DSGVO – Verbot von Nutzung Microsoft Office 365 verboten? – Hier Praxisanmerkungen

Microsoft-Cloud-Dienste und der Datenschutz

Hier unsere Praxisanmerkungen zum DSGVO–Verbot Nutzung Microsoft Office 365:
Das Gremium alles Datenschutzbehörden, die deutsche DSK Datenschutzkonferenz hat „mehrheitlich zustimmend zur Kenntnis genommen“ dass Microsoft Office 365 als Clouddienst bei der Verwendung nicht datenschutzkonform sein kann. Im Verlauf des Textes wird erklärt, warum die Nutzer von Microsoft Office 356 nicht übereilt handeln sollten, und die Nutzung des Programms nicht vorzeitig beenden sollen.

Der US-Dienst und seine Problematiken:

Der US-Dienst Mikrosoft muss auf seine Einsatzfähigkeit geprüft werden, nachdem das Privacy Shield weggefallen ist. Der Wegfall ist kein Grund, Office nicht mehr zu nutzen, besonders nicht bei der Verwendung von einem EU-Server.

 

Warum ist es nicht mit der DSGVO konform?

Genannte Gründe der DSK für das fehlen der Konformität zur DSGVO:

  1. Fehlende Details:

Die Beschreibung der genauen Tätigkeiten ist nicht gut genug, um sagen zu können, ob Microsoft weiter genutzt werden kann.

  1. Die Telemetrie hat keine Rechtsgrundlage:

Es fehlt die rechtliche Grundlage für die übermittelten Telemetrie-Diagnosedaten.

  1. Ungenauer Hinweis zu eventuellen Weitergaben:

Es gibt gesetzlich vorgeschriebene Fälle, in denen die Datenweitergabe unter einem vertraglichen Vorbehalt steht, dieser Bereich ist zu abstrakt verfasst.

 

Sollte Office 365 nun deinstalliert werden?

Es gibt keinen Grund den Dienst zu verteufeln und sofort auf die Nutzung zu verzichten. Hier 4 Erläuterungen zum laufenden Prozess:

  1. Datenschutzbehörden sind sich uneinig:

Die Entscheidung der DSK war nicht einstimmig. Die Entscheidung war mit 8 zu 17 Datenschutzbehörden denkbar knapp. Für zu früh bezeichneten vier Aufsichtsbehörden diese Entscheidung.

  1. Microsoft 365 besteht aus verschiedenen zusammengefassten Produkten.

Bei diesen Bündelungen gibt es bei unterschiedlichen Produkte verschiedene Rechtsvereinbarungen. Es müsste also zuerst geprüft werden, ob die von der DSK getroffene Entscheidung auf diese Zusammensetzungen zutrifft. Dazu kommt, dass die bisherige Entscheidung nicht auf einer technischen Einsicht beruht, sondern anhand von Unterlagen getroffen wurde.

  1. Software und die dazugehörigen Rechtstexte werden laufend angepasst.

Das trifft auf Microsoft natürlich auch zu. Die aktuelle Entscheidung wurde im Januar 2020 getroffen und ist damit eine Momentaufnahme.

  1. Es besteht aktuell keine Gefahr für ein Bußgeld.

Da die Rechtslage im Moment derart unklar ist, drohen keine Folgen in Form von Untersagungsanordnungen oder Bußgeldern.

 

Die Empfehlung für die Praxis:

Einfach kann noch keine Entscheidung getroffen werden, ob die weitere Nutzung zulässig ist. Bei der Beurteilung kommt es auch darauf an, wofür genau das Programm genutzt wird. Da der Prozess noch am Laufen ist, kann die rechtliche Lage sich schnell ändern. Hier sollte es eine individuelle Risikobewertung geben. Ehe alles über Board geschmissen wird, erstmal die Reaktion von Microsoft abwarten. In der Vergangenheit gab es durchaus gute Kompromisse bei ähnlichen Problemen.

 

Ein Generator für Rechtssicherheit:

Der Generator hilft Geschäftskunden ihren Kunden oder ihren Nutzern entsprechend dem Art. 13 der Datenschutzgrundverordnung darüber informieren, dass sie mit Microsoft-Cloud-Diensten arbeiten.

 

Fazit: Keine Panik, aber wachsam bleiben…

Also keine Panik aber bleibt wachsam. Ein bisschen Wachsamkeit schadet nie, nicht nur bei diesem Thema. Es macht wenig Sinn, die Produkte von Microsoft von jetzt auf gleich zu verbieten. Es ist kein Programm, das mal hin und wieder verwendet wird. In vielen Büros, bei vielen Gewerbebetrieben, bei vielen Selbstständigen, bei vielen Freiberuflern eigentlich fast überall wo professionell mit Rechnern gearbeitet wird, ist Microsoft am Start.

 

Die einzelnen Programme lassen sich gut miteinander verzahnen, wie die Programme:

  • Exchange
  • OneDrive
  • SharePoint
  • Teams
  • 365-Apps
  • und andere …

Es wäre wesentlich wichtiger, wenn die zuständigen Datenschutzbehörden Schwachpunkte ausfindig machen würden und die Nutzer der Programme davon in Kenntnis setzen würden. Dazu könnten die Behörden Übergangsfristen für die Nachbesserungen setzen. Die zuständigen Behörden sollten genaue Vorgaben oder Richtlinien erstellen, die sie dann gemeinsam mit den Herstellern abgleichen. So macht das ganze Sinn und wird datenschutzkonform.

 

Weitere News DSGVO:

EU-US Privacy Shield – Datentransfer in die USA

DSGVO im internationalen Datenverkehr