Bewertung von Microsoft 365 durch die Datenschutzkonferenz – Arbeitsgruppe „Microsoft-Onlinedienste“ Festlegung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, Stand vom 24.11.2022

Bewertung von Microsoft 365 durch die Datenschutzkonferenz – Arbeitsgruppe „Microsoft-Onlinedienste“
Festlegung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, Stand vom 24.11.2022

Zum Abschluss der Datenschutzkonferenz von Bund und Ländern (DSK) am 24.11.2022 wurde erneut festgestellt, dass Onlinedienste von Microsoft 365 noch immer nicht datenschutzkonform nutzbar sind. Bereits vor zwei Jahren wurde festgestellt, dass der datenschutzkonforme Einsatz des Cloud-Dienstes Microsoft Office 365 mit dessen zugrunde liegenden Online Service Terms sowie den Datenschutzbestimmungen für die Microsoft-Onlinedienste nicht möglich ist. An dieser Feststellung hat sich nach derzeitigem Stand nichts geändert. Bisher konnten durch Gespräche zwischen Microsoft und der Arbeitsgruppe nur minimale Nachbesserungen mit Blick auf die Datenschutzbestimmungen erreicht werden.
Seit längerer Zeit steht fest, dass vor allem die datenschutzkonforme Nutzung der Produkte Windows 10, Windows 11 und Windows Office 365 nicht vollständig möglich ist. Schon 2019 wurde festgestellt, dass Microsoft Diagnosedaten beim Anwender erhebt und sodann an die eigenen Server in die USA überträgt. Dort sind diese Daten nicht vollends vor Zugriffen durch amerikanische Sicherheitsbehörden geschützt.

Die jetzige Problematik der Datenschutzkonformität resultiert vor allem daraus, dass insbesondere die notwendige „Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird.“, so der Bundesdatenschutzbeauftragte Ulrich Kelber. Es ist nicht abschließend geklärt, in welchen Fällen Microsoft als Auftragsverarbeiter und in welchen Fällen als Verantwortlicher auftritt. Der Verantwortliche einer Datenverarbeitung steht dabei über dem Auftragsverarbeiter. Sobald die Eigenschaft eines Verantwortlichen erfüllt ist, muss dieser seiner Rechenschaftspflicht nachkommen können, also die Einhaltung der datenschutzrechtlichen Anforderungen bei der Verarbeitung personenbezogener Daten nachweisen können. Der Nachweis bezieht sich auch auf die Verarbeitungen durch Auftragsverarbeiter. Ist die Rolle Microsofts in Bezug auf die jeweiligen Verarbeitungen unklar, so ist es auch nicht möglich, das Pflichtenprogramm rechtskonform zu definieren.
Hinzutritt, dass die verschiedenen Erklärungen zum Datenschutz über verschiedene Vertragsgrundlagen (zwei davon sind oben bereits benannt) verstreut sind, wodurch eine klare Bewertung durch den Nutzer erschwert wird.
Daneben ist auch nicht klar, welche Verarbeitungen Microsoft noch im Auftrag des Kunden und welche schon zu eigenen Zwecken erfolgen. So werden im Ergebnis umfangreiche Verarbeitungen auch zu eigenen Zwecken durch Microsoft vorgenommen, ohne dass es der Nutzer weiß. Das heißt, es ist nicht erkennbar, welche Daten und Auswertungen erhoben werden und schlussendlich an Microsoft übertragen werden. Ist das unklar, können auch nicht die einzelnen Schritte dieses Prozesses auf ihre Datenschutzkonformität hin überprüft werden.
Selbst nach den vorangegangenen Verhandlungen und bestrebten Anpassungen ändert sich an diesen datenschutzrechtlichen Bewertungen nichts.

Folge davon ist: Wer das Produkt verwendet, handelt datenschutzwidrig. Dies gilt grundlegend mit Blick auf die vorgegebene Standardkonfiguration. Der Einsatz dieser Produkte in Schulen und Bildungseinrichtungen wurde speziell von den Datenschutzbeauftragten der Länder mit Auslaufen der jeweiligen Lizenzen bereits verboten. Sollen die Produkte in Firmen angewandt werden, so müssten diese das entsprechende „Microsoft Office-Paket“ zunächst aufwändig anpassen, um bei der Anwendung den Vorschriften der Datenschutzgrundverordnung (DSGVO) in rechtmäßiger Weise zu entsprechen. Die Unternehmen müssten nachweisen können, dass Microsoft 365 transparent und rechtmäßig genutzt wird. Das ist grundlegend jedoch schon nicht möglich, solange unklar ist, welche personenbezogenen Daten Microsoft für welche Zwecke nutzt und wie die Verarbeitung erfolgt. Unternehmen und IT-Händler sollten entweder auf ein anderes Programm wechseln oder die Cloud-Dienste von Microsoft 365 insofern anpassen, dass vor allem Datenübermittlungen wirksam unterbunden werden können.
Denn auch Nutzer von Microsoft 365, soweit es sich nicht um Privatpersonen handelt, sind an die DSGVO gebunden. Das heißt, auch sie müssen bei etwaigen Datenverarbeitungen nachweisen können, mit welchen Auftragsverarbeitern sie zusammenarbeiten. Wie oben dargestellt, ist das bei Microsoft 365 gerade nicht möglich und somit würden die Anwender nicht mehr datenschutzkonform handeln können, da sie ihrer Rechenschaftspflicht nicht mehr gerecht werden können. Denn auch in dem Verhältnis gelten die Anwender im öffentlichen und nicht-öffentlichen Bereich als Verantwortliche im Fall der Datenverarbeitung, die ihrer Rechenschaftspflicht gerecht werden müssen. Auch Behörden wird insofern geraten von der Verwendung von Office 365 abzusehen.
Werden die Vorschriften und Pflichten der DSGVO nicht beachtet, so drohen Bußgelder oder auch Verfahren vor den Aufsichtsbehörden und Gerichten. Denn in den Artikeln 77 bis 84 DSGVO sind die Haftung und Sanktion für solche (juristischen) Personen dargelegt, die sich nicht an das Pflichtenprogramm der DSGVO halten. Für besonders gravierende Verstöße, genannt in Artikel 83 Absatz 5 DSGVO, beträgt der Bußgeldrahmen bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu vier Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres. Ein solcher Verstoß liegt unter anderem bei der Nichteinhaltung der Grundsätze für die Verarbeitung der Daten, einschließlich der Bedingungen für die Einwilligung in die Datenverarbeitung vor. Für „leichtere“ Verstöße fallen die Geldbußen entsprechend geringer ist. Auch diese Zahlen sind im Artikel 83 in der DSGVO benannt. Des Weiteren kann durch einen Betroffenen auch ein Verfahren mittels einer Beschwerde bei der Aufsichtsbehörde in Gang gesetzt werden gegen denjenigen, der bei der Datenverarbeitung die datenschutzrechtlichen Vorschriften nicht beachtet hat. Das Interesse des Betroffenen kann auch mittels eines Gerichtsverfahrens durchgesetzt werden.