{"id":6308,"date":"2022-12-14T11:13:45","date_gmt":"2022-12-14T09:13:45","guid":{"rendered":"https:\/\/www.psw-consulting.de\/blog\/?p=6308"},"modified":"2023-01-05T11:19:17","modified_gmt":"2023-01-05T09:19:17","slug":"microsoft-365-und-der-datenschutz","status":"publish","type":"post","link":"https:\/\/www.psw-consulting.de\/blog\/microsoft-365-und-der-datenschutz\/","title":{"rendered":"Microsoft 365 und der Datenschutz"},"content":{"rendered":"

\u201eWie ist denn das jetzt eigentlich mit der Nutzung von Microsoft 365<\/strong>? D\u00fcrfen wir das einsetzen oder nicht?\u201c Diese Frage kommt zwangsl\u00e4ufig, wenn es um das Thema Datenschutz in Unternehmen geht.<\/p>\n

Microsoftprodukte setzt fast jedes Unternehmen ein, bspw. wenn es um Betriebssysteme, Outlook oder Exchange geht. Viele nutzen auch bereits die Cloudprodukte wie Microsoft 365 oder denken \u00fcber die Einf\u00fchrung nach. W\u00e4re da nicht die Sache mit dem Datenschutz.<\/p>\n

Im nachfolgenden Artikel geben wir euch einen \u00dcberblick \u00fcber die Problemstellung, die Einsch\u00e4tzung der Aufsichtsbeh\u00f6rden<\/strong> und ein paar Handlungsempfehlungen<\/strong>.<\/p>\n

 <\/p>\n

Microsoft 365 und der Datenschutz: Worum geht es?<\/h2>\n

Die deutschen Aufsichtsbeh\u00f6rden haben sich schon lange damit schwergetan, sich f\u00fcr die Nutzung von Microsoft 365 zu begeistern. Microsoft hat sich zwar bem\u00fcht, die Baustellen zu \u201efixen<\/strong>\u201c, um die Aufsichtsbeh\u00f6rden zu \u201eberuhigen<\/strong>\u201c. Aber so richtig geklappt hat das nicht.<\/p>\n

Microsoft hat im September 2022 eine neue Fassung seines Auftragsverarbeitungsvertrags ver\u00f6ffentlicht. In diesem hat das Unternehmen unter anderem die neuen Standardvertragsklauseln der EU-Kommission<\/strong> \u00fcbernommen. Dies war erforderlich, weil der Europ\u00e4ische Gerichtshof mit dem Schrems-II-Urteil<\/a> das sog. \u201ePrivacy Shield\u201c, welches als Grundlage f\u00fcr die Daten\u00fcbermittlung in die USA fungierte, f\u00fcr ung\u00fcltig erkl\u00e4rt hat.<\/p>\n

Mit der Datenschutzkonformit\u00e4t von Microsoft 365 befasste sich nun die deutsche Datenschutzkonferenz<\/strong> (DSK \u2013 Gremium der unabh\u00e4ngigen deutschen Datenschutzaufsichtsbeh\u00f6rden).<\/p>\n

 <\/p>\n

Zweij\u00e4hrige Untersuchung der DSK beendet<\/h3>\n

In der Datenschutzkonferenz kommunizieren die unabh\u00e4ngigen Datenschutzaufsichtsbeh\u00f6rden des Bundes und der L\u00e4nder miteinander. Diese haben die Arbeitsgruppe \u201eMicrosoft-Onlinedienste\u201c<\/strong> ins Leben gerufen, um abzukl\u00e4ren, ob das von Microsoft angebotene B\u00fcrosoftware-Paket den hiesigen Datenschutz-Vorgaben gen\u00fcgt und damit gro\u00dffl\u00e4chig in Beh\u00f6rden, Schulen und anderen \u00f6ffentlichen Einrichtungen eingesetzt werden kann.<\/p>\n

Hinsichtlich der Nutzung von Microsoft-365-Produkten wiesen Datenschutzbeauftragte von Bund und L\u00e4ndern auf schwerwiegende datenschutzrechtliche Problematiken<\/strong> hin. Diese Erkenntnis folgt aus einem nun erschienenen Beschluss der Datenschutzkonferenz<\/strong> (DSK).<\/p>\n

Die achtseitige Zusammenfassung der Untersuchung legt dabei detailliert dar, was die Festlegung der Datenschutzkonferenz auf nur einen Absatz komprimiert. Hier hei\u00dft es:<\/p>\n

\u201eDie DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten \u201aDatenschutznachtrags vom 15. September 2022<\/strong>\u2018 nicht gef\u00fchrt werden kann. Solange insbesondere die notwendige Transparenz<\/strong> \u00fcber die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung f\u00fcr Microsofts eigene Zwecke nicht hergestellt und deren Rechtm\u00e4\u00dfigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden\u201c.<\/p><\/blockquote>\n

Anders ausgedr\u00fcckt: Microsoft kann nicht beweisen, dass es die Vorgaben des Datenschutzes einh\u00e4lt. Weil aber andersherum auch keine konkreten Verst\u00f6\u00dfe festzustellen sind, gibt es keine Konsequenzen.<\/p>\n

Wichtig bei der ganzen Bewertung durch den Arbeitskreis ist, dass die DSK sich nur mit dem Auftragsverarbeitungsvertrag besch\u00e4ftigt hat und eine technische Pr\u00fcfung nicht Teil der Untersuchung war.<\/p>\n

 <\/p>\n

Wie \u00e4u\u00dfert sich Microsoft zum Beschluss?<\/h3>\n

Microsoft hat seinerseits mit einer Stellungnahme auf die Bewertung der Datenschutzkonferenz reagiert, die der Position der Datensch\u00fctzer widerspricht.<\/p>\n

So hei\u00dft es unter anderem:<\/p>\n

\u201eMicrosoft aggregiert lediglich pseudonymisierte, personenbezogene Daten und berechnet Statistiken bezogen auf Kundendaten. Dies resultiert in nicht-personenbezogenen Daten, welche Microsoft dann f\u00fcr folgende Gesch\u00e4ftst\u00e4tigkeiten nutzt: (i) Abrechnungs- und Kontoverwaltung, (ii) Verg\u00fctung, (iii) interne Berichterstattung und Gesch\u00e4ftsmodellierung und (iv) Finanzberichterstattung. Die Rechtsgrundlagen, die bereits den Einsatz von Microsoft 365 durch den Verantwortlichen (Kunden) rechtfertigen, decken auch diese Vorg\u00e4nge ab. Microsoft wird seine Kunden durch geeignete Unterlagen und Dokumentation zu dieser Auffassung unterst\u00fctzen.\u201c<\/p><\/blockquote>\n

Des Weiteren argumentiert Microsoft, dass die Verarbeitung zur Produktverbesserung\/-Forschung im Interesse des Kunden erfolgen und somit auch daf\u00fcr von einem Verantwortlichen- und Auftragsverarbeiter-Verh\u00e4ltnis ausgegangen werden kann.<\/p>\n

 <\/p>\n

Microsoft zeigt sich offen<\/h3>\n

Microsoft zeigte sich offen bez\u00fcglich der Bedenken<\/strong> der Datenschutzkonferenz, widersprach jedoch<\/strong> dem Beschluss deutlich: Die Microsoft-365-Produkte w\u00fcrden die EU-Datenschutzgesetze durchaus beachten und k\u00f6nnten daher weiterhin sicher genutzt werden. Zudem sah das Unternehmen seine vorgenommenen \u00c4nderungen nicht als ausreichend anerkannt an. Zudem basierten die Bedenken der Datenschutzkonferenz auf mehreren Missverst\u00e4ndnissen<\/strong> bez\u00fcglich der getroffenen Ma\u00dfnahmen und dem Zusammenspiel der Dienste.<\/p>\n

Au\u00dferdem warnt das Unternehmen davor, dass ein \u201eausufernder Aufsichtsansatz<\/strong>\u201c die Digitalisierung in Deutschland ausbremse<\/strong> und \u201eVerantwortliche (z. B. Schulleiter bei der Erstellung einer Datenschutz-Folgenabsch\u00e4tzung)\u201c l\u00e4hme und \u00fcberfordere. Tats\u00e4chlich gilt die Kritik der Datensch\u00fctzer grunds\u00e4tzlich f\u00fcr alle kommerziellen IT-Angebote \u2013 von Apple bis hin zu Google. An Microsoft soll offensichtlich ein Exempel statuiert werden<\/strong>, vorzugsweise im Bildungsbereich \u2013 weil dort, anders als auf Unternehmen, politischer Druck ausge\u00fcbt werden kann.<\/p>\n

 <\/p>\n

Microsoft 365 und der Datenschutz: Die Hauptprobleme zusammengefasst<\/h2>\n
    \n
  1. Eigene Zwecke<\/strong>: Laut DSK verarbeitet Microsoft Daten auch zu eigenen Zwecken. Bspw. Telemetriedienste & Produktforschung.<\/li>\n
  2. Drittlandtransfer<\/strong>: Selbst bei einem vereinbarten Serverstandort in Europa, gibt es noch den CLOUD Act und FISA. Somit muss immer ein potenzieller Drittlandtransfer angenommen werden.<\/li>\n
  3. Mitarbeiter\u00fcberwachung<\/strong>: Durch einige Tools und Features kann es zur Verhaltungs\u00fcberwachung der Mitarbeiter kommen.<\/li>\n
  4. Compliance<\/strong>: Microsoft bietet ein Security & Compliance Center an, um die eigene Instanz datenschutzkonformer und sicherer zu gestalten. Dies aber nur gegen Aufpreis.<\/li>\n<\/ol>\n

     <\/p>\n

    Wie sieht unser Fazit dazu aus?<\/h3>\n

    Grunds\u00e4tzlich muss man feststellen, dass die DSK (und ihre Arbeitskreise) keine rechtlich bindenden Beschl\u00fcsse verfassen k\u00f6nnen und nur eine Stimme von 27 in Europa sind.<\/p>\n

    Aus unserer Sicht, ist es durchaus m\u00f6glich Microsoft 365 einzusetzen, wenn man verschiedene Punkte dabei beachtet. Wie fast immer ist es eine Frage der Risikoabw\u00e4gung und letztendlich auch der Einstellung der Instanz. Solltet Ihr einen Betriebsrat haben, ist es absolut sinnvoll diesen vor der Einf\u00fchrung mit hinzuzuziehen. Dasselbe gilt selbstverst\u00e4ndlich auch f\u00fcr Eure Datenschutzbeauftragten.<\/p>\n

    Vielleicht relativiert sich das Thema, wenn der Nachfolger des US Privacy Shield kommt. Es scheint ja im Zuge des Trans-Atlantic Data Privacy Frameworks (TADPF)<\/a> wieder ein angemessenes Datenschutzniveau in Aussicht zu stehen. Nur f\u00fcr wie lange?<\/p>\n

    Es gilt wie immer, solltet Ihr Fragen zu dem oder anderen Themen haben, unser Consulting-Team freut sich \u00fcber Eure Nachricht.<\/p>\n","protected":false},"excerpt":{"rendered":"

    \u201eWie ist denn das jetzt eigentlich mit der Nutzung von Microsoft 365? D\u00fcrfen wir das einsetzen oder nicht?\u201c Diese Frage kommt zwangsl\u00e4ufig, wenn es um das Thema Datenschutz in Unternehmen geht. Microsoftprodukte setzt fast jedes Unternehmen ein, bspw. wenn es um Betriebssysteme, Outlook oder Exchange geht. Viele nutzen auch bereits die Cloudprodukte wie Microsoft 365 … <\/p>\n

    Mehr Lesen Mehr Lesen<\/span><\/a><\/p>\n","protected":false},"author":11,"featured_media":6313,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[111],"tags":[3,180,181],"class_list":["post-6308","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutz","tag-datenschutz","tag-microsoft-365","tag-microsoft-office"],"_links":{"self":[{"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/posts\/6308","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/users\/11"}],"replies":[{"embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/comments?post=6308"}],"version-history":[{"count":4,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/posts\/6308\/revisions"}],"predecessor-version":[{"id":6312,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/posts\/6308\/revisions\/6312"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/media\/6313"}],"wp:attachment":[{"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/media?parent=6308"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/categories?post=6308"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.psw-consulting.de\/blog\/wp-json\/wp\/v2\/tags?post=6308"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}