Datenschutz im Unternehmen: Microsoft 365, ja oder nein?


Die Datenschutzkonferenz hat eine Bewertung zur Frage veröffentlicht, ob man Microsoft 365 nach EU-Recht datenschutzrechtskonform betreiben kann. Öffentliche sowie auch nicht-öffentliche AnwenderInnen müssen prüfen, wie sie die Office-Lösung aus der Cloud datenschutzgerecht einsetzen können.


Trotz umfangreicher Änderungen an den Nutzungsbedingungen ist „Microsoft 365“ weiterhin nicht datenschutzkonform. Zu diesem Urteil kam die 104. Datenschutzkonferenz (DSK).

Die neue Bewertung des Gremiums der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder betrifft öffentliche Anwender wie Schulen und Behörden, aber auch nicht-öffentliche Anwender. Die getroffene Festlegung richtet sich nämlich nicht etwa an Microsoft, sondern an die Nutzenden von Microsoft 365.


NutzerInnen in der Pflicht

Die DSK sieht die NutzerInnen in der Pflicht, sich mit den in der DSGVO enthaltenen Vorgaben für Verantwortliche und Auftragsverarbeiter zu befassen. Demnach müssten die Verantwortlichen nachweisen können, dass ihre Nutzung von Microsoft 365 dem EU-Datenschutz genüge tut – also dass das Unternehmen nur mit solchen Auftragsverarbeitern zusammen arbeitet, die nachweisen können, dass sie personenbezogenen Daten ihrer Auftraggeber datenschutzkonform verarbeiten. Dieser Nachweis könne auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ jedoch nicht geführt werden, wie die Datenschutzkonferenz nun feststellte. Wer Microsoft 365 in seinem Unternehmen bzw. in einer Behörde oder Organisation einsetzt, verstößt folglich nach wie vor gegen die DSGVO, riskiert also hohe Strafzahlungen und steht mit einem Bein im Gefängnis.


Klärungsbedarf bleibt bestehen

Bei der aktuellen Veröffentlichung der DSK handelt es sich um eine Bewertung der vorliegenden Datenschutzbestimmungen als Teil der Verträge zur Nutzung von Microsoft 365. Hinsichtlich einer vollständigen datenschutzrechtlichen Bewertung des Cloud-Dienstes Microsoft 365 müssen also weitere Fragen erörtert werden.

Microsoft äußerte in einer Stellungnahme, dass man die Bedenken der DSK ernstnehme, dass man jedoch viele der datenschutzrechtlichen Einschätzungen sowie die Schlussfolgerungen der DSK für grundlegend falsch halte.


Handlungsempfehlung

Verantwortliche sollten die Entwicklungen auf jeden Fall weiter verfolgen – schließlich liegt die Verantwortung für den Datenschutz letztlich nicht nur bei Microsoft, sondern eben auch bei ihnen. Sie müssen entscheiden, ob sie (weiterhin) auf Microsoft 365 setzen oder nicht.