Microsoft Office 365 – Ja oder Nein?

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 22.09.2020 mehrheitlich festgestellt, dass Microsoft Office 365 als Cloudversion momentan nicht datenschutzkonform verwendet werden kann – eine Entscheidung, die mit neun (9) zu acht (8) Stimmen denkbar knapp ausfiel.

Mit dieser ablehnenden Haltung folgte die DSK einer Stellungnahme ihres „Arbeitskreises Verwaltung“ vom 15.07.2020, nachdem man die Datenschutzbestimmungen für Microsoft-Onlinedienste (DPA) und Online Service Terms (OST) für das Cloud-basierte Softwarepaket geprüft hatte. Eine technische Überprüfung der an Microsoft übermittelten Daten fand hingegen nicht statt.

Als Hauptargumente für ihre ablehnende Haltung führt die DSK fehlende Transparenz über die verarbeiteten Daten (insbesondere Telemetriedaten) und die Orte der Datenverarbeitung an (Frage: Welche Daten werden von Microsoft in den USA verarbeitet?). Zudem werde nicht festgestellt, welche Maßnahmen Microsoft installiert habe, um Risiken für Nutzerdaten zu minimieren. Nicht klar formuliert werde in der Datenschutzerklärung außerdem, dass unter Umständen Daten an die US-Behörden herausgegeben werden müssten.

Kritisiert wird diese Entscheidung – insbesondere auch von den 8 sie ablehnenden Behörden – aus mehreren Gründen, aber ein erheblicher Faktor ist, dass die Entscheidung der DSK auf Basis der Auftragsverarbeitungsvereinbarung mit Stand Januar 2020 gefällt wurde. Microsoft aber seine Vertragstexte seitdem bereits zweimal geändert hat. Zudem konnte das Papier des Arbeitskreises das Urteil des Europäischen Gerichtshofs EuGH vom 16.07.2020 aus chronologischen Gründen natürlich nicht berücksichtigen. Die Angelegenheit sei schlichtweg momentan noch gar nicht entscheidungsreif, äußerte sich ein Teil der 8 Landesdatenschutzbeauftragten in einer gesonderten gemeinsamen Verlautbarung, da eine förmliche Anhörung Microsofts in der Sache bislang nicht erfolgte.

Immerhin soll dies jetzt nachgeholt werden und die DSK installiert eine neue Arbeitsgruppe, um umgehend Gespräche mit Microsoft aufzunehmen – dies mit dem Ziel, in einem Dialog DSGVO-Konformität zu schaffen.

Parallel dazu plant das Kultusministerium Baden-Württemberg – trotz vieler Proteste – die Einführung von Microsoft Office 365 an Schulen. Ganz offiziell begleitet der zuständige Landesdatenschutzbeauftragte, Herr Stefan Brink, dazu das Pilotprojekt. Als Ergebnis strebt man eine speziell für den Schulbereich konfigurierte Version von Microsoft Office 365 an. Brink äußerte sich dazu: „Wir begleiten das aktuelle Pilotprojekt an den Schulen gerade auch in Zeiten der Pandemie weiter und wollen sehen, wie die vom Ministerium eingesetzte spezielle Version von MS Office 365 in der Praxis tatsächlich funktioniert.“

 

Klar ist: Microsoft Office 365 hat Lücken in der DSGVO-Konformität. Klar ist aber auch, dass die Software auf Dauer DSGVO-konform sein muss, um seine beherrschende Rolle am Markt in Europa zukünftig weiterhin behaupten zu können. Denn ein Arbeits- bzw. Schulleben ohne die verschiedenen Bestandteile von Office365 ist insbesondere momentan für viele undenkbar. Die Zerrissenheit der DSK spiegelt die wichtigen Pros und Contras des Softwareeinsatzes wider.

Die geschilderte Situation dürfte zumindest momentan einen abmildernden Einfluss haben auf das monetäre Risiko, dass mit einer derzeitigen Verwendung der Software einher geht. Dass hohe Bußgelder oder Untersagungsanordnungen drohen, ist eher unwahrscheinlich. Flankiert werden sollte der Einsatz des Dienstes allerdings unbedingt mit den von uns bereits beschriebenen Maßnahmen in Folge des Urteils des EuGH „Schrems II“ vom 16.07.2020.