Wir hatten schon verschiedentlich über die Problematik der datenschutzkonformen Verwendung von Microsoft Office 365 berichtet. Microsoft Office 365 findet  nicht nur in einer Vielzahl von Unternehmen, sondern auch bei zahlreichen Behörden Anwendung.

Gegenstand der Presseberichterstattung war hierbei insbesondere die Nutzung von Microsoft Office 365 durch das Kultusministerium in Baden-Württemberg sowie die Verwendung an Schulen. Seit der Corona Pandemie hat auch die Digitalisierung und der Informationsaustausch über Online-Anwendungen im schulischen Bereich erheblich an Bedeutung gewonnen.

Zwischenzeitlich liegt eine Pressemitteilung des LfDI zum begleiteten Pilotprojekt des Kultusministeriums zur Nutzung von Microsoft Office 365 an Schulen vor.

Die Pressemitteilung des LfDI ist abrufbar unter:

https://www.baden-wuerttemberg.datenschutz.de/lfdi-begleitet-pilotprojekt-des-kultusministeriums-zur-nutzung-von-microsoft-office-365-an-schulen/

Für uns als Berater stellt sich die Frage, ob aus dieser Pressemitteilung eine Handreichung herauszulesen ist, wie mittelständische Unternehmen, welche ebenfalls Microsoft Office 365 nutzen, sich nunmehr verhalten sollen.

Im Ergebnis ist die Pressemitteilung wenig ergiebig, sofern man darauf hofft, der Nutzung von Microsoft Office 365 stünden in der Zukunft keine datenschutzrechtlichen Bedenken der Aufsichtsbehörden mehr entgegen.

Bei genauer Durchsicht der Pressemitteilung wird nämlich ersichtlich, dass zum einen das Kultusministerium eine Datenschutzfolgenabschätzung zur Verwendung von Microsoft Office 365 an Schulen durchgeführt hat, diese aber wegen grober datenschutzrechtlicher Mängel seitens des LfDI zurückgewiesen wurde.

Überdies kann aus der Pressemitteilung herausgelesen werden, dass es sich bei der von dem Kultusministerium verwendeten Version von Microsoft Office 365 um eine Version handeln muss, welche in Abstimmung mit dem LfDI, dem Kultusministerium sowie seitens Microsoft für die Verwendung in dem konkreten Fall angepasst sein muss. So geht aus der Pressemitteilung hervor, dass es sich bei dem vom Kultusministerium verwendeten Microsoft Produkt, um spezielle Softwareversionen handele, die laut dem LfDI, den bisher eingesetzten Versionen „wesentlich überlegen“ seien.

Alleine aus dieser Mitteilung lässt sich leider schon entnehmen, dass mittelständische Unternehmen, welche das entsprechende Produkt ebenfalls verwenden, nicht davon ausgehen können, dass die noch ausstehende abschließende Einschätzung des LfDI zu der vom Kultusministerium verwendeten Version von Microsoft Office 365, sich auf die Microsoft Office 165 Version in ihrem Unternehmen übertragen lassen.

Hinzu tritt im Übrigen, dass aus der Pressemitteilung herauszulesen ist, dass das LfDI wohl davon ausgeht, dass der Einsatz von Microsoft Office 365 eine zuvor vorangegangene Datenschutzfolgenabschätzung voraussetzt. Wenn aber schon das Kultusministerium nicht in der Lage war, eine den Anforderungen der Datenschutzgrundverordnung gerecht werdende Datenschutzfolgenabschätzung zu Microsoft Office 365 durchzuführen, so wird dies den meisten Unternehmen bei Verwendung  der Standardversion ebenfalls nicht gelingen.

Unbeantwortet bleibt im Übrigen auch die Frage, ob US-Ermittlungsbehörden auch bei in Deutschland durch Microsoft durchgeführte Datenverarbeitung, ebenfalls Zugriff auf diese Daten nehmen können.

Was ist also aus Sicht der betroffenen Unternehmen, welche Microsoft Office 365 verwenden, zusätzlich zu tun, wenn ein vollständiger Verzicht auf Microsoft Office 365 ausscheidet?

Das LfDI hat zur Problematik der Übermittlung von personenbezogenen Daten in Drittländer eine Orientierungshilfe herausgegeben:

https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2020/08/LfDI-BW-Orientierungshilfe-zu-Schrems-II.pdf

Zusätzlich ist zu empfehlen, dass Sie sich mit Ihrem IT-Dienstleister in Verbindung setzen und mit diesem abklären, inwieweit er die ungewollte Datenübermittlung an Microsoft, insbesondere von Telemetriedaten, technisch unterbinden kann. Alleine um überhaupt eine Datenschutzfolgenabschätzung durchführen zu können, muss sich jedes Unternehmen, welches dieses Produkt verwendet, darüber im Klaren sein, welche Datenverarbeitungsvorgänge bei Nutzung hierbei stattfinden. Auch ist zu erwägen, ob ein Umstieg auf die vom LfDI als datenschutzkonform angesehenen Datenverarbeitungsprogramme möglich ist.

Vielfach wird aber weder ein Umstieg auf datenschutzkonforme Konkurrenzprodukte so einfach möglich sein und die in der Orientierungshilfe zur Übermittlung von personenbezogenen Daten in Drittländer vorgeschlagene Verhaltensweise, z.B. in Form von ergänzend vereinbarten Klauseln, oder sonstigen weiteren Garantien, werden ebenfalls nicht mit den großen US-amerikanischen IT-Unternehmen vereinbart werden können. Schließlich handelt es sich nicht bei jedem Microsoft Kunden dann um eine Landesbehörde oder ein Landesministerium.

Dann bleibt natürlich nur noch abzuwarten, ob der Hersteller, also Microsoft, seine Produkte in Abstimmung mit den Aufsichtsbehörden so nachbessert, dass diese datenschutzkonform verwendet werden können.

Unter dem Blickwinkel der Datenschutzkonformität ist dies natürlich nicht der sicherste Weg. Denn es gibt keine Übergangsfristen, die den Unternehmen Zeit lassen würden, sich auf dem Status quo auszuruhen, sondern der Datenschutz erfordert es auch schon jetzt, soweit ein Missstand erkannt ist, unmittelbar zu handeln.