Flughafenstraße 12 | 99092 Erfurt | 0361 / 789 298 65

Datenschutzgerechter Einsatz von MS Office 365 laut Datenschutzkonferenz nicht möglich 


Datenschutzgerechter Einsatz von MS Office 365 laut Datenschutzkonferenz nicht möglich

(Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder)

Das höchste Gremium der Datenschutzaufsichtsbehörden kommt zu dem Ergebnis, dass ein datenschutzgerechter Einsatz von Microsoft Office 365 nicht möglich war.
Dieses Programm unterliegt hinsichtlich der Online Services Terms und des Auftragsverarbeitungsvertrages den Bestimmungen von Microsoft. Microsoft hatte im Januar 2020 eben diese Nutzungsbedingungen erst überarbeitet. Doch würden diese nicht den datenschutzrechtlichen Ansprüchen genügen. Daraus resultierend sei die rechtskonforme Nutzung von cloudbasierten Versionen wie MS Word, Power Point und weiteren Produkten nicht möglich. Der Auftragsverarbeitungsvertrages weiße noch immer widersprüchliche und unklare Formulierungen auf.
Der erste wesentliche Kritikpunkt ist die Unklarheit innerhalb der Online Service Terms und dem Data Processing Addendum. Daraus gehe nicht hervor, welche nutzerbezogenen Daten verarbeitet würden. Die Konferenz der Datenschutzbehörden fordert in diesem Rahmen mehr Transparenz und Konkretisierung. In diesem Zusammenhang wurden auch Unklarheiten bzgl. der rechtlichen Grundlage im Rahmen der Übermittlung weiterer nutzerbezogener Daten von den Verantwortlichen an Microsoft, bspw. bei der Telemetrie, bemängelt. Insbesondere die behördliche Nutzung könne hinsichtlich individueller und internationaler Regelungen bzgl. der Rechtsgrundlage nicht genug konkretisiert sein, da insofern andere Anforderungen zum Schutz der Daten gelten. Zudem sei die Beschreibung bzgl. der Offenlegung verarbeiteter Daten nicht hinreichend konkretisiert. Diese bestimme auch nicht die durch den Auftraggeber vertraglich zu definierenden Rechte. Auf Basis einer jüngsten Entscheidung des europäischen Gerichtshofes seien personenbezogene Datenübertragungen in die USA generell in Frage zu stellen. Die Beschreibung Microsofts bzgl. der Offenlegung verarbeiteter Daten sei im Lichte der neuen Rechtsprechung neu zu bewerten.
Seitens der Konferenz der Datenschutzaufsichtsbehörden besteht Konsens, dass der Auftraggeber bei der Umsetzung technischer und organisatorischer Maßnahmen gem. Art. 32 DS-GVO die Möglichkeit haben muss, durch die Online-Service-Terms, die Datenschutzbestimmungen und weiterer durch Microsoft bereitgestellter Dokumentationen ausreichend Informationen einzuholen und zu prüfen. Die derzeitigen Darstellungen zu den technischen und organisatorischen Maßnahmen in den Vertragsunterlagen allein würden für den Verantwortlichen nicht ausreichen, um eine objektive Risikoeinschätzung treffen zu können. Dies bedürfe weiterer Ausführungen.
Außerdem sei nicht sicher, ob die Daten von Microsoft-Nutzern ausreichend geschützt sind. Unklar sei, wie lang Microsoft die Daten für eigene Zwecke vorhält. Zuletzt sei die Weitergabe nutzerbezogener Daten an Unterauftragnehmer nicht zureichend geregelt. Dies wird im Fall nachträglich beauftragter Dienstleister problematisch, welche den Windows-Umfang erweitern, ohne jedoch eine explizite Zustimmung des Nutzers zu erhalten. Diese Zustimmung sei seitens Microsoft proaktiv einzuholen.
Eine Arbeitsgruppe soll zeitnah Gespräche mit dem Hersteller aufnehmen, um eben diese Kritikpunkte zu besprechen.

 

Anwälte

%7B!MEDIA:%7B%7Bid%7D%7D%7Cmore.title_de!%7D

Dr. JUR. Nadin Staupendahl

Fachanwältin für IT Recht

ERFAHRUNG & EMPATHIE FÜR IHREN ERFOLG

%7B!MEDIA:%7B%7Bid%7D%7D%7Cmore.title_de!%7D

Tim Staupendahl

Fachanwalt für Gewerblichen Rechtsschutz
Fachanwalt für Urheber- und Medienrecht

KOMPETENZ & KAMPFGEIST FÜR IHRE KONKURRENZFÄHIGKEIT