Microsoft 365 DSGVO

Datenschutz und DSGVO bei Microsoft 365: Alles eine Frage der Einstellung

Rund 53.500 Unternehmensangestellte in Deutschland nutzen Microsoft 365, weltweit wird das beliebte Software-Paket von mehr als einer Million Firmen eingesetzt (Stand Juni 2021). Die Anzahl der täglichen Nutzer allein von Microsoft Teams beläuft sich auf rund 145 Millionen Menschen weltweit (Stand April 2021), das sind 30 Millionen mehr als im Oktober 2020. (1)

Dennoch poppt immer wieder die Frage auf

Ist Microsoft 365, da ja ein US-Unternehmen, DSGVO-konform?

Gerade erst warnte Niedersachsens Landesdatenschutzbeauftragten Barbara Thiel davor, Microsoft 365 zu nutzen. (2)

Warum Microsoft 365?

Weil es einfach praktisch ist. Denn MS Microsoft Office kombiniert alle vorhandenen Online-Anwendungen wie:

  • Word (Textverarbeitung)
  • Excel (Tabellenkalkulation)
  • PowerPoint (Präsentationen)
  • OneNote (Notizen)
  • Outlook (E-Mail-Programm, Termin- und Kontaktverwaltung)
  • Publisher (Desktop-Publishing)
  • Sway (Web-Präsentationen) und
  • Access (Datenbanken)

Kein Server notwendig, da Microsoft 365 cloudbasiert weltweit funktioniert

Dabei ist kein Server notwendig, da sämtliche Lösungen cloudbasiert sind. Das wiederum ermöglicht ein ideales Arbeiten von überall auf diversen Geräten wie PC, Mac, Pad, Handy, Laptop – und das in der jeweiligen aktuellen Version. Ein Zugriff auf sämtliche E-Mails, Dateien und Programme ist weltweit möglich, sobald ein Internet-Zugang besteht. Gleichzeitig ist es selbstverständlich, sämtliche Dokumente auch lokal zu speichern und damit offline zu arbeiten. (3)

Teams ermöglicht dabei beispielsweise ein einfaches und gemeinsames mobiles Arbeiten diverser MitarbeiterInnen, die – egal wo sie sind – Zugriff auf den Online-Speicher besitzen und Dokumente zusammen bearbeiten können. So hat jede/r immer die aktuellste Version. Das Hin- und Herschicken von Dateien per E-Mail – und somit Ursache diverser Fehlerquellen – entfällt.

Auch Updates müssen nicht eigeninitiativ heruntergeladen und ausgeführt werden. Liegt eine neue Version vor, erfolgt die Aktualisierung automatisch, Sicherheitslücken werden mit sogenannten „Patches“ (Flicken) gestopft. (3)

Microsoft garantiert Unternehmen von Anfang an eine sehr hohe Ausfallsicherheit und Verfügbarkeit von 99,9 %. Ein Datenverlust ist daher äußerst unwahrscheinlich. Vor allem, wenn der/die NutzerIn regelmäßig die Daten nicht nur online, sondern auch auf externen Speicherquellen sichert. Daher ist ein Datenverlust sogar unwahrscheinlicher als bei der eigenen Unternehmenshardware. Außerdem werden alle Daten aus Europa in europäischen Rechenzentren gespeichert, was den Vorgaben der europäischen Datenschutz-Grundverordnung entspricht. Auf Wunsch kann das Speichern der Daten sogar in zwei Rechenzentren in Deutschland erfolgen. (4)

Kritiker bemängeln den unzureichenden Datenschutz. Da Microsoft ein US-Konzern ist, unterliegen sämtliche indessen Cloud gespeicherte Daten dem Patriot Act. Dieses im Jahre 2001 erlassene Antiterrorgesetz besagt, dass Internet- und Telefonüberwachung ohne Richterbeschluss durch Geheimdienste erlaubt sind. Mit europäischen Datenschutzbestimmungen sind außerdem Produktivitätsüberwachungen einzelner Mitarbeiter, die jedoch abgeschaltet werden können, kaum vereinbar. Microsoft hat aber schneller als andere große IT-Unternehmen reagiert und seine Verträge mit Kunden mit dem Update des Data Protection Addendums (DPA) vom 9. Dezember 2020 angepasst und berücksichtigt in diesen das Urteil des Europäischen Gerichtshofs (EuGH) und die Empfehlungen des Europäischen Datenschutzausschuss (EDSA).

Fakt ist, an Microsoft, dem globalen Marktführer im Bereich der Office-Produkte kommt kaum ein Unternehmen vorbei. Da der Software-Hersteller aus Redmond mit den europäischen Datenschutz-Behörden kooperiert, ist zu erwarten, dass sich die Probleme lösen lassen werden.“ (4)

Mit Microsoft 365 erhalten Sie immer die aktuelle Version von Microsoft Office.
Sie erhalten zusätzlich 1 TB Speicher pro angemeldetem Nutzer bei Microsofts Cloud-Dienst OneDrive. Microsoft erlaubt, dass Sie Office 365 je nach Paket auf bis zu fünf Rechnern gleichzeitig installieren. Ihre Dokumente und Einstellungen werden über alle Geräte hinweg synchronisiert, wenn Sie sich mit Ihrem Microsoft-Konto anmelden. Weiter bietet der Anbieter für die volle Abonnement-Laufzeit technischen Support per Chat und Telefon. Für Unternehmen, die jetzt einen Vertrag abschließen, verspricht Microsoft DSGVO-konforme und sichere Datenspeicherung auf deutschen Servern. (5)

Aber noch mal die Frage: Ist Microsoft 365 für Unternehmen nicht zulässig, weil es das Datenschutzrecht nicht zulässt? Ein solches Szenario erscheint nicht nur wenig praktikabel, sondern ein genauer Blick in die Datenschutz-Grundverordnung (DSGVO) zeigt: Es lässt sich auch rechtlich kaum begründen. Um die aber durchaus vorhandenen Datenschutzrisiken einzudämmen, sind Unternehmen in aller Regel dazu verpflichtet, vor dem Einsatz von Office 365 im Unternehmen eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen. Dies bedeutet aber nicht bloß zusätzlichen Aufwand, sondern bringt auch Vorteile mit sich: die Übersicht und Dokumentation über Datenverarbeitungsprozesse, die Identifizierung von Problemen und die Vermeidung von Datenschutzvorfällen sowie den dazugehörigen Bußgeldern.

Aber zurück zu der Frage ob die erfassten Verarbeitungsvorgänge auch rechtmäßig erfolgen können. Am wichtigsten in diesem Zusammenhang sind die Verhältnismäßigkeit der Datenverarbeitungen sowie die Wahl einer passenden Rechtsgrundlage. Unternehmen erfüllen die Anforderungen an die Verhältnismäßigkeit unter folgenden Voraussetzungen:

  • Mit dem Einsatz von Microsoft 365 wird insgesamt ein legitimer Zweck verfolgt,
  • der Einsatz ist zum Erreichen des Zwecks geeignet,
  • es steht kein gleich wirksames, aber milderes Mittel zur Verfügung und
  • die Interessen der betroffenen Personen überwiegen nicht die des Unternehmens.

Der allgemeine und legitime Zweck von Microsoft 365 dürfte meist in der übergreifenden Zusammenarbeit im Unternehmen und mit Dritten liegen. Ansonsten variieren die Zwecke je nach Tool und den erfassten Daten. Diagnosedaten werden beispielsweise für die Fehlerbehebung erfasst, personenbezogene Daten bei OneDrive für die Synchronisation von Cloud und Endgerät. Als mildere Mittel sollten zum Beispiel datenschutzfreundlichere Alternativen anderer Anbieter geprüft werden. Auf sie muss aber nicht zwingend zurückgegriffen werden. Die DSGVO erkennt auch an, wenn andere Anbieter beispielsweise deshalb weniger geeignet sind, weil sie schlechter aufeinander abgestimmt sind als Microsoft 365 mit seinen unterschiedlichen Komponenten. Die Bewertung sowie die anschließende Abwägung der Interessen erfolgen streng nach Einzelfall.

Dazu kommt: Über diverse Einstellungen können Unternehmen noch weitere Möglichkeiten ausschöpfen, um das Datenschutzrisiko von Microsoft 365 zu reduzieren.

Fazit

Auch wenn die Nutzung von Microsoft 365 im Unternehmen vielfach kritisch gesehen wird, lässt sich ein rechtskonformer und sicherer Einsatz gut erreichen. Dass damit aufgrund der DSFA ein gewisser Aufwand verbunden ist, ist zwar richtig – aufgrund der datenschutzrechtlichen Risiken sollte sie aber sorgfältig durchgeführt werden und kann darüber hinaus zum eigenen Vorteil genutzt werden. Es können nicht nur Datenschutzverstöße und Bußgelder verhindert, sondern auch Prozesse optimiert und die Compliance im Unternehmen insgesamt verbessert werden. (6)

Fakt ist auch, dass seit Beginn der Corona-Krise Microsoft überall gefragt war, um externes Lernen zu ermöglichen. Daher ist das Unverständnis für Zweifel an der beliebten und erfolgreichen Software im Bildungswesen nachvollziehbar: „Während der monatelangen Schulschließungen in der Corona-Krise war Microsoft 365 oder Office 365 als Kommunikations- und Kollaborationsinstrument elementarer Bestandteil des Distanzunterrichts, der ohne die Software vielfach gar nicht möglich gewesen wäre. Hier jetzt nach Duldung durch den Datenschutz ein Verbot auszusprechen, kommt einer Rolle rückwärts bei der Digitalisierung gleich, wirft die Schulen um Jahre zurück und gefährdet letztlich auch die Berufsausbildung im Allgemeinen“, sagt Joachim Maiß, Vorsitzender des VLWN, der Bildungsgewerkschaft und speziellen Interessenvertretung der Lehrerinnen und Lehrer an kaufmännischen Schulen. (7)

So viel ist sicher: Wer Microsoft 365 rechtskonform nutzen möchte, muss selbst aktiv werden und die Forderungen der EU-DSGVO umsetzen. Zu den Pflichten jedes Unternehmens zählt deshalb die Datenschutz-Folgenabschätzung (DSFA). (8)

Sie finden das alles sehr kompliziert? Wir helfen Ihnen. Wie? Indem wir:

  • Ihren Vertrag mit Microsoft (wenn schon vorhanden) checken, um zu sehen, auf welchen Servern Ihre Daten gespeichert werden. Gegebenenfalls helfen wir Ihnen, diese auf deutsche Server umzuziehen und somit DSGVO-konform zu machen.
  • Vor Abschluss Ihres Office 365-Vertrags bieten wir Ihnen an, Sie bei einer Datenschutz-Folgenabschätzung (DSFA) zu unterstützen, damit Ihre Daten von Beginn an DSGVO-gerecht verarbeitet werden.
  • Wir checken Ihre Systeme und passen die Einstellungen so an, dass sie der Datenschutz-Grundverordnung (DSGVO) entsprechen, damit Sie Verwarnungen und Bußgelder vermeiden.

Rufen Sie uns an!
Telefon: 0511 6766898-0

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Nach oben scrollen