DSK: Warum Verantwortliche Microsoft 365 nicht datenschutzkonform nutzen können

Dauerthema Microsoft 365

Die DSK beschäftigt sich schon seit September 2020 in mehreren Arbeitskreisen mit dem Einsatz des Cloud-Dienstes Microsoft 365, der früher Microsoft Office 365 hieß, und führte mehrere Gespräche mit dem US-Konzern (wir berichteten).

Im Frühjahr 2021 warnte auch ein breites Bündnis aus Bildungsverbänden, Verbraucherschützern und IT-Experten das Kultusministerium in Baden-Württemberg vor der Einführung der Software und forderte mehr Open-Source-Komponenten (wir berichteten).

DSK veröffentlicht aktuelle Bewertung zu MS 365

Nach zwei Jahren intensiver Diskussionen veröffentlichte die Datenschutzkonferenz nun eine Zusammenfassung der Arbeitsgruppenergebnisse:

Datenschutznachtrag reicht nicht aus

„Microsoft hat im September 2022 einen aktualisierten Datenschutznachtrag zu den Produkten und Services von Microsoft vorgestellt. Diese neue Version (…) konnte (…) nur geringfügige Verbesserungen erreichen“, erklärt die DSK auf Seite 3.

Nachweis kann nicht datenschutzrechtskonform geführt werden

Die DSK stellt deshalb fest, „dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, (…) nicht geführt werden kann.“

Microsoft bietet immer noch keine Transparenz

Hintergrund ist vor allem, dass „die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird“.

DSK wendet sich direkt an Verantwortliche für Datenschutz

Diese Bewertung der DSK wendet sich „nicht direkt an Microsoft, sondern an die Verantwortlichen und besagt, dass diese Microsoft 365 nicht datenschutzrechtskonform verwenden können“, erklärt der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) in einer Pressemitteilung.

Sie müssen laut Artikel 5 der Europäischen Datenschutz-Grundverordnung (DSGVO) „nachweisen können, dass Microsoft 365 transparent und rechtmäßig verwendet werden kann. Das können sie aber nicht“, betont TLfDI Dr. Lutz Hasse. Microsoft verwende personenbezogene Daten für eigene Zwecke und mache hierüber keine weiteren Angaben.

Fatale Folgen für die Praxis

Was diese Intransparenz von Microsoft für fatale Folgen für die Praxis von Verantwortlichen im öffentlichen und nicht-öffentlichen Bereich hat, erklärt der TLfDI in seiner Pressemitteilung am Beispiel einer Schule:

Eltern können nicht informiert einwilligen

„Wenn eine Schulleitung als Verantwortliche die einwilligenden Eltern und die Lehrerschaft nicht darüber informieren kann, ob bei der Verwendung von Microsoft 365 Daten von Kindern oder Lehrer:innen verarbeitet werden und wenn ja, für welche Zwecke,

• dann können die Eltern und die Lehrerschaft gar nicht informiert (…) einwilligen
• und den entsprechenden Informationspflichten (…) kann der Schulleiter auch nicht nachkommen.“

Schulleitungen fehlt Rechtsgrundlage für die Verarbeitung

Einwilligungen, die bereits erteilt worden sind, sind deshalb laut Dr. Lutz Hasse unwirksam und damit „fehlte es an einer Rechtsgrundlage für die verantwortliche Schulleitung (…), die Daten mit Microsoft 365 verarbeiten zu dürfen“.

Hinzu kämen außerdem noch die Fragen der Datenübermittlung in die USA.

Datenschutzaufsichtsbehörden suchen das Gespräch mit Verantwortlichen

„Meine Aufsichtsbehörde wird nun – wie die anderen Datenschutzaufsichtsbehörden auch – mit den Verantwortlichen (…) den Kontakt suchen, um eine verhältnismäßige Umsetzung dieser Rechtslage zu erörtern“, erklärt Dr. Lutz Hasse. „Hierbei werden zeitliche Aspekte und alternative Pfade Gegenstand der Erörterung sein.“

Verantwortliche müssen bei MS 365 aktiv werden

Sein Kollege Dr. Stefan Brink aus Baden-Württemberg ergänzt in einem Interview mit dem IT-Newsportal golem: „Wir haben jetzt alle Verantwortlichen im Blick, auch die Unternehmen.“

Diese müssen laut Brink „selbst die Datenschutzkonformität ihrer Prozesse nicht nur sicherstellen, sondern auch nach Artikel 5 Abs. 2 DSGVO nachweisen.“ Es reiche nicht, auf die Unterlagen von Microsoft zu verweisen. Vielmehr müssten sich die Verantwortlichen „ selbst von der Rechtskonformität aller Verarbeitungen überzeugen und gegebenenfalls auch weitergehende Ermittlungen dazu anstellen.“

Verarbeitungsverzeichnis DSGVO-konform führen und nachweisen

In kurzer Zeit erstellen Sie mit der Software „WEKA Manager Verarbeitungstätigkeiten“ eine lückenlose, rechtssichere Dokumentation über alle Verarbeitungstätigkeiten (inkl. 100 Muster-Tätigkeiten & DSFA-Tool)

 

➜ Jetzt Verarbeitungsverzeichnis einfach erstellen

Mehr Informationen:

• Pressemitteilung des TLfDI am 26. November 2022; https://www.tlfdi.de/fileadmin/tlfdi/presse/Pressemitteilungen_2022/221126_PM_zu_Bewertung_Microsoft_365.pdf
• DSK-Zusammenfassung der Arbeitsgruppenergebnisse am 24. November 2022: https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DSK/DSKBeschluessePositionspapiere/104DSK-Festlegung-Microsoft-Onlinedienste.pdf?__blob=publicationFile&v=1
• Interview in golem.de am 6. Dezember 2022: https://www.golem.de/news/datenschutz-und-microsoft-365-die-verantwortung-fuer-den-datenschutz-liegt-bei-den-firmen-2212-170212.html
• Ratgeber-Artikel in der Datenschutz-Praxis am 8. November 2022: https://www.datenschutz-praxis.de/grundlagen/datenschutz-folgenabschaetzung-bei-microsoft-365-noetig-oder-nicht/
• News in der Datenschutz-Praxis am 28. April 2021: https://www.datenschutz-praxis.de/verarbeitungstaetigkeiten/breites-bildungsbuendnis-warnt-vor-ms-365-an-schulen/

Elke Zapf