Ist die Nutzung von Microsoft 365 DSGVO-konform?
© Kirsten Davis/peopleimages.com / Adobe Stock

13. Februar 2023

Ist die Nutzung von Microsoft 365 DSGVO-konform?

Kategorien: Unkategorisiert

Inhaltsverzeichnis

Microsoft 365, ehemals Microsoft Office 365, ist eine weitverbreitete Software, die sowohl privat als auch gewerblich genutzt wird. Schon seit Jahren wird kritisiert, dass Cloud-Angebote wie Outlook, Word, PowerPoint oder Excel nicht mit der europäischen Datenschutzgrundverordnung (DSGVO) vereinbar sind. Noch im November 2022 teilte die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) mit, dass die Nutzung von Microsoft 365 nicht mit den Vorgaben der DSGVO vereinbar ist. Zum Jahreswechsel traten Änderungen von Microsofts Datenschutzbestimmungen in Kraft. Ist die Kritik an Microsoft damit hinfällig?

Microsoft 365: Langjährige Widersprüche zur DSGVO

Bereits im September 2020 stellte die DSK fest, dass die cloudbasierten Produkte von Microsoft 365 nicht mit dem europäischen Datenschutzrecht vereinbar sind. Die Analyse erfolgte auf Grundlage der Online Service Terms sowie des Data Processing Addendum (DPA) von Microsoft. Dabei wurden die Geschäftsbedingungen und der Datenschutznachtrag an Art. 28 DSGVO gemessen und scheiterten. Im September 2022 stellte Microsoft eine aktualisierte DPA vor. Auch zu dieser nahm die DSK im November 2022 Stellung und sparte weiterhin nicht an Kritik. Zwar gebe es Verbesserungen, aber es fehle immer noch an der notwendigen Transparenz, hieß es.

Microsoft 365: Die Stellungnahme der Datenschutzkonferenz

Die Datenschutzkonferenz (DSK) übte in drei zentralen Punkten weitreichende Kritik:

  1. Microsoft habe immer noch nicht ausreichend klargestellt, in welchen Fällen sie als Auftragsverarbeiter und in welchen als Verantwortliche tätig werden.
  2. Es werde nicht vollumfänglich dargestellt, welche Daten im Einzelnen verarbeitet werden.
  3. Das Weisungsrecht des Kunden in Bezug auf Offenlegungen der im Auftrag verarbeiteten Daten ist weiterhin stark eingeschränkt.

Damit genüge die Weisungsbindung Microsofts nicht den gesetzlichen Mindestanforderungen gemäß Art. 28 Abs. 3 U Abs. 1 S. 2 Buchstabe a DSGVO. Die Umsetzung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO sei nur auf wenige Datenkategorien beschränkt und damit unzureichend. Die Ausgestaltung der Rückgabe- und Löschverpflichtung entspreche nicht in jedem Fall den gesetzlichen Anforderungen aus Art. 28 Abs. 3 UAbs. 1 Satz 2 Buchstabe g DSGVO. Verantwortliche könnten wegen der Unklarheit der Regelungen ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 i.V.m. Art. 5 Abs. 1 Buchstabe a DSGVO nicht nachkommen. Es gebe keine ausreichenden Informationen über Unterauftragsdatenverarbeiter.

Was sagt die Datenschutzkonferenz zur Nutzung von Microsoft 365?

Die DSK stellte ausdrücklich klar, dass Einrichtungen wie Ämter, Schulen und Unternehmen die Produkte mit Cloud-Verbindung nicht rechtskonform einsetzen könnten. In jedem Fall sind zusätzliche Schutzvorkehrungen notwendig.

Microsoft wehrte sich gegen diese Einschätzung in einer Stellungnahme und nannte die Bewertungen der DSK „extrem“ und „technologiefeindlich“.

Warum ist die Nutzung von Microsoft 365 problematisch?

Insbesondere die Datenübermittlung an Drittstaaten, vorwiegend den USA, stellte ein zentrales Problem der Datenschutzkonformität von Microsoft 365 dar. Seit den EuGH Urteilen Schrems I und Schrems II aus 2015 und 2020 scheiterten die Versuche ein Datenschutzabkommen in Form von Safe Harbor und Privacy Shield mit den USA. Der festgestellte Status war, dass Europa und die USA kein gleichwertiges Datenschutzniveau haben und eine Übertragung von Daten in die USA problematisch ist.

Seit 01.01.2023 gilt auch bei Microsoft die EU-Datengrenze

Als Reaktion kündigte Microsoft bereits im Mai 2021 die häufig geforderte EU-Datengrenze an. Seit dem 01.01.2023 bieten manche Produkte die Möglichkeit zur ausschließlichen Datenspeicherung auf Servern im EU-Raum. Eine Übertragung in die USA wird damit vermieden. Dies gilt zunächst nur für Kundendaten. Bis Ende 2023 sollen auch pseudonymisierte personenbezogene Daten nicht mehr in den USA gespeichert werden. 2024 soll dies dann auch für Daten aus dem technischen Support umgesetzt werden.

Rechtliche Probleme bereitet immer noch der CLOUD Act von 2018. Danach sind US-Firmen verpflichtet, Zugriff auf gespeicherte Daten zu gewährleisten, wenn das von Geheimgerichten beschlossen wird. Das gilt auch für die Speicherung von Daten außerhalb der USA.

Microsoft 365 ist problematisch für Berufsgeheimnisträger

Auch die Bundesrechtsanwaltskammer (BRAK) hat einen offiziellen Hinweis zur Nutzung der Microsoft-Cloud-Dienste veröffentlicht. Bereits im Februar 2021 wurden die Mitglieder darauf aufmerksam gemacht, dass die Vertraulichkeit von Mandatsinformationen § 43a Abs. 2 und 43e BRAO, § 2 BORA, 203 Abs. 1 Nr. 3 StGB nicht gewährleistet sein könne. Zudem bestehen weitere Anforderungen hinsichtlich möglicher Übermittlungen von Informationen ins Ausland (§ 43e Abs. 4 BRAO). Ob die Vertraulichkeit beim Einsatz von Microsoft Office gewährleistet werde und die zusätzlichen Anforderungen des § 43e BRAO eingehalten werden, konnte die Kammer nicht abschließend beantworten. Die BRAK hat ihr Hinweisblatt im Januar 2023 aktualisiert und wartet nun ab, ob die Datenschutzkonferenz (DSK) Stellung zu den Neuerungen beziehen wird.

Microsoft betrachtet die Möglichkeit einer Nutzung durch Berufsgeheimnisträger für gegeben und bietet den Abschluss einer entsprechenden Verschwiegenheitsvereinbarung an.

Unsere Einschätzung

Ob sich das Urteil der DSK nach dem letzten Update des Datenschutznachtrages von Microsoft ändert, bleibt abzuwarten. Das Ping-Pong-Spiel zwischen Microsoft und den Aufsichtsbehörden geht in die nächste Runde.  Mit jedem Spielzug werden aufsichtsbehördliche Maßnahmen wahrscheinlicher. Dazu gehört etwa eine Pflicht für Verantwortliche zur Erbringung schwer erstellbarer Nachweise der rechtskonformen Nutzung. Unternehmen, die Microsoft 365 verwenden, sind selbst für den rechtlich-konformen Einsatz der Anwendungen verantwortlich. Das müssen sie auf Aufforderung auch nachweisen. Das Risiko liegt also bei den Nutzern.

Wenn Sie Fragen zur gewerblichen Nutzung von Microsoft 365 haben, melden Sie sich gerne bei uns.

Marcus Büscher

Partner, Rechtsanwalt, Fachanwalt für Handels- und Gesellschaftsrecht

Expert:innen zu diesem Thema

Keine passenden Personen gefunden.

Das könnte Sie auch interessieren

  • Wir verbreitern unser Spektrum: Effektive Lösungen durch IT Consulting

    Viele unserer Mandant:innen haben Bedarf an IT-Dienstleistungen, sei es bei der Entwicklung von IT-Strategien, der Durchführung von Digitalisierungsprojekten oder der Optimierung von Geschäftsprozessen. Auch wir als Rechts- und Steuerberatung sind auf gute IT-Prozesse angewiesen. Damit unsere Mandant:innen die bestmögliche Unterstützung [...]

    Bruno Höveler

    29. Jun 2023

  • Streik: Warum das Tarifeinheitsgesetz bei der Bahn nicht gilt 

    Die Lokführergewerkschaft GDL legte im Tarifstreit mit der Bahn mit zahlreichen Streiks immer wieder Teile des öffentlichen Verkehrs lahm. Das Streikrecht polarisiert momentan stärker denn je. Eine etwas weiter gehende Sachfrage ist, warum die GDL überhaupt die Bahn bestreiken darf. [...]

    Marcus Büscher

    20. Mrz 2024

  • Die Liquidation von Kapitalgesellschaften, GmbH, AG oder UG, hat steuerliche Folgen. Sie ergeben sich einmal bei der Gesellschaft selbst, aber auch bei den Anteilseignern. Im vierten Teil der Serie zur Liquidation von Kapitalgesellschaften finden Sie die Grundlagen der Liquidationsbesteuerung in [...]

    Lars Rinkewitz

    09. Nov 2022