Microsoft Office 365: Die Gründe für das Nein der Datenschützer

Microsoft erfüllt die DSGVO-Ansprüche an Auftragsverarbeiter nicht, urteilt die Datenschutzkonferenz. Vieles sei zu vage, ein US-Zugriff nicht ausgeschlossen.

Die Datenschutzkonferenz des Bundes und der Länder (DSK) hat am 22. September 2020 mit knapper Mehrheit beschlossen, dass derzeit "kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich ist". Sie folgte damit einer Bewertung ihres Arbeitskreises Verwaltung vom 15. Juli. Dieser hatte über ein halbes Jahr lang geprüft, ob die Datenschutzbestimmungen und Online-Geschäftsbedingungen für das Cloud-basierte Softwarepaket mit Artikel 28 der Datenschutz-Grundverordnung (DSGVO) zur Auftragsdatenverarbeitung vereinbar sind.

Dies ist nach Ansicht der Aufsichtsbehörden nicht der Fall. Wer die Cloud-Variante etwa von Word, Excel oder Powerpoint nutzt, handelt demnach nicht rechtskonform. Darauf hatte der rheinland-pfälzische Datenschutzbeauftragte Dieter Kugelmann am Mittwoch verwiesen, ohne aber weitere Details zu nennen. Das in einzelnen Punkten auch intern umstrittene Positionspapier und die darin angeführten Gründe für die Einschätzung liegen heise online nun vor.

Art und Verarbeitung der Daten unklar

Schon die Arten der personenbezogenen Daten und der Zweck, warum sie verarbeitet werden, bleibe in den Online Service Terms (OST) sowie dem "Data Processing Addendum" (DPA) vom Januar unklar, rügen die Kontrolleure. Daher sei es auch nicht möglich, gegebenenfalls gesonderte datenschutzrechtliche Anforderungen und Risikostufen zu bestimmen. Solche Angaben müssten eigentlich schon aus dem Auftragsverarbeitungsvertrag ersichtlich sein.

In diesem Zusammenhang empfiehlt die DSK Microsoft, "den Abstraktionsgrad zu verringern und Freifelder" einzusetzen, die gegebenenfalls anpassbar seien. Eventuell könnten so die Zwecke, für die die Daten benötigt würden, sogar im Einzelfall benannt werden.

Microsoft verweist innerhalb der Datenschutzbestimmungen für Online-Dienste, selbst im Zusammenhang mit legitimen eigenen Geschäftstätigkeiten verantwortlich zu sein und benennt diese auch. Das Gremium kritisiert aber, dass es "weiterhin nicht eindeutig ersichtlich" sei, "welche weiteren personenbezogenen Daten in diesem Rahmen verarbeitet werden".

...

Hier zum vollständigen Text

Herausgeber: heise.de

 


Weitere Datenschutz News

 

Cyberfibel: Nachschlagewerk für digitale Aufklärung 19.10.2020 Lesen
Microsoft Office 365: Die Gründe für das Nein der Datenschützer 05.10.2020 Lesen
EuGH erklärt Privacy Shield für ungültig 29.07.2020 Lesen
DSGVO: Irische Datenschutzbehörde knöpft sich Twitter und WhatsApp vor 24.05.2020 Lesen
Cyber-Kriminelle nutzen Corona-Krise vermehrt aus 07.04.2020 Lesen
Installation auch in Deutschland mit Microsoft-Kontozwang 21.02.2020 Lesen
Dokumenten-Leak: Avast Antivirus verkauft offenbar Browser-Daten seiner Nutzer 27.01.2020 Lesen
Gespräche von Skype praktisch ohne Datenschutz analysiert 11.01.2020 Lesen
So gelingt das Backup ganz einfach 21.11.2019 Lesen
Emotet befällt Medizinische Hochschule Hannover 27.09.2019 Lesen
Echtzeit-Übersetzung bei Skype: Mitarbeitern hören Gespräche mit 08.08.2019 Lesen
Aktuelle Spam-Mails verteilen Ransomware im Namen des BSI 31.07.2019 Lesen
Millionen verwundbarer Rechner: Microsoft warnt vor dem Super-Wurm 31.05.2019 Lesen
Datendiebstahl bei zahlreichen deutschen Firmen 30.04.2019 Lesen
Microsoft im Visier: 70 Prozent aller Hackerangriffe zielen auf Office-Produkte 16.04.2019 Lesen


Allianz für Cyber-Sicherheit