Ist Microsoft 365 datenschutzkonform?

Die Programme von Microsoft 365 sind aus dem Geschäftsalltag kaum noch wegzudenken. Doch seit Jahren kritisieren europäische Datenschützer schon den Datenschutz des Milliardenkonzerns. Zuletzt kam Kritik im November 2022 von der Datenschutzkonferenz (DSK). In einer Stellungnahme kam die DSK zum Ergebnis, dass Microsoft 365 nicht datenschutzkonform eingesetzt werden kann.

Es handelt sich bei dieser Aussage weder um Produktwarnung noch um ein Produktverbot, Warnungen oder Verbote auszusprechen, ist auch nicht Aufgabe der DSK. Dennoch bleibt das Problem: Unternehmen sind die für den Datenschutz verantwortliche Stelle, Sie sind gesetzlich dazu verpflichtet Kunden und Mitarbeitern genaue Auskunft darüber geben zu können, welche personenbezogenen Daten wie verarbeitet werden. Diese Auskunftspflicht gilt auch wenn die Verarbeitung der Daten mit Hilfe eines Dienstleisters (Auftragsverarbeiter) erfolgt. Nach Einschätzung der Datenschutzkonferenz, ist es der verantwortlichen Stelle mit Microsoft als Auftragsverarbeiter nicht möglich eine solche Auskunft zu geben.

Dieser Artikel bietet einen Überblick über die beiden Hauptkritikpunkte an Microsoft und gibt Empfehlungen für eine möglichst rechtsichere Verwendung des Programmes.

Die Kritikpunkte

Datentransfers in die USA

Microsoft betreibt Rechenzentren rund um den Globus, es wurden lange Zeit Daten einfach von der EU in die USA hin und her übertragen. Vor 2015 war dieser Datentransfer noch problemlos möglich, im Rahmen des Save Harbour Beschlusses. Da US-Sicherheitsbehörden ausgeprägte Zugriffsrechte auf die in den USA gespeicherten Daten hatten, wurde der Beschluss jedoch 2015 durch das Schrems-I-Urteil für ungültig erklärt.

Datenaustausch USA

Daher erweckte eine Zeile in Microsofts Datenschutznachtrag von September 2022 das Interesse der Datenschützer. Danach wird Microsoft vom Kunden: „beauftragt (…), (…) personenbezogene Daten in die Vereinigten Staaten von Amerika oder in jedes andere Land zu übermitteln, in dem Microsoft oder ihre Unterauftragsverarbeiter tätig sind“.

Im Bericht der DKS steht auch, dass Microsoft plante, ab Dezember 2022 (ein Monat nach Veröffentlichung des Berichts) Daten von EU-Kunden im EU-Raum zu speichern. Nach Angaben von Microsoft werden zumindest, die Geschäftsdaten von Deutschen Kunden automatisch in Deutschland gespeichert. Was die EU im allgemeinen betrifft, spricht Microsoft von „erheblich reduzierten“ Clouddatenflüssen aus der EU in andere Länder.

Eine weitere positive Entwicklung für Microsoft fand im Juni 2023 statt. Die Europäische Kommission nahm einen Angemessenheitsbeschluss für den Datenaustausch zwischen EU und USA an. Danach dürfen an zertifizierte Unternehmen Daten weitergeleitet werden. Microsoft verfügt noch über die alte Privacy-Shield Zertifizierung, diese ist vorerst für den als Zertifikat gültig. Begründet wurde der Beschluss der EU-Kommission mit Verbesserungen im amerikanischen Datenschutzrecht.

Zu wenig Transparenz und Selbstbestimmung

Welche Daten von Microsoft zu welchen Zwecken gesammelt wurden, war der Konferenz zu undurchsichtig. Microsoft versuchte hierzu zwar bereits vor dem Bericht seine Datenschutzbestimmungen nachzubessern, aber dies war der DSK nicht signifikant genug.

Auch bei der Datenverarbeitung gibt es Kritik: Microsoft verarbeitet Daten laut Datenschutznachtrag für seine „Geschäftstätigkeiten“, früher war die Formulierung „legitime Geschäftszwecke“. Die neue Formulierung klingt zwar etwas weniger fadenscheinig, aber von Microsoft fehlt immer noch eine Aussage zu der konkreten Zweckbindung der Datenerhebung.

Weitere Kritikpunkte:

  • Die Offenlegung der persönlichen Daten bei Microsoft ist zwar möglich, aber eingeschränkt.
  • Eine von Microsoft ausgesprochene Garantie über Sicherheitsmaßnahmen umfasst nicht alle personenbezogenen Daten.
  • Rückgabe und Löschung von personenbezogenen Daten genügt nicht den gesetzlichen Anforderungen.
  • Zu wenig Kontrolle der Verantwortlichen über Unterauftragsverarbeiter, Datenströme abseits vom Microsoft werden undurchsichtig.

Wie ging es nach dem Bericht weiter?

Grundsätzlich ist der Bericht noch die aktuelle Bewertung der Datenschützer. Die DSK bewertet ihre Ergebnisse aber neu.

Microsoft versuchte kontinuierlich sich weiter an die Kritikpunkte anzupassen, im Zusammenhang mit der veränderten Rechtslage zum Datenexport in die USA, könnte über kurz oder lang die DSK ihre Bewertung ändern.

Wie gehe ich als Unternehmer am besten vor?

Wer absolut auf Nummer sicher gehen möchte, muss den Einsatz und die Verwendung von Produkten aus der M365-Suite unterbinden. Als absolute Standardprogramme für den Geschäftsablauf sind diese Produkte aber nur schwer zu ersetzten. Wer Microsoft also weiterhin verwenden will oder muss, kann einige Maßnahmen treffen, um die Datenschutz-Konformität zumindest zu verbessern. Ein einfacher Weg hierzu ist es die Einstellung zu Analyse und Datenübermittlung an Microsoft möglichst restriktiv zu halten. Wir empfehlen folgende Maßnahmen:

  • Deaktivieren Sie die optionalen Connected Experiences (z.B.: Wetteranzeige in Outlook, Übersetzer): Bei der Bereitstellung dieser Dienste ist Microsoft rechtlich gesehen Verantwortlicher und kann erhobene Daten deutlicher umfassender nutzen.
  • Deaktivieren Sie alle optionalen Diagnosedaten.
  • Beachten Sie allgemeine Datenschutzeinstellungen im Trust Center und deaktivieren Sie „Senden von persönlichen Informationen an Microsoft, um Office zu verbessern“ und „Office die Verbindung mit Microsoft-Onlinediensten erlauben, um für Ihren Standort und Ihre Voreinstellungen relevante Funktionen bereitzustellen“
  • Deaktivieren Sie Programme zur Verbesserung der Kundenerfahrung
  • Deaktivieren Sie die Nutzungsberichte
  • Deaktivieren Sie die LinkedIn-Integration
  • Deaktivieren Sie 3rd Party Apps in Teams

Es bestehen weitere Möglichkeiten zur möglichst datenschutzkonformen Nutzung der Programme. Wir beraten Sie gerne zu Ihren offenen Fragen, kontaktieren Sie uns für ein kostenlosen Erstgespräch.

Fazit

Aufgrund der anhaltenden Kontroverse um den Microsoft 365 Datenschutz ist es auf jeden Fall ratsam sich so weit wie möglich abzusichern. Einen vollständigen Verzicht auf Microsoft 365 hält Toowoxx derzeit weder für nötig noch für praktikabel.

Definitiv sinnvoll ist es jedoch, Maßnahmen zum weiteren Datenschutz zu ergreifen. Besonders wenn Sie sensible Daten (z.B. biometrische Daten, Daten von minderjährigen Azubis, Daten zu Gesundheitsfragen) oder besonders viele Daten handhaben, kann eine Pflicht zur Datenschutzfolgeabschätzung Ihre Aufgaben zum Datenschutz weiter verkomplizieren.

Wenn Sie unsere Empfehlungen umsetzten, sind Ihre Daten sicherer und auch rechtlich stellen Sie sich somit besser. Wenn Aufsichtsbehörden erkennen, dass Eigeninitiative ergriffen wurde, tendieren sie dazu bei Beanstandungen und Bußgeldern Milde walten zu lassen.