terms und Auftragsverarbeitungsvertrag (Data Processing Agreement, DPA), ist eine DSGVO-konforme Nutzung der cloudbasierten Versionen von Word, PowerPoint und weiteren Produkten zum zum jetzigen Zeitpunkt nicht möglich. Obwohl Microsoft die Nutzungsbedingungen erst kürzlich überarbeitet hatte, enthalte der Auftragsverarbeitungsvertrag noch immer unklare und widersprüchliche Regelungen und weiche damit von den gesetzlichen Mindestanforderungen ab.

Quellen: