Datenschützer sehen Microsoft 365 in Behörden als nicht rechtskonform
In einer Datenschutzkonferenz (DSK) vom Bund und Ländern kamen die Beteiligten zu dem Schluss, ein rechtskonformer Einsatz von Microsoft 365 in öffentlichen Institutionen sei unmöglich.
Die Programmsuite, die Produkte wie Word, Excel, PowerPoint, die Kommunikationsanwendung Teams sowie den Cloud-Speicher OneDrive umfasst, lässt sich demnach nicht regelkonform verwenden.
Allerdings sind die genauen Ergebnisse der Analyse der DSK noch nicht veröffentlicht.
Das liegt daran, dass nicht alle Landesdatenschutzbeauftragten der Meinung seien, dass dringend gehandelt werden müsse, schreibt Netzpolitik.org unter Verweis auf den Bericht.
Auch andere Institute sind zu ähnlichen Ergebnissen gekommen. Sowohl die Berliner Aufsichtsbehörde, als auch der europäische Datenschutzbeauftragte, Wojciech Wiewiórowski ließen Microsoft Mitte Juli dieses Jahrs überprüfen.
Der Datenschutzbeauftragte der EU kritisierte folgende Punkte:
- Eigenständige Verarbeitung durch Microsoft – Microsoft behalte sich nach den eigenen Bestimmungen für Online-Dienste das Recht vor, die Parameter der Auftragsverarbeitung und deren vertraglichen Verpflichtungen zu ändern und selbst zu definieren.
- Fehlende Kontrollmöglichkeiten über Unterauftragsverarbeiter – Kunden hätten so weder Kontrolle darüber, wer als Subunternehmer in Bezug auf die Auftragsverarbeitung eingesetzt wird, noch bestünde entsprechende Prüfungsrechte gegenüber diesen
- Internationaler Datentransfer – Die Microsoft-Kunden könnten nicht vollständig nachvollziehen, wo die eigenen Daten gespeichert werden. Es fehle an geeigneten Garantien, die den internationalen Datentransfer DSGVO-konform absichern.
- Datenerhebung durch Microsoft – In dem die Cloud-Produkte teilweise eigenständig Daten erheben und an Microsoft übermitteln, fehle es an der notwendigen Transparenz.
- Nicht transparente Verarbeitung – Es gebe keine ausreichende Klarheit über Art, Umfang und Zweck der Verarbeitung sowie über die Risiken für die betroffenen Personen.
Stellungnahme von Microsoft
Microsoft widerspricht den Anschuldigungen und sei überzeugt, dass die Produkte datenschutzkonform eingesetzt werden könnten. Sie gehen auf die einzelnen Kritikpunkte ein und begründen vor allem die Auftragsverarbeitung mit Übersetzungsfehlern. Zudem wollen sie die bemängelten Punkte nicht nachbessern.
Mache uns zu Deinem Datenschutzbeauftragten, damit wir für Dich prüfen, ob Dein Unternehmen rechtskonform agiert.