Microsoft 365 ist eine cloudbasierte Office-Lösung von Microsoft, die in sehr vielen Unternehmen im Einsatz ist. Seit Jahren gibt es datenschutzrechtliche Bedenken und Diskussionen. Deshalb wissen Unternehmen und Vereine nicht, ob Microsoft 365 bedenkenlos eingesetzt werden kann. Die Diskussionen scheinen kein Ende zu nehmen. Zu begrüßen ist jedoch, dass sich die Datenschutzbehörden mit Microsoft in einem intensiven Austausch befinden. Zum aktuellen Stand hat die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder am 25. November 2022 eine Stellungnahme veröffentlicht. Die Bewertung beruht auf den Ergebnissen von Gesprächen in 14 mehrstündigen Videokonferenzen mit Microsoft. Die DSK beurteilt nun die aktuelle Vereinbarung zur Auftragsverarbeitung mit Microsoft 365. Der Bericht enthält jedoch keine umfassende datenschutzrechtliche Bewertung des Cloud-Dienstes Microsoft 365.

Grundlage der Bewertung ist der „Datenschutznachtrag zu den Produkten und Services von Microsoft“ einschließlich der aktuellen Fassung vom 15. September 2022. Die Bewertung beruht auf der zum Abschluss des Berichts am 10. Oktober 2022 bestehenden Sach- und Rechtslage.

Die Untersuchung beschränkt sich dabei auf sechs von der AK Verwaltung 2020 festgestellte vertragliche Mängel. Eine darüberhinausgehende Prüfung insb. technischer oder tatsächlicher Datenflüsse fand dagegen nicht statt. Ebenso wenig eine Prüfung des gesamten einschlägigen Vertragswerks.

Im Kern ging es daher um die Frage, ob die einzelnen Verarbeitungstätigkeiten der Verantwortlichen, welche sich Microsoft als Auftragsverarbeiter bedienen, rechtmäßig sind und ob der Auftragsverarbeitungsvertrag den Anforderungen von Art. 28 DSGVO genügt.

Wesentliche Kritikpunkte und aktueller Stand

Die DSK kommt zu dem Schluss, dass Verantwortliche Microsoft 365 nicht datenschutzkonform verwenden können. So bestehen Unklarheiten bei der Frage, wann Microsoft als Verantwortlicher und wann als Auftragsverarbeiter agiert. Der Verantwortliche obliegt nach Art. 5 Abs. 2 DSGVO einer Rechenschaftspflicht. Dieser Pflicht könne der Verantwortliche aber nicht hinreichend nachkommen, da weiterhin nicht geklärt sei, welche Daten Microsoft für eigene Zwecke verarbeitet. Die Datenverarbeitung zu eigenen Zwecken widerspricht zudem dem Wesen der Auftragsverarbeitung. Der Verantwortliche kann in diesem Fall keine Weisung gegenüber Microsoft aussprechen. Ein Verstoß gegen Art. 28 DSGVO.

Auch in Punkto Rückgabe- und Löschverpflichtung zeigen sich weiterhin Lücken, sodass den Anforderungen aus Art. 28 Abs. 3 UAbs. 1 S. 2 lit. g DSGVO nicht gerecht wird.

Rege diskutiert wurde auch über die Kontrollbefugnisse des Verantwortlichen in Bezug auf den Einsatz von Unterauftragnehmern. Bislang musste der Verantwortliche tätig werden, um Änderungen zu Unterauftragnehmern zu erhalten. Von dieser „Hol-Schuld“ ist Microsoft nun abgerückt und kündigt an, die Verantwortlichen künftig über Änderungen zu informieren.

Weiterhin nicht zufriedenstellend sind die Beschreibungen des Auftragsgegenstandes. Detaillierte Nachbesserungen hinsichtlich der Festlegung zu den Arten und Zwecken der Verarbeitung sind zu wünschen.

Zwar konnte im Bereich der eigenen Verantwortlichkeit Microsofts eine neue Formulierung der Verträge erwirkt werden. Hieraus lassen sich in der Praxis jedoch keine nennenswerten Änderungen ableiten. Mircosoft hat diesbezüglich angekündigt, dass eine Veränderung der Verarbeitungen nicht erfolgte. So bleibt weiterhin unklar, welche personenbezogenen Daten durch Microsoft zu eigenen Zwecken verarbeitet werden. Ebenso unklar ist die für die Übermittlung dieser Daten einschlägige Rechtsgrundlage. Weiterhin erhebt und verarbeitet Microsoft Telemetrie und Diagnosedaten zu eigenen Zwecken. Hinzu kommen bislang ungeklärte Fragen der Datenübermittlung in die USA.

Unterm Strich lässt sich feststellen, dass die erreichten Verbesserungen marginal sind und weiterhin erheblicher Nachbesserungsbedarf im Bereich Transparenz besteht.

Microsoft reagierte prompt mit einer eigenen Stellungnahme und weist jegliche Kritik zurück.

„Wir teilen die Position der DSK nicht. Wir stellen sicher, dass unsere M365-Produkte die strengen EU-Datenschutzgesetze nicht nur erfüllen, sondern oft sogar übertreffen. Unsere Kunden in Deutschland und in der gesamten EU können M365-Produkte weiterhin bedenkenlos und rechtssicher nutzen.“

Microsoft wendet ein, die von der DSK geäußerten Bedenken würden auf Missverständnissen beruhen. Microsoft habe eng mit der DSK zusammengearbeitet und mit umfangreichen Änderungen auf die Kritikpunkte reagiert. Microsoft betont ferner, sich die Bedenken der DSK hinsichtlich Transparenz sehr zu Herzen zu nehmen.

Wir begrüßen den Austausch zwischen der DSK und Microsoft. Dennoch sind wesentliche Aspekte offen geblieben und die Fragen zum datenschutzkonformen Einsatz von Microsoft 365 bislang nicht gelöst.