In unserem letzten Beitrag vom 22.09.2020 haben wir auf die Orientierungshilfe des LfDI Baden-Württemberg vom 07.09.2020 zur Übermittlung von personenbezogenen Daten in das Ausland aufmerksam gemacht, welche unter

https://www.baden-wuerttemberg.datenschutz.de/orientierungshilfe-des-lfdi-bw-was-jetzt-in-sachen-internationaler-datentransfer/

abrufbar ist.

In diesen Kontext muss nun auch die neue Pressemitteilung des LfDI vom 02.10.2020 zu Microsoft Office 365 eingeordnet werden. Nach derzeitiger Einschätzung des LfDI dürfte die Nutzung von Microsoft Office 365 nicht datenschutzkonform sein. Mit einer geringen Mehrheit von neun zu acht Stimmen der Landesbeauftragten für den Datenschutz, wurde Microsoft Office 365 als wohl nicht datenschutzkonform eingestuft. Allerdings wurde bisher Microsoft noch nicht die Gelegenheit zur Stellungnahme gegeben, was nun aber nachgeholt werden soll. Hierfür wurde extra eine Arbeitsgruppe eingesetzt, die zeitnahe Gespräche mit dem Hersteller aufnehmen soll.

Gerade im Hinblick auf die Problematik, dass bei Benutzung des Produkts Microsoft Office 365 eben auch personenbezogene Daten in die USA übermittelt werden, kann der Ausgang der endgültigen Bewertung des Produkts Microsoft Office 365 nur mit Spannung erwartet werden. Dies nicht zuletzt vor dem Hintergrund, dass dieses Produkt von tausenden Unternehmen - und im Übrigen auch Behörden - tagtäglich verwendet wird.

Aber worin ist die datenschutzrechtliche Problematik von Microsoft Office 365 zu sehen?

Zunächst einmal werden von den Nutzern von Microsoft Office 365 vielfach Cloud-Dienstleistungen in Anspruch genommen. Das bedeutet, dass in den Cloud-Servern von Microsoft gespeicherte Informationen, die vielfach personenbezogene Daten enthalten, möglicherweise dem ungehinderten Zugriff von US-Ermittlungsbehörden unterliegen, und dies eventuell auch dann, sollten diese Informationen innerhalb der EU gespeichert sein.

Ein weiteres Problem ist die Sammlung von personenbezogenen Informationen der Nutzer durch Sammeln von Telemetrie-Diagnosedaten. Die Rechtsgrundlage für die Erhebung dieser Daten ist den Landesbeauftragten für den Datenschutz nicht ausreichend erkennbar.

Unklarheit besteht scheinbar auch über die Arten der personenbezogenen Daten und der Zweck der Verarbeitung, welche von Microsoft verarbeitet werden. Dies gehe aus den Online Service Terms (OST) sowie dem Data Processing Addendum (DPA) nicht ausreichend hervor.

Sollten auch Sie Nutzer von Microsoft Office 365 sein, so sollten Sie jedenfalls die Entwicklung weiterhin im Auge behalten, da derzeit einiges dafür spricht, dass hierbei Datenverarbeitungsvorgänge stattfinden, für die es keine Rechtsgrundlage gibt.

Die Pressemitteilung des LfDI lässt sich unter folgendem Link aufrufen:

https://www.baden-wuerttemberg.datenschutz.de/gemeinsame-pressemitteilung-zu-microsoft-office-365/

Langweilig wird es im Datenschutz derzeit jedenfalls nicht.

Cornelius Weiß

Rechtsanwalt