Icon Datenschutzbeauftragter
Datenschutz

Einsatz von Microsoft 365 & Cloud-Lösungen

Mariusz Bucki
Verfasst von: Mariusz Bucki
Berater für IT-Sicherheit und Datenschutz

Die Softwareprodukte der Firma Microsoft, allen voran „Microsoft 365“ (früher „Office 365“), wandern mehr und mehr in die „Cloud“ – ein Trend, der auch bei vielen anderen Anbietern zu beobachten ist. Das hat für die Anwender viele Vorteile, als Nebeneffekt bedeutet es aber einen gewissen Kontrollverlust hinsichtlich der verarbeiteten Daten und damit u.U. Probleme bei der Datenschutz-Compliance.

 


Unsere aktuellen Blogbeiträge verwenden eine gendergerechte Sprache. Beiträge vor dem 01.01.2023 haben wir nicht nachträglich überarbeitet. Grundsätzlich legen wir Wert darauf, eine inklusive und respektvolle Kommunikation zu fördern. Vielen Dank für Ihr Verständnis.­­


 

Wo liegt das Problem?

Mit Hilfe der von Microsoft angebotenen Anwendungen wie Exchange, OneDrive und SharePoint wird die cloudbasierte Nutzung bekannter Produkte wie Excel, Outlook, Power Point, Word oder Teams ermöglicht, d.h. Daten (oder auch die Software selbst) werden nicht mehr nur lokal, sondern via Internet auf externen Rechnernetzwerken gespeichert, die prinzipiell überall auf der Welt stehen können. Bei US-amerikanischen Firmen ist der Standort in der Regel Nordamerika.

Die Datenübertragung in die USA ist durch sog. EU-Standardvertragsklauseln legitimiert. Allerdings ist es aufgrund des „CLOUD Act“ US-amerikanischen Behörden unter bestimmten Bedingungen offiziell möglich, auf von inländischen IT-Dienstleistern verarbeitete personenbezogene Daten zuzugreifen – und zwar unabhängig davon, wo sich der Sitz des Datenverantwortlichen befindet. Das gilt sogar dann, wenn die Daten zwar in Europa gespeichert, die Cloud aber von einem US-Unternehmen betrieben wird.

Zudem ist bekannt, dass beispielsweise der technische Support von Microsoft auch aus als unsicher im Sinne der DSGVO klassifizierten Drittländern (wie z.B. Indien) erfolgt oder Telemetriedaten übermittelt werden, die als personen­bezogene Daten klassifiziert sind.

Kann Microsoft 365 überhaupt datenschutzrechtkonform eingesetzt werden?

Die gewerbliche Nutzung von Microsoft 365 steht also grundsätzlich im Widerspruch zur DSGVO und den kirchlichen Datenschutzgesetzen (DSG-EKD und KDG).

Beim Einsatz von Microsoft 365 entstehen ggf. Datenübertragungen ohne Rechtsgrundlage. Ein Verantwortlicher kann Datenverarbeitungen grundsätzlich nicht vollends bestimmen bzw. kontrollieren. Nicht alle Informationspflichten können eingehalten und nicht alle Betroffenenrechte gewährleistet werden.

Das spricht gegen eine Auftragsverarbeitung und für getrennte Verantwortlichkeit i.S.d. Art. 4 Nr. 7 DSGVO, die auch in den Online-Nutzungsbedingungen (OST) durch Microsoft teilweise widergespiegelt wird. Die Durchsetzung von Betroffenenrechten und Haftungsfragen ist allerdings weiterhin nicht endgültig geklärt. Entgegen der öffentlichen Annahme ist aber keine gemeinsame Verantwortlichkeit (Art. 26 DSGVO) geregelt.

Was also tun?

Aus datenschutzrechtlicher Sicht ist der Einsatz von Microsoft 365 als Cloud-Lösung aktuell nicht unproblematisch. Ein wichtiger Faktor ist z.B. die Art der verarbeiteten Daten und insb. ob es sich um besondere Kategorien personenbezogener Daten i.S.v. Art. 9 DSGVO handelt, an deren Verarbeitung erheblich höhere Anforderungen gestellt werden. Es empfiehlt sich daher in jedem Fall eine dokumentierte Risikoabwägung und -entscheidung. Je nach individueller Sachlage kann das dazu führen, dass

  • personenbezogene Daten nur lokal gespeichert werden dürfen, was erheblichen administrativen Aufwand bedeutet,
  • das Risiko der Einsichtnahme durch US-Behörden und die unsichere rechtliche Beurteilung hinsichtlich der Verantwortlichkeit bei der Verarbeitung besonderer Kategorien personenbezogener Daten akzeptiert werden muss,
  • eine Zusatzvereinbarung für Berufsgeheimnisträger mit Microsoft abgeschlossen werden muss (§ 203 StGB).

Dennoch sollte, je nach Berufsstand sowie den individuellen Umständen und Zuständigkeiten von einzelnen Aufsichtsbehörden, eine Risikoprüfung im jeweiligen Fall vorgenommen werden; eine Datenschutz-Folgenabschätzung ist also dringend angeraten.

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.