Microsoft 365 wird in fast allen Unternehmen eingesetzt, doch die Frage nach seiner Datenschutzkonformität bleibt bestehen. Ist ein DSGVO-konformer Einsatz von Microsoft 365 möglich? Unter welchen Voraussetzungen kann Microsoft 365 datenschutzkonform eingesetzt werden?
Der Inhalt im Überblick
Datenverarbeitungen bei der Nutzung von Microsoft 365
Die Nutzung von Microsoft 365 umfasst diverse Datenverarbeitungen, wobei Microsoft je nach Datenkategorie und Verarbeitungszweck unterschiedliche Rollen einnimmt.
Funktionsdaten
Bei der Nutzung von MS 365 verarbeitet Microsoft eine Vielzahl von Daten und dabei auch personenbezogene Daten. Ein Teil der Datenverarbeitungen betreffen die Funktionsdaten. Funktionsdaten werden von Anwendungen und Diensten benötigt, um bestimmte Funktionen oder Anforderungen von Benutzer*innen erfüllen zu können. Beispielsweise benötigt Microsoft den Standort eines Geräts, um die Uhrzeit zu synchronisieren oder lokale Wetterdaten bereitzustellen. Diese Daten dienen auch zur Prüfung, ob für eine App aus dem Windows Store die notwendige Lizenz vorliegt.
Die Verarbeitungen von Funktionsdaten resultieren aus der Weisung des Auftraggebers an Microsoft. Die Weisung entspricht dabei der Nutzung des Dienstes durch den Auftraggeber.
Inhaltsdaten
Neben Funktionsdaten verarbeitet Microsoft Inhaltsdaten, die Nutzer bewusst im Rahmen ihrer Anwendungsnutzung generieren. Dazu gehören Texte in einem Word-Dokument, Daten in einer Excel-Tabelle, E-Mails in Outlook, Präsentationsinhalte in PowerPoint und Notizen in OneNote.
Microsoft agiert hierbei als Auftragsverarbeiter und verarbeitet die Daten ausschließlich zur Bereitstellung des Dienstes.
Diagnosedaten
Microsoft verarbeitet für den Betrieb von MS 365 auch umfangreiche Diagnosedaten, die zur Ausführung von Anwendungsprozessen erforderlich sind.
Es gibt zwei Diagnosedaten-Ebenen: Erforderlich und optional. Erforderliche Diagnosedaten sind unverzichtbar für das Funktionieren der Office-Anwendungen und umfassen beispielsweise Geräteinformationen und Fehlerberichte. Zum Beispiel werden Details zu Abstürzen von Microsoft 365-Anwendungen gesammelt, um Probleme zu diagnostizieren und zu beheben. Basisdiagnosedaten enthalten in der Regel Informationen über:
- Geräteinformationen wie die Geräte-ID, Gerätetyp und -konfiguration.
- Informationen zum Betriebssystem und zur Software (z. B. Version und Updates).
- Fehlerberichterstattung, die grundlegende Informationen über Fehler enthält, die auf dem Gerät aufgetreten sind.
Erforderliche Diagnosedaten werden nur kurzzeitig gespeichert.
Optionale Diagnosedaten bieten zusätzliche Einblicke für Produktverbesserungen, beispielsweise können Informationen darüber, wie lange es dauert, bis eine PowerPoint-Folie gerendert wird, gesammelt werden, um die Leistung dieses Features zu verbessern.
Microsoft hat die Verarbeitungszwecke der erforderlichen Diagnosedaten stark eingeschränkt (z.B. Funktionieren der Systeme) und agiert als Auftragsverarbeiter. Die optionalen Diagnosedaten können aber hinsichtlich der Datenverarbeitungszwecke problematisch sein. Microsofts exzessive Nutzung dieser Daten zu eigenen Zwecken (insbesondere zur Produktverbesserung) führte dazu, dass das Unternehmen seine Stellung als Auftragsverarbeiter verlor. Microsoft und Microsoft 365-Kunde wären damit gemeinsam Verantwortliche nach Art. 26 DSGVO gewesen. Dafür stellte Microsoft jedoch kein entsprechendes Vertragswerk zur Verfügung.
Connected Experiences
Bei den „Connected Experiences“ handelt es sich um Funktionen, die eine Internetverbindung nutzen, um zusätzliche Features anzubieten. Wenn diese Funktionen verwendet wird, könnten Daten an Microsoft gesendet und dort verarbeitet werden.
Die Zusammenarbeit mit anderen an einem auf OneDrive for Business gespeicherten Dokument oder die Übersetzung des Inhalts eines Word-Dokuments in eine andere Sprache sind Beispiele für Connected Experiences.
Benutzer und Administratoren haben aber die Möglichkeit, bestimmte Arten von Connected Experiences zu aktivieren oder zu deaktivieren.
Die Datenverarbeitungen in Rahmen der „Connected Experiences“ sind nicht mit Microsoft als Auftragsverarbeiter zu rechtfertigen. Auch hier kommt man zu dem Ergebnis, dass ein Vertrag zur gemeinsamen Verantwortlichkeit vorliegen müsste.
Erste DSFA und Bewertung von MS 365 aus den Niederlanden
Im November 2018 gab das niederländische Ministerium für Justiz und Sicherheit eine Datenschutz-Folgenabschätzung (DSFA) für den Einsatz von Office 365 in Auftrag. Diese stellte fest, dass der Einsatz von Office 365 in seiner damaligen Form nicht mit dem geltenden Datenschutzrecht vereinbar war. Besonders kritisiert wurden die unbestimmte Aufbewahrungsdauer der Diagnosedaten und die exzessive Nutzung der Daten durch Microsoft zu eigenen Zwecken, einschließlich der Speicherung sensibler Daten in Metadaten und Inhalten.
Während der Erstellung dieses DPIA-Berichts hatte sich Microsoft verpflichtet, wichtige Anpassungen vorzunehmen, um die Risiken zu verringern. Nach Verhandlungen veröffentlichte das Ministerium im Juni 2019 eine aktualisierte Version der DSFA, die den Einsatz von Office 365 ProPlus (jetzt bekannt als Microsoft 365 Apps for Enterprise) Version 1905 als zulässig erachtete. Die mobilen Anwendungen und Web-Zugänge für Office wurden in einer gesonderten Prüfung jedoch als datenschutzrechtlich unzulässig eingestuft. Eine separate DSFA zu Windows 10 Enterprise wurde ebenfalls veröffentlicht, die zwar einige Risiken aufzeigte, aber insgesamt das Risiko für Betroffene als nicht hoch bewertete. Microsofts mangelnde Zweckbindung bei der Datenverarbeitung blieb jedoch ein Kritikpunkt.
Im Februar 2022 veröffentlichte das Ministerium eine neue DSFA zum Einsatz von Microsoft Teams, OneDrive, SharePoint und Azure AD in Behörden und Universitäten. Diese knüpfte an die 2019er Datenschutz-Folgenabschätzung an und kam zu dem Schluss, dass keine hohen Datenschutzrisiken bestehen, sofern die empfohlenen Maßnahmen umgesetzt werden.
Was sagen deutsche Datenschutzbehörden zu Microsoft 365?
Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) erachtet die Datenverarbeitung in Microsoft 365 für unzulässig. Bereits im September 2020 kam die DSK zu dem Schluss, dass ein datenschutzkonformer Einsatz von Microsoft Office 365 auf Basis der damaligen Unterlagen nicht möglich sei. Daraufhin gründete die DSK eine Arbeitsgruppe, die mit Microsoft in Dialog treten sollte, um datenschutzrechtliche Nachbesserungen zu erreichen.
DSK: Microsoft 365 kann nicht datenschutzkonform betrieben werden
Am 24.11.2022 veröffentlichte die Arbeitsgruppe der DSK ihre langersehnten Ergebnisse. Sie besagten, dass ein datenschutzkonformer Betrieb von Microsoft 365 auf Grundlage des von Microsoft bereitgestellten Datenschutznachtrags vom 15. September 2022 nicht möglich sei. Dieser „Datenschutznachtrag“, ist die Bezeichnung von Microsoft für einen Auftragsverarbeitungsvertrag i.S.v. Artikel 28 DSGVO. Der Nachtrag umfasst die gesamten Dienste von Microsoft 365.
Begründet wird die Festlegung der DSK in der Zusammenfassung des Berichts der Arbeitsgruppe wie folgt:
- Mangelnde Transparenz durch Microsoft:
Es ist nach Auffassung der DSK unklar, welche Daten Microsoft als Auftragsverarbeiter und welche für eigene Zwecke verarbeitet. Ebenso sei, soweit Microsoft personenbezogene Daten in eigener Verantwortung verarbeitet, die Rechtsgrundlage dafür unklar. Die mangelnde Transparenz habe zur Folge, dass Verantwortliche ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nicht nachkommen können. - Microsoft übermittle rechtswidrig personenbezogene Daten in unsichere Drittstaaten, insbesondere in die USA. Die Offenlegungen personenbezogener Daten etwa nach CLOUD Act und FISA 702 lasse sich nicht mit den gesetzlichen Vorgaben für die Auftragsverarbeitung vereinbaren.
- Bei der Umsetzung technischer und organisatorischer Maßnahmen durch Microsoft blieben – nach Meinung der DSK – Rechtsunsicherheiten.
- Die Ausgestaltung der Rückgabe- und Löschverpflichtungen genüge in jedem Fall nicht den Anforderungen der einschlägigen Regelungen aus Art. 28 DSGVO.
- Die Informationen durch Microsoft über neue Unterauftragsverarbeiter sind nach dem Verständnis der DSK nicht detailliert genug.
Kritik am Beschluss der DSK zu Microsoft 365
Der Beschluss der DSK in Bezug auf Microsoft 365 hat in Deutschland für weitreichende Diskussionen gesorgt, insbesondere im Hinblick auf die potenziellen Auswirkungen eines „digitalen Lockdowns“. So wurde vorgebracht, dass falls diese Empfehlungen ernst genommen werden, könnte hier faktisch alles still stehen, denn es gäbe keine alternative Software, die in der Fläche einsetzbar wäre.
Der FAZ-Artikel „Microsoft 365 – so sollte Datenschutzaufsicht nicht sein“, verfasst u.a. von Thomas Kranig, dem ehemaligen Präsidenten des Bayerischen Landesamts für Datenschutzaufsicht, brachte die Kritik zum Ausdruck. Hauptkritikpunkte waren:
- Unzureichende technische Prüfung und aktuelle Vertragsberücksichtigung:
Die DSK stufte die Nutzung von Microsoft 365 auf Basis eines älteren Vertragsdokuments (Stand September 2022) als rechtswidrig ein, ohne neuere Aktualisierungen von Microsoft ausreichend zu berücksichtigen. - Rechtsunsicherheit durch die DSK:
Als loser Zusammenschluss unabhängiger Datenschutzaufsichtsbehörden kann die DSK keine rechtlich bindenden Beschlüsse fassen, was zu Unsicherheit führt. - Fehlende formelle Anhörung Microsofts:
Die Kritiker bemängelten, dass Microsoft vor der Entscheidung nicht formell angehört wurde, was als Verletzung rechtsstaatlicher Grundsätze angesehen werden könnte. Eine negative Bewertung durch staatliche Behörden kann erhebliche Folgen für Unternehmen haben. Eine Produktwarnung könne die Entscheidung der Verbraucher gezielt beeinflussen und die Wettbewerbssituation nachteilig verändern.
Daraufhin stellte Michael Will, aktueller Präsident des Bayerischen Landesamts für Datenschutzaufsicht, in einem Interview mit der IHK klar, dass der Beschluss der DSK nicht als generelles Verbot von Microsoft 365 zu verstehen sei. Er wiederholte, dass der globale Datenschutzvertrag von Microsoft allein nicht ausreichend sei, um einen datenschutzkonformen Einsatz nachzuweisen. Zudem kritisierte er die weitverbreitete Annahme, dass Standardprodukte wie Microsoft 365 automatisch datenschutzkonform seien müssten. Will wies darauf hin, dass die Feststellungen der DSK eher als Appell zu verstehen sei, sich intensiver mit den Datenschutzpflichten bei der Nutzung von Microsoft 365 auseinanderzusetzen.
Neue DPA und EU Data Boundary = Revision der Microsoft 365 Bewertung?
In den vergangenen Jahren hat Microsoft wiederholt Änderungen am Data Protection Addendum (DPA) vorgenommen. Seit dem von der DSK kritisierten Datenschutznachtrag vom 15. September 2022 hat Microsoft 3 weitere Versionen veröffentlicht. Die erste Änderung ergibt sich schon durch die Version vom 01.01.2023, welche den offiziellen Start der EU Data Boundary, einer europäischen Lösung für die Microsoft Cloud, beinhaltet.
Weitere wesentliche Änderungen in den folgenden DPAs:
- Fassung vom 15.11.2023: Betonung der Zertifizierung Microsofts nach dem EU-US Privacy Framework, was die Datenübermittlung in die USA auf den neuen Angemessenheitsbeschluss der Europäischen Kommission stützt.
- Fassung vom 02.01.2024: Erweiterung der EU Data Boundary, wodurch nun alle „personenbezogenen Daten“ und nicht nur Kundendaten darunter fallen.
Die deutschen Datenschutzaufsichtsbehörden haben angesichts der Einführung der EU Data Boundary kurz danach auf der Zwischenkonferenz 31.01.2023 (S.6) beschlossen, die DPA 01.01.2023 zu prüfen. Auf der Zwischenkonferenz der DSK am 27.09.2023 führt das BayLDA aus (S.4), dass diese Überprüfung erfolgt sei und man nicht davon ausgehe, dass die vorgenommenen Änderungen an dem DSK Ergebnis der Bewertung der Vereinbarung zur Auftragsverarbeitung für Microsoft 365 von 2022 grundlegend etwas ändern würden. Eine offizielle, abschließende Bewertung der DPA vom 01.01.2023 durch die deutschen Datenschutzaufsichtsbehörden steht jedoch weiterhin aus. Es ist zudem unklar, ob oder inwiefern die beiden neueren DPA-Versionen schon überprüft worden sind.
Checkliste: Welche Punkte sind bei Microsoft 365 zu prüfen?
Ein Kritikpunkt bei der Nutzung von Microsoft 365 ist durch den neuen EU-US Angemessenheitsbeschluss zwar vorerst entkräftet, doch bedeutet dies keinen automatischen Freibrief für die Nutzung von Microsoft 365.
Hinsichtlich des kritisierten Auftragsverarbeitungsvertrags von Microsoft und etwaigen Anpassungen haben sich 7 Datenschutzbehörden (u.a. BayLfD, HBDI, LfD Niedersachsen und LDI NRW) zusammengesetzt und die sog. Handreichung für den Einsatz des Cloud-Dienstes Microsoft Office 365 erarbeitet. Diese soll eine praxisnahe Hilfestellung für Unternehmen bieten, die Microsoft 365 nutzen möchten.
Außerdem veröffentlichte der LfDI Rheinland-Pfalz einige technische Lösungsansätze, die im Interesse der Datensparsamkeit eine Übermittlung personenbezogener Daten in ein Drittland reduzieren. Zu diesen gehören:
- Betrieb von Microsoft 365 auf eigenen IT-Strukturen des Verantwortlichen („on-Premises-Lösung“) oder bei Stellen innerhalb der EU/des EWR.
- Nutzung produktseitig vorhandener Konfigurationsmöglichkeiten, um die Übertragung von Diagnose-/Telemetriedaten weitestgehend zu unterbinden. Dies bezieht sich auch auf das verwendete Betriebssystem.
- Filterung bei der Übermittlung personenbezogener Telemetriedaten über eine entsprechende Infrastruktur (Firewall), soweit diese nicht durch Konfigurationsvorgaben unterbunden werden kann.
- Verwendung dienstlicher pseudonymer Mailadressen/Accounts (idealerweise temporär aus einem Pool) und das Verbot der Nutzung privater Microsoft Accounts.
- Nutzung über einen vorkonfigurierten und abgesicherten Browser mit integrierten Schutzmaßnahmen zur weitestgehenden Anonymisierung/Gleichschaltung der Metadaten.
- Zwischenschaltung entsprechend vorkonfigurierter Terminal-Clients zur weitestgehenden Anonymisierung/Gleichschaltung der Metadaten.
- Einsatz einer (zwischengeschalteten) Inhaltsverschlüsselung nach dem Stand der Technik bei der cloudbasierten Dateiablage prüfen.
Ein zentraler juristischer Aspekt bei der Nutzung von Microsoft 365 ist die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Unternehmen sollten daher bei der Dokumentation ihrer Nutzung von Microsoft 365 besonders sorgfältig sein, einschließlich:
- Speicherung der Vertragstexte
- Einbeziehung des Betriebsrats
- Etablierung eines hinreichenden Berechtigungskonzepts
- Sicherstellung der Löschung von Daten im Rahmen der Nutzung von MS 365
- Führung eines Verarbeitungsverzeichnisses gemäß Art. 30 DSGVO
- Bereitstellung von Informationsblättern für Beschäftigte und Kunden gemäß Art. 12, 13 DSGVO
DSGVO-konformer Einsatz von Microsoft 365 einzelfallabhängig
Aus den aktuellen Diskussionen und Stellungnahmen könnte man ein generelles „Microsoft-Verbot“ ableiten. Jedoch umfasst das MS 365 verschiedene Anwendungen und Dienste. Zudem können Verantwortliche, wie gezeigt, technische und organisatorische Maßnahmen treffen. Dadurch ist ein pauschale Bewertung von Microsoftprodukten als zulässig oder unzulässig nicht möglich. Unternehmen müssen ihre spezifischen Anwendungen und Prozesse daher zunächst sorgfältig analysieren. Danach befinden sich Verantwortliche beim Befolgen der aufgeführten Schritte unserer Checkliste auf einem guten Weg zum datenschutzkonformen Einsatz von Microsoft 365, eine abschließende Rechtssicherheit im Einzelfall kann dadurch aber nicht gewährleistet werden. Dies sollte stets durch einen fachkundigen Datenschutzbeauftragten geprüft werden.
Da ergeben sich mir doch einige Fragen:
Was hat Windows mit Office 365 zutun? Was ist mit „O365 Webanwendungen“ gemeint? Sind die EU Vertragsklauseln für EU-Kunden nicht automatisch Teil des Abos? Was spricht gegen die Verwendung der „Office Apps“?
Ich denke Sie beziehen sich mit Ihrer ersten Frage auf die Handlungsempfehlungen und die darin beschriebenen Einstellungen des Windows-Betriebssystems. Die Telemetriedatenübermittlung von Windows 10 übermittelt bei jeder höheren Einstellung als „Sicher“ auch Informationen über die Nutzung von Office ProPlus Anwendungen.
Mit Office 365 Webanwendungen sind die Web-Clients der Office Programme im Rahmen der Office 365 ProPlus Suite gemeint – siehe https://www.office.com/?ms.officeurl=webapps.
Die EU-Vertragsklauseln sind standartmäßig in den OTS enthalten.
Für genauere Informationen zu den datenschutzrechtlichen Problemen können Sie sich gern die im Beitrag verlinkte Datenschutz-Folgenabschätzung ansehen. Zusammenfassend ist zu sagen, dass es weder bei den mobile Apps noch der Web-Anwendung die Möglichkeit gibt, den Umfang der Diagnosedatenübermittlung zu regulieren. Da es keinen Viewer in den mobile Apps und Webanwendungen gibt, können Nutzer auch nicht einsehen, welche Daten an Microsoft übermittelt werden.
Für diese Datenverarbeitungen sieht Microsoft sich als Verantwortlicher und nicht als Auftragsverarbeiter. Microsoft kann die in diesem Zusammenhang erhobenen Daten deshalb für alle 14 Zwecke, die in dem „privacy statement“ von Microsoft genannt werden, verarbeiten. Es gibt in den in Rede stehenden Anwendungen weiterhin auch keine Möglichkeit „Connected Experiences“ abzustellen, wodurch ein Opt-Out nicht möglich ist.
Diesmal haben Sie sich ja wirklich lange Zeit gelassen – Veröffentlichung der Dokumente war ja bereits im Juli 2019. Ist man eindeutig nicht gewöhnt!
Auch wird nicht erwähnt, dass die DSK bereits im August angekündigt hat, 0365 ebenfalls einer Prüfung zu unterziehen.
Wo ist denn die Ankündigung der DSK zu finden? Bin nach kurzer Recherche nicht darauf gestoßen.
MS-Office Datenschutzeinstellungen
Richtlinieneinstellungen zur Verwaltung der Datenschutzsteuerelemente für Office 365 ProPlus verwenden
https://docs.microsoft.com/de-de/deployoffice/privacy/manage-privacy-controls
Einstellungen zum Verwalten von Datenschutzsteuerelementen für Office für Mac verwenden
https://docs.microsoft.com/de-de/deployoffice/privacy/mac-privacy-preferences
Office für Mac erlaubt granularen Datenschutz
von Halyna Kubiv
https://www.macwelt.de/news/Office-fuer-Mac-erlaubt-granularen-Datenschutz-10647889.html
Guten Tag,
können Sie etwas zum Hintergrund sagen, weshalb die LinkedIn-Integration deaktiviert sein muss?
Beste Grüße
Die LinkedIn-Integration stellt eine der „Connected Experiences“ dar, für die Microsoft sich als eigener Verantwortlicher sieht. LinkedIn Resume Assistant prüft dabei bspw. Word-Dokumente, um festzustellen ob es sich um einen Lebenslauf handelt, der mit LinkedIn veröffentlicht werden soll. Dabei wurden Diagnosedaten ausgelesen, die die E-Mail-Adresse des Nutzers, eine eindeutige ID, sowie Geräteinformationen enthielten. Diese Datenübermittlungen finden selbst dann statt, wenn die Übersendung von Diagnosedaten auf die geringste Stufe „Keine“ eingestellt ist.
Hierbei mangelt es an einer geltenden Rechtsgrundlage für die Verarbeitung, da Microsoft für diese Verarbeitung kein Auftragsverarbeiter ist, sondern eigener Verantwortlicher. Der Nutzer hat in die Übermittlung dieser Daten an Microsoft und damit auch in die USA nicht zugestimmt und aufgrund der Intransparenz kann auch nicht davon ausgegangen werden, dass die Betroffenen mit einer solchen Verarbeitung vernünftigerweise rechnen müssen.
Es wird deshalb empfohlen die Integration von LinkedIn zu deaktivieren.
Wie sieht es denn hinsichtlich der Nutzung der Diktier- und Übersetzungsfunktion Ihrer Meinung nach aus? Microsoft hat in Ihrem Online Statement dazu ja behauptet, dass die dortigen Daten nicht mitgelesen werden. Vielen Dank!
Guter Artikel! Haben Sie zufällig auch Erkenntnisse zum Thema MyAnalytics? Workplace Analytics ist ja glücklicherweise nicht im Angebot, allerdings MyAnalytics. Vielen Dank im Voraus
Wie sehen Sie denn das Risiko bei den neuen OST von Microsoft?
Die in Januar veröffentlichten neuen Data-Processing-Agreements von Microsoft ändern aus jetziger Sicht nichts an den Ausführungen des Artikels.
Im neuen OST vom April 2020 finde ich jetzt Anhang 3 und Anlage 4 gar nicht mehr, wissen Sie ob das an andere Stelle ausgelagert wurde?
Wenn ich den Kommentar richtig deute, ist die Anlage Standardvertragsklauseln und Bestimmungen der Datenschutz-Grundverordnung der Europäischen Union gemeint. Diese finden Sie nun ausgelagert in dem Data Processing Addendum von Microsoft unter folgendem Link: https://www.microsoftvolumelicensing.com/DocumentSearch.aspx?Mode=2&Keyword=DPA
Hallo, heißt das, dass die A1 Schullizenz, die ja leider keine Möglichkeit auf die Einschränkung der Weiterleitung der Diagnosedaten, auf keinen Fall datenschutzkonform ist? Gruß Claudia Holitzki
Es kommt auf die konkrete Ausgestaltung an. Die Weiterleitung der Diagnosedaten kann zwar nicht in der Software, aber systemseitig durch technische Maßnahmen unterbunden werden. Zu genaueren Ausführungen, was alles beim Einsatz von Office in Schulen zu beachten ist, vgl. etwa die Antwort des LfDI Baden-Württemberg auf eine kleine Anfrage zur datenschutzrechtlichen Bewertung des Einsatzes von Microsoft 365 und Office 365 im Rahmen der digitalen Bildungsplattform (S. 6 ff).
Und in der Zwischenzeit arbeiten alle normal weiter, weil sie ihren Job machen müssen. Warum ist es der EU noch nicht gelungen, ein datenschutzkonformes Office Produkt gleich dem funktionsreichen Microsoft Office zu entwickeln. Zug verpasst, sage ich mal und jetzt wird daran gefeilt, alles in die „richtigen“ Verträge zu pressen. Transparenz ist wichtig, aber hier wird wieder einmal das Kind mit dem Bade ausgeschüttet. Womöglich gibt es wie bei den Cookies eine vorherige Abfrage, ob man damit einverstanden ist, dass ID & Co. übertragen werden dürfen. Ergebnis ist über kurz oder lang eine „Cookiebox“ wie beim Surfen, die jeder mittlerweile genervt wegklickt. Unerträglich. Man könnte den Eindruck gewinnen, dass anstatt eines Beamtenapparates bald ein Datenschutzapparat diktieren wird, was wir dürfen und was nicht.
Es gibt keinen „Datenschutzapparat“, der Ihnen etwas diktiert! Und bitte beziehen sie mich nicht in Ihr „Wir“ mit ein, sondern sprechen sie NUR für sich. Diese Wortwahl spiegelt Ihre Bereitschaft wieder, sich mit dem Thema auseinander zu setzen und zu lernen. Ihr fehlendes Verständnis für den Datenschutz ist bedauerlich. Informieren Sie sich doch mal über Ihre Grundrechte – und die Ihres Nachbarn, die Sie auch zu schützen haben, denn es geht nicht nur um Sie. „Unerträglich.“
Auch ich bin beruflich gezwungen O365 einzusetzen. Dieser Artikel summiert, dass es auch Anwälte und „fachkundige“ Datenschutzprofis nicht schaffen werden, die Rechtsunsicherheit für ein Unternehmen sicher zu bewerten. Übrig bleibt ein – „mit dem Risiko leben“. Übrigens – das seit Jahren viele Dinge verpasst wurden, falsche Weichen gestellt und die Interessen der Unternehmen über die Rechte der Bürger gestellt wurden, dafür kann ich viele Fakten anführen. Das die DSGVO versucht einige Dinge gerade zu rücken, ist notwendig und sollte bestärkt, nicht boykottiert werden.
Momentan warne ich eindringlich vor dem zwangsweisen Umstieg von Windows 11 Mail zu Outlook für Privatanwender. Das wird von MS forciert. Aber dabei werden alle Ihre Daten durch die MS Scanner gesaugt, denn die „neue“ Outlook-Lösung ist in der MS Cloud. Also sind alle meine Mails dort – auch wenn man glaubt, man hätte das ja auf dem eigenen Rechner… und wenn sie dort Ihr privates Postfach von anderen Anbietern einrichten, erlauben sie MS auch den Zugriff darauf… Das ist ein großer Angriff auf die Privatsphäre von Millionen von Anwendern – geschickt getarnt.
Nachdem der EuGH ja nunmehr mit einem Urteil vom 16.07.2020 („Schrems II“) den Privacy-Shield komplett gekippt und im Endeffekt auch Standardvertragsklauseln mit den USA für nur schwer umsetzbar definiert hat, wäre es vielleicht mal an der Zeit den Artikel auf die aktuelle Situation anzupassen.
Leider hüllen sich ja auch die deutschen Datenschutz-Aufsichtsbehörden in Schweigen. Die bisher ergangenen Empfehlungen sind doch in der Praxis eigentlich nicht umsetzbar. Fakt ist, mangels anderer wirklicher Alternativen, hat sich MS-Office in der Geschäftswelt und auch bei Behörden als Standard durchgesetzt. Viele externe Anwendungen, die im täglichen Betrieb benötigt werden, hat man auf die Office-Produkte abgestimmt. MS-Office einfach so aus dem geschäftlichen Alltag zu verbannen, wird einfach nicht gelingen. Selbst der BfDI hatte ja vor einiger Zeit festgestellt, dass die Abhängigkeit von den Microsoftprodukten, auch in der Bundesverwaltung, einfach vorhanden und ein Verzicht nicht möglich oder nur langfristig möglich ist. Also muss selbst in Bundesbehörden und beim BfDI – wissentlich – gegen die Bestimmungen der DSGVO verstoßen werden, um den täglichen Betrieb aufrecht zu erhalten.
Man kann nun natürlich darauf hoffen, dass sich die „Big-Player“ aus den USA auf die Anforderungen der EU einstellen und ihre Produkte entsprechend absichern. Aber mal ehrlich – dazu bräuchte es schon eines gewissen Druckmittels, dass man auf die Nutzung deren Produkte vollständig verzichtet. Mangels wirtschaftlicher Alternativen ist eine solche Drohung aber nur ein sehr stumpfes Schwert, so dass weiterhin mit Microsoft Windows und Office gearbeitet wird. Soviele Bußgelder können die Behörden gar nicht verhängen und das Schlimmste – sie müssen die Bescheide auch noch mit der gleichen, datenschutzrechtlich unzulässigen, Software erstellen. Wird dann gegen die Bescheide geklagt, schreiben auch die Gerichte ihre Urteile mit MS Office 365…
Aus meiner Sicht gibt es aus diesem Dilemma nur zwei mögliche Auswege – entweder die EU entwickelt leistungsfähige Alternativen, oder man passt die Anforderungen des Datenschutzes an die Realitäten an.
Das Urteil des EuGH ist natürlich nur der Ausgangspunkt. Wie man in der Praxis diesem Urteil gerecht werden wird, kann man zum jetzigen Zeitpunkt nicht sagen, dazu ist es noch zu frisch. So hat auch z.B. die EDSA FAQs zu den drängendsten Fragen erstellt, aber konkrete Handlungsempfehlungen werden nicht gemacht.
Festzuhalten ist, dass die Standardvertragsklauseln weiterhin anwendbar bleiben. In diesem Zusammenhang ist für einen Verantwortlichen aus Europa das zentrale Problem, dass nach der Übermittlung der Daten in die USA, kein wirklicher Einfluss mehr genommen werden kann auf die Datenverarbeitung jenseits des Atlantiks. Hier bleibt meist nur noch das permanente nachfragen und nachhaken, wie sie dort die vertraglichen Garantien einhalten und durch welche geeigneten technischen Maßnahmen sie den Zugriff der US-Behörden unterbinden – oder in Zukunft unterbinden wollen. Eine weitere, aber zugegebenermaßen kostenintensivere Maßnahme wären ggf. Binding Corporate Rules. Das sind Regelungen, die den Umgang mit personenbezogenen Daten betreffen und die ein entsprechendes Genehmigungsverfahren durchlaufen haben. Aber die bereits erwähnten Kosten schrecken viele Unternehmen ab.
Konkret auf Microsoft bezogen können die hiesigen Unternehmen die Microsoft Office 365 Pro Plus Version nutzen. Diese Version lässt zumindest eine Regulierung insoweit zu, als dass Sie bei der sogenannten Diagnosedatenübermittlung die Auswahl einer „niedrigsten Stufe zulässt.
Im Hinblick darauf, dass es schwierig werden könnte Microsoft unter Druck zu setzen, haben Sie recht. Dennoch ist es nicht unmöglich. Als bestes Beispiel kann hier die Stadt München herangezogen werden. Dort hatte der frühere Oberbürgermeister Christian Ude bei Amtsantritt auf Linux umgestellt und bis zu seinem Ausscheiden daran festgehalten.
Dieser Beitrag wurde umfassend überarbeitet und neu veröffentlicht.
Alle vorherigen Kommentare und unsere Antworten beziehen sich auf die alte Version des Beitrags und können daher unter Umständen nicht mehr aktuell sein.
Seit wann gibt es „erforderliche Diagnosedaten“? Es ist natürlich einfacher für einen Anbieter, wenn er weiß, welches Gerät mit welcher Software beim Auftreten von Fehlern verwendet wird. Aber es ist ja wohl Sache des Anwenders, ob er mit den Fehlern leben kann oder ob er diese Informationen zum Beheben der Fehler an den Anbieter übermitteln will. Allein schon wegen §25 TTDSG ist das aus meiner Sicht nicht konform.
Microsoft klassifiziert Diagnosedaten je nach Verarbeitungszweck in zwei Hauptkategorien: „Erforderlich“ und „Optional“. Diese Begriffe verwendet Microsoft zur Klassifizierung der Datenfunktion im Rahmen des Produkts. Der Begriff „Erforderlich“ in diesem Zusammenhang bezieht sich aber nicht auf eine Bewertung aus datenschutzrechtlicher Perspektive.
Bereits in der ersten DSFA aus der Niederlande wurden die Diagnosedaten aufgrund der unbestimmten Aufbewahrungsdauer und exzessiven Nutzung durch Microsoft besonders kritisiert. Als Reaktion darauf führte Microsoft in der Office ProPlus-Version 1904 Anpassungen ein, um die Einstellungsoptionen für Zugriffsebenen zu aktualisieren: (1) Optimal, (2) Erforderlich, (3) Keine. Allerdings wurden selbst bei der Einstellung „(3) Keine“ Diagnosedaten für „essentielle Dienste“ wie Authentifizierung oder Lizenzprüfungen übermittelt. Die aktuellen Einstellungsoptionen bieten daher tatsächlich nur zwei Zugriffsebenen, wie man heute erkennen kann.
Die Frage, ob die sogenannten „Erforderlichen“ Diagnosedaten aus datenschutzrechtlicher Perspektive wirklich „objektiv erforderlich“ für die Bereitstellung der Dienstleistung sind, bleibt natürlich noch diskussionswürdig. Die Einstellungsmöglichkeiten sollte aber zumindest das bestehende Nutzungsrisiko eingedämmt werden, was als ein erfolgreicher Schritt nach vorn angesehen werden kann.
Hallo,
ich wundere mich auch sehr. Gerade der Punkt, dass Microsoft nicht transparent ist, welche Daten fließen (wenn ich das richtig lese, ist das immernoch so) verhindert doch den Einsatz von MS365. Wie will ich denn mein Verarbeitungsverzeichnis schreiben oder einen Auftragsdatenverarbeitungsvertrag abschließen, wenn ich nicht einmal weiß, welche Daten zu welchen Zwecken verarbeitet werden. Grundsätze wie Datensparsamkeit werden eh gebrochen. Wie will ich als Verantwortlicher für etwas gerade stehen, wenn ich nicht weiß, was passiert?
Dann kommen wir dahin, dass wenn ich das Produkt so beschneide, dass ich es fast nicht mehr nutzen kann, dann ist es erlaubt.
Ist das in Ordnung, wenn ich einfach nur den Kopf schüttel und mich frage, warum um himmels Willen so viele daran festhalten?! Behörden und Bildungseinrichtugen raus aus MS Office 365 und MS365 und alle klugen Firmen auch. Danach können gültige Standards ohne proprietäre Software geschaffen werden, so dass auch der Austausch von Dokumenten mit freier Software gut funktioniert.
Schönen Gruß Thoys