Die Datenschutzkonferenz der deutschen Aufsichtsbehörden hat Ende 2022 in einer Stellungnahme festgehalten, dass aus ihrer Sicht der Nachweis einer datenschutzkonformen Nutzung von Microsoft 365 durch die Verantwortlichen mit den vorliegenden (Vertrags-)Unterlagen nicht zu erbringen ist.
Damit wäre ein rechtskonformer Einsatz des Cloud-Dienstes Microsoft 365 nicht möglich, insbesondere von Microsoft Teams und OneDrive.
Unter anderem wird die Zugriffsmöglichkeit der amerikanischen Sicherheitsbehörden auf die in den USA verarbeiteten personenbezogenen Daten moniert und die Verarbeitung personenbezogener Daten für Microsoft-eigene Zwecke u.a. die umfangreichen Telemetriedaten sowie die fehlende Nachvollziehbarkeit der Datenflüsse.
Microsoft hat der Stellungnahme umgehend widersprochen und die DSGVO-Konformität betont, und dass Microsoft mittlerweile zusätzliche Maßnahmen umsetzt, bspw. eine „EU Data Boundary“, die sicherstellt, dass die Inhaltsdaten nur auf Servern in der EU verarbeitet werden. Dieses wurde in einem sogennanten „Datenschutznachtrag “ von Microsoft fixiert.
Die Brandenburger Aufsichtsbehörde stellt dazu in Ihrem Jahresbericht 2022, Seite 82-85 allerdings fest:
„Der Hauptkritikpunkt bei der Nutzung von Microsoft 365 bleibt aber trotz Änderungen im Datenschutznachtrag bestehen: Microsoft verarbeitet personenbezogene Daten aus der Auftragsverarbeitung immer noch für eigene Zwecke, ohne dies hinreichend transparent und nachvollziehbar darzustellen.
(…)
Öffentliche Stellen (z. B. Behörden oder Schulen in öffentlicher Trägerschaft) haben beim Einsatz von Microsoft 365 das zusätzliche Problem, dass sich deren Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten typischerweise aus der Erfüllung öffentlicher Aufgaben oder aus spezialgesetzlichen Regelungen ergeben. Die Weitergabe personenbezogener Daten an Microsoft, damit sie dort für eigene „Geschäftstätigkeiten“ verarbeitet werden, kann durch derartige Rechtsgrundlagen nicht legitimiert werden.“
Position der Zentren für Kommunikation und Informationsverarbeitung in Lehre und Forschung e.V. (ZKI)
Die ZKI fordern im Positionspapier die Datenschutzaufsichtsbehörden auf, konstruktiv zusammen mit dem Anbieter Microsoft eine gemeinsame Lösung zu finden.
Es wird festgestellt, dass Cloud-Lösungen für Hochschulen unverzichtbar sind, nicht zuletzt da die Anbieter ihre Produkte zunehmend auf Cloud-Lösungen umstellen und der Betrieb alternativer Tools durch die Hochschulen selbst zumeist nicht leistbar ist – aufgrund der wenigen verfügbaren Personalressourcen sollte sich die IT-Unterstützung auf die umfangreichen eigentlichen Aufgaben der Hochschulen beschränken.
Was nun?
Es erscheint unausweichlich, dass Microsoft 365 künftig auch an Hochschulen zum Einsatz kommt. Für eine datenschutzkonforme und rechtssichere Nutzung sollten die Kritikpunkte allerdings von Microsoft ausgeräumt werden.
Möglicherweise ist eine datenschutzkonforme Nutzung der Online-Tools nicht mit technischen Maßnahmen durchsetzbar, so dass flankierende organisatorische Maßnahmen die Lücke füllen müssen (z.B. in Form von Dienstanweisungen).
Auch die Nutzung der Desktop-Apps als „Offline-Version“ von Microsoft 365 scheint datenschutzrechtlich nicht unkompliziert zu sein, da einige Funktionen wie das „automatische Speichern“ nur in Verbindung mit Microsofts Cloud-Speicher „OneDrive“ funktionieren.
Letztlich können wir nur hoffen, dass es zu einer datenschutzrechtlich akzeptablen Lösung kommt. Immerhin hat die Datenschutzkonferenz (DSK) im Frühjahr 2023 die Arbeitsgruppe MS 365 reaktiviert um eine erneute Prüfung vorzunehmen.
Insofern scheint derzeit eine Einigung und damit auch eine Lösung nicht ausgeschlossen zu sein.
MS 365 an der TU Berlin:
Microsoft 365 ist zwar von der TU Berlin u.a. für die dienstliche Nutzung lizensiert, die datenschutzrechtlichen Prüfung ist bislang aber noch nicht abgeschlossen und Microsoft 365 ist nicht für die dienstliche Nutzung freigegeben.
Derzeit wird geprüft, welche Tools/Dienste zum Einsatz kommen sollen. Die Auswahl soll in der nächsten Zeit erfolgen, so dass dann für diese die datenschutzrechtliche Prüfung vorgenommen werden kann.
Weitere Informationen
- ZKI: Position der Universitäten und Hochschulen zur „DSK-Stellungnahme zum Einsatz von Microsoft 365“ v. 12.4.2023
- Datenschutzkonferenz, AG „Microsoft-Onlinedienste“ Zusammenfassung der Bewertung der aktuellen Vereinbarung zur Auftragsverarbeitung v. 24.11.2022
- Brandenburger Landesbeauftragte für Datenschutz und Akteneinsicht: Tätigkeitsbereich 2022 (Zu MS 365 ab S. 82)
- ZE Campusmanagement der TU Berlin: Microsoft 365 (ehemals Office 365)