Office 365 und DSGVO

Lesezeit: ca. 3 Minuten

Aktuell wird wieder intensiv diskutiert, ob Office 365 entsprechend den Vorschriften der EU-Datenschutzgrundverordnung (DSGVO) betrieben werden kann.

Office 365 und die Datenschutz-Folgenabschätzung

Das niederländische Ministerium für Justiz und Sicherheit hat in der Vergangenheit eine Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO extern in Auftrag gegeben, mit dem Prüfungsthema, inwieweit ein Einsatz von Office 365 datenschutzkonform möglich ist. Das beauftragte Prüfungsunternehmen stellte Ende 2018 fest, dass Office 365 nicht nach dem geltenden Datenschutzrecht betrieben werden kann. Insbesondere acht Aspekte wurden intensiv kritisiert, bspw. die Weitergabe von Diagnosedaten an Microsoft und das Sammeln von Daten im Sinne von Microsoft.

Es liegt nun eine aktualisierte Fassung der Datenschutz-Folgenabschätzung vor. Dabei ist aber deutlich darauf hinzuweisen, dass nur Office 365 ProPlus bewertet wurde. Nicht geprüft wurden die Webzugänge für Office 365 und auch die mobilen Anwendungen für Office 365. Hierzu gab es eine gesonderte Prüfung, die ebenfalls deutliche rechtliche Widersprüche zum Datenschutz und zu den Vorgaben der DSGVO feststellten. Die Bewertung zu Office 365 ProPlus kommen nunmehr zu dem Schluss, dass wohl ein datenschutzkonformer Einsatz möglich ist.

Verschiedene Datentypen bei Office 365

Bei der rechtlichen Betrachtung von Office 365 ist zwischen den Funktionsdaten, den Inhaltsdaten und den Diagnosedaten zu unterscheiden. Funktionsdaten sind notwendige Daten, um den Service Office 365 bereitstellen zu können. Hierzu gibt es in den Online Service Terms (OST) weitere Informationen von Microsoft. Wichtig ist, dass ein Auftragsverarbeitungsvertrag mit Microsoft gem. Art. 28 DSGVO abgeschlossen wird, da ansonsten die Weitergabe der personenbezogenen Daten an Microsoft keine Rechtsgrundlage hat.

Bei den Inhaltsdaten handelt es sich um die Daten, die ein Nutzer im Rahmen von Office 365 einstellt, bspw. Dokumente, E-Mails oder Präsentationsdaten für PowerPoint. In den Online Service Terms wird ausdrücklich darauf hingewiesen, dass die Verarbeitung solcher Kundendaten zu anderen Zwecken nicht gestattet ist.

Bei den Diagnosedaten finden sich bspw. Informationen zu der Dauer der Nutzung eines Office-Dienstes, verschiedene IDs und auch die Größe der bearbeiteten Dateien. Microsoft verweist darauf, dass diese Daten für die Bereitstellung und Verbesserung des Dienstes sowie die Aktualisierung notwendig sind. Auch Sicherheitsaspekte werden angeführt.

Microsoft verweist darauf, dass diese Daten nicht für Datenanalyse, Marktforschung, Werbung und ein Profiling genutzt werden. Hierzu sind aber ausdrückliche Einstellungen, bezogen auf die Übermittlung von Diagnosedaten, notwendig. Microsoft bietet die Wahl zwischen „Optimal“, „Erforderlich“ und „Keine“. Nur bei „Keine“ werden die Diagnosedaten nicht übermittelt. Davon ausgenommen sind die notwendigen Diagnosedaten für Lizenzprüfungen.

Daneben gibt es sogenannte „Connected Experiences“, bspw. Übersetzungen oder Rechtschreibprüfungen. Auch diese Funktionalität kann deaktiviert werden.

Empfehlungen für die Umsetzung der DSGVO bei Anwendung Office 365

Wichtig ist in der Praxis, dass beim Einsatz und Betrieb von Office 365 aktive Einstellungen vorgenommen werden, um die Datenschutzkonformität sicherzustellen. Insbesondere die Beschränkung der Diagnosedaten ist notwendig. Auch bei den Connected Experiences sind ausdrückliche Voreinstellungen vorzunehmen.

Vertrag zur Auftragsverarbeitung bei Office 365 notwendig

Ohne einen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO kann insgesamt Office 365 nicht nach den Vorgaben der DSGVO betrieben werden.

Die Anwendung von Office-Online und Office-Mobile bedarf noch einer gesonderten Prüfung.

Insgesamt ist das Thema nach wie vor kritisch, wie auch eine Stellungnahme des hessischen Beauftragten für Datenschutz und Informationsfreiheit vom 15.07.2019 zeigt. In dieser Stellungnahme wurde zunächst der Einsatz von Office 365 in den hessischen Schulen untersagt. Wenige Wochen später wird der Einsatz aber zumindest von der Landesdatenschutzaufsicht in Hessen geduldet.

Die entsprechende Verwendung von Office 365 sollte daher intensivst dokumentiert werden. Insbesondere im Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO bedarf es ausführlicher Darstellung und Abwägung, warum im konkreten Fall in der Behörde oder im Unternehmen Office 365 datenschutzkonform betrieben werden kann.

 
1 Star2 Stars3 Stars4 Stars5 Stars 2 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Cookies werden von unserer Seite nur gesetzt, wenn Sie akzeptieren anklicken. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen