Auslegungssache 118: Datenschutz-Minenfeld Microsoft 365?
Lässt sich die Microsoft-365-Produktwelt in Unternehmen und Behörden DSGVO-konform einsetzen? Wo die Knackpunkte liegen und was die Aufsichtsbehörden sagen.
- Holger Bleich
Kaum ein Thema ist in der Datenschutzwelt so umstritten wie der Einsatz von Microsoft 365. Kritiker sehen in der kaum überschaubaren Produktwelt von Microsoft jede Menge Reibungspunkte mit der DSGVO, zumal Kerndienste wie Sharepoint und Teams reine Cloudservices sind und damit personenbezogene Daten auf Microsofts Servern in Irland oder gar in den USA lagern.
Europäische Datenschutzbehörden arbeiten sich seit Jahren an den Datenschutzerklärungen und Vertragsgestaltungen ab, die Microsoft anbietet. Die deutsche Datenschutzkonferenz (DSK) hatte sich zuletzt Ende 2022 nach langen Untersuchungen darauf festgelegt, dass sie zu diesem Zeitpunkt einen datenschutzkonformen Betrieb von Microsoft 365 nicht nachweisen konnte. Der niedersächsische Landesdatenschutzbeauftragte dagegen attestierte dem Landesinnenministerium im April 2024 eine akzeptable Vereinbarung mit Microsoft, sodass die Landesbehörden zumindest Microsoft Teams einsetzen können, ohne Konflikte mit der zuständigen Datenschutzbehörde befürchten zu müssen.
Mögliche Knackpunkte
Im c't-Podcast beschäftigen sich Redakteur Holger Bleich und heise-Justiziar Joerg Heidrich mit dem gesamten Komplex aus Datenschutzperspektive. Ziel ist es, zu Antworten zu kommen, die Behörden und Unternehmen einen Weg weisen können. Dafür haben sie mit Dr. Olaf Koglin eine ausgesprochenen Spezialisten für genau diese Thematik hinzugezogen. Jurist Koglin berät mit seinem Unternehmen Legal Check Behörden und Unternehmen in Sachen Datenschutz, die Microsoft 365 rechtssicher einsetzen möchten.
Zunächst definieren die drei mögliche Knackpunkte, die immer wieder angesprochen sind: Microsofts Verarbeitungsverträge, das Data Protection Addendum (DPA), und die darin aufgeführten Zwecke, Verantwortlichkeiten und Datentransfers. Kritiker monieren unter anderem, dass Daten in die USA abfließen, die Verwendung von Telemetriedaten ungenügend geklärt ist, die IT-Sicherheit nicht ausführlich beschrieben ist und Microsoft die Verarbeitungszwecke nicht abschließend darstellt.
Rechtskonformer Einsatz möglich
Dann geht es um die Stellungnahmen von Aufsichtsbehörden, an denen Koglin teilweise einiges auszusetzen hat. Er erklärt außerdem, worum es bei einem gerade laufenden Verfahren zum Thema in der EU selbst geht. Generell ist sich Koglin aber sicher, dass man die gesamte Microsoft-365-Produktwelt datenschutzkonform einsetzen kann. Neue Probleme entstünden allerdings gerade mit der allmählichen Einführung der KI-Copiloten in die Produkte.
Episode 118:
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Podcast (Podigee GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Podigee GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Hier geht es zu allen bisherigen Folgen:
(hob)
