Microsoft Office 365: Die Gründe für das Nein der Datenschützer
Microsoft erfüllt die DSGVO-Ansprüche an Auftragsverarbeiter nicht, urteilt die Datenschutzkonferenz. Vieles sei zu vage, ein US-Zugriff nicht ausgeschlossen.
Die Datenschutzkonferenz des Bundes und der Länder (DSK) hat am 22. September 2020 mit knapper Mehrheit beschlossen, dass derzeit "kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich ist". Sie folgte damit einer Bewertung ihres Arbeitskreises Verwaltung vom 15. Juli. Dieser hatte über ein halbes Jahr lang geprüft, ob die Datenschutzbestimmungen und Online-Geschäftsbedingungen für das Cloud-basierte Softwarepaket mit Artikel 28 der Datenschutz-Grundverordnung (DSGVO) zur Auftragsdatenverarbeitung vereinbar sind.
Dies ist nach Ansicht der Aufsichtsbehörden nicht der Fall. Wer die Cloud-Variante etwa von Word, Excel oder Powerpoint nutzt, handelt demnach nicht rechtskonform. Darauf hatte der rheinland-pfälzische Datenschutzbeauftragte Dieter Kugelmann am Mittwoch verwiesen, ohne aber weitere Details zu nennen. Das in einzelnen Punkten auch intern umstrittene Positionspapier und die darin angeführten Gründe für die Einschätzung liegen heise online nun vor.
Art und Verarbeitung der Daten unklar
Schon die Arten der personenbezogenen Daten und der Zweck, warum sie verarbeitet werden, bleibe in den Online Service Terms (OST) sowie dem "Data Processing Addendum" (DPA) vom Januar unklar, rügen die Kontrolleure. Daher sei es auch nicht möglich, gegebenenfalls gesonderte datenschutzrechtliche Anforderungen und Risikostufen zu bestimmen. Solche Angaben müssten eigentlich schon aus dem Auftragsverarbeitungsvertrag ersichtlich sein.
In diesem Zusammenhang empfiehlt die DSK Microsoft, "den Abstraktionsgrad zu verringern und Freifelder" einzusetzen, die gegebenenfalls anpassbar seien. Eventuell könnten so die Zwecke, für die die Daten benötigt würden, sogar im Einzelfall benannt werden.
Microsoft verweist innerhalb der Datenschutzbestimmungen für Online-Dienste, selbst im Zusammenhang mit legitimen eigenen Geschäftstätigkeiten verantwortlich zu sein und benennt diese auch. Das Gremium kritisiert aber, dass es "weiterhin nicht eindeutig ersichtlich" sei, "welche weiteren personenbezogenen Daten in diesem Rahmen verarbeitet werden".
...
Herausgeber: heise.de
Weitere Datenschutz News
| WhatsApp scheitert vor EU-Gericht mit Klage gegen Millionenstrafe | 12.12.2022 | Lesen |
| Schulen müssen bis zum Sommer Microsoft 365 ersetzen | 27.04.2022 | Lesen |
| Kritische Schwachstelle in Java-Bibliothek Log4j | 12.12.2021 | Lesen |
| Siri hört ungewollt mit: Apple wird Datenschutzklage nicht los | 04.09.2021 | Lesen |
| Whatsapp muss 225 Millionen Euro Strafe zahlen | 02.09.2021 | Lesen |
| Amazon bekommt 746 Millionen Euro Datenschutz-Strafe | 01.08.2021 | Lesen |
| Warum der IT-Sicherheitsleitfaden des BSI für Politiker für alle gilt | 29.06.2021 | Lesen |
| Kritische Schwachstellen in Exchange-Servern | 09.03.2021 | Lesen |
| Cyberfibel: Nachschlagewerk für digitale Aufklärung | 19.10.2020 | Lesen |
| Microsoft Office 365: Die Gründe für das Nein der Datenschützer | 05.10.2020 | Lesen |
| EuGH erklärt Privacy Shield für ungültig | 29.07.2020 | Lesen |
| DSGVO: Irische Datenschutzbehörde knöpft sich Twitter und WhatsApp vor | 24.05.2020 | Lesen |
| Cyber-Kriminelle nutzen Corona-Krise vermehrt aus | 07.04.2020 | Lesen |
| Installation auch in Deutschland mit Microsoft-Kontozwang | 21.02.2020 | Lesen |
| Dokumenten-Leak: Avast Antivirus verkauft offenbar Browser-Daten seiner Nutzer | 27.01.2020 | Lesen |
