Das The­ma der daten­schutz­recht­li­chen Zuläs­sig­keit des Ein­sat­zes von Office 365 ist nach wie vor außer­or­dent­lich kom­plex und noch lan­ge nicht abschlie­ßend ent­schie­den. Da die cloud­ba­sier­ten Online-Dienste und Office-Webanwendungen inzwi­schen eine hohe Ver­brei­tung haben, ist es für Ver­ant­wort­li­che im Daten­schutz und in den Geschäfts­füh­run­gen oft erfor­der­lich, die zum Teil wider­sprüch­li­chen Ent­wick­lun­gen der euro­päi­schen Auf­sichts­be­hör­den im Blick zu behalten. 

 

Ein daten­schutz­kon­for­mer Ein­satz der Offie365-Löungen ist, bei ana­lo­ger Anwen­dung der Stel­lung­nah­me des Hes­si­schen Beauf­trag­ten für Daten­schutz und Infor­ma­ti­ons­frei­heit und wenn über­haupt, nur bei ent­spre­chen­der Para­me­tri­sie­rung möglich.

Daten­über­mitt­lung an Microsoft-Server in den USA

Ein wesent­li­ches Grund­pro­blem der Office365-Anwendungen bleibt, dass nach wie vor eine Daten­über­mitt­lung an Microsoft-Server in den USA nicht aus­ge­schlos­sen wer­den kann. Zwar hat die Micro­soft Cor­po­ra­ti­on eine aktu­el­le Pri­va­cy Shield Zer­ti­fi­zie­rung (aktu­el­le Lauf­zeit bis 30. Sept. 2020) sowohl für Nicht-HR- wie auch für HR-Daten, die Zuläs­sig­keit der bis­lang rechts­kon­for­men Daten­über­mitt­lung auf Basis des Pri­va­cy Shield-Abkommens liegt jedoch der­zeit mit unge­wis­sem Aus­gang zur Ent­schei­dung beim EuGH. Als wei­te­res Risi­ko kommt der Cloud Act (Cla­ri­fy­ing Lawful Over­se­as Use of Data Act) hin­zu, der US-Behörden Zugriff auf gespei­cher­te Daten von US-Unternehmen gewährt, auch wenn die­se außer­halb der USA gehos­tet wer­den. Hier stün­de ein Ver­stoß gegen Arti­kel 48 DSGVO im Raum.

Nach­bes­se­run­gen von Micro­soft ermög­li­chen nach wohl h.M. den Ein­satz von Office365

Nach­dem das Nie­der­län­di­sche Minis­te­ri­um für Jus­tiz und Sicher­heit in sei­ner Daten­schutz­fol­gen­ab­schät­zung Ende 2018 zu dem Ergeb­nis kam, dass Office365-Anwendungen die gesetz­li­chen For­de­run­gen der DSGVO nicht erfül­len, kam eine erneu­te Unter­su­chung mit Datum vom 22. Juli 2019 zu dem Ergeb­nis, dass Office365 Pro­Plus in der Ver­si­on 1905 zuläs­sig sei („the­re are no more known high data pro­tec­tion risks for data sub­jects rela­ted to the coll­ec­tion of data about the use of Micro­soft Office 365 Pro­Plus.“). Die Zuläs­sig­keit sei auch bereits in der Ver­si­on 1904 gege­ben. Für Office Online und die Mobi­le Office Apps kommt eine sepa­ra­te Unter­su­chung im Auf­trag des Nie­der­län­di­sche Minis­te­ri­um für Jus­tiz und Sicher­heit vom 23. Juli 2019 hin­ge­gen zu dem Ergeb­nis, dass wegen der noch immer gege­be­nen Risi­ken ein daten­schutz­rechts­kon­for­mer Ein­satz nicht mög­lich sei.

Hes­si­sche Beauf­trag­te für Daten­schutz bringt Bewe­gung in die Diskussion

Der Hes­si­sche Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit hat inzwi­schen vor die­sem Kon­text sein Ver­bot des Ein­sat­zes von Office365 an hes­si­schen Schu­len in sei­ner Stel­lung­nah­me vom 09. Juli 2019 dahin­ge­hend modi­fi­ziert, dass er mit Stel­lung­nah­me vom 02. August 2019 die Nut­zung der Cloud-Anwendung Office 365 in der Ver­si­on ab 1904 (Office365 Pro­Plus, Office365 Online und Office365 Apps) durch hes­si­sche Schu­len, eine ent­spre­chen­de Para­me­tri­sie­rung vor­aus­ge­setzt, dul­de. Die Dul­dung beru­he auf Ver­trau­ens­er­wä­gun­gen und erfol­ge unter Beach­tung des Grund­sat­zes der Ver­hält­nis­mä­ßig­keit. Sie ste­he unter dem Vor­be­halt neu­er Erkennt­nis­se aus noch lau­fen­den und zukünf­ti­gen Prü­fun­gen. Das finan­zi­el­le Risi­ko, falls wei­te­re Über­prü­fung zur Unzu­läs­sig­keit des Ein­sat­zes von Office 365 füh­ren soll­ten, läge indes bei den Schulen.

Para­me­tri­sie­rung erforderlich

Ein daten­schutz­kon­for­mer Ein­satz der Offie365-Löungen ist soweit, wenn über­haupt, nur bei ent­spre­chen­der Para­me­tri­sie­rung mög­lich. So dür­fen unter ande­rem (!) kei­ne Dia­gno­se­da­ten durch die Anwen­dun­gen über­mit­telt wer­den, Tele­me­trie­da­ten dür­fen nur soweit über­mit­telt wer­den, als dies aus IT-Sicherheitsaspekten her­aus unbe­dingt erfor­der­lich ist (Stu­fe „Sicher­heit“ in Win10 Enter­pri­se). Con­nec­ted Expe­ri­en­ces sind zu deak­ti­vie­ren, da ande­ren­falls eine gemein­sa­me Ver­ant­wor­tung mit Micro­soft anzu­neh­men ist (anstel­le einer Auf­trags­ver­ar­bei­tung). Social-Media-Integrationen sind zu deak­ti­vie­ren und Work­place Ana­ly­sen bzw. Acti­vi­ty Reports soll­ten nicht genutzt werden.

Wei­te­re Anfor­de­run­gen beachten

Der Ein­satz der Office365 ‑Lösung erfor­dert im Wei­te­ren den Abschluss eines Ver­trags zur Auf­trags­ver­ar­bei­tung i.S.d. Arti­kel 28 DSGVO. Die­ser ist in den Online-Service-Terms von Micro­soft ent­hal­ten und muss hier­über abge­schlos­sen wer­den. In die­sem Kon­text hat Micro­soft Mit­te Novem­ber 2019 die Ein­füh­rung von mehr Daten­schutz­trans­pa­renz für kom­mer­zi­el­len Cloud-Kunden durch Anpas­sung der kom­mer­zi­el­len Cloud-Verträge im Rah­men eines OST-Updates ange­kün­digt. Auch hier lohnt es sich daher, die bevor­ste­hen­den Anpas­sun­gen im Auge zu behalten.

Fazit

Für Nicht-öffentliche Unter­neh­men kann eine Anwen­dung von Office365 Pro­Plus in der Ver­si­on ab 1904, gestützt auf eine ana­lo­ge Anwen­dung der Stel­lung­nah­me des Hes­si­schen Beauf­trag­ten für Daten­schutz und Infor­ma­ti­ons­frei­heit, der­zeit wohl in den meis­ten Fäl­len grund­sätz­lich begrün­det erfol­gen. Unab­ding­ba­re Vor­aus­set­zung ist jedoch eine umfang­rei­che Para­me­tri­sie­rung der Anwen­dun­gen. Sen­si­ble per­so­nen­be­zo­ge­ne Daten soll­ten über die Anwen­dun­gen nicht ver­ar­bei­tet wer­den. Sol­len / müs­sen (auch) sol­che Daten ver­ar­bei­tet wer­den, soll­ten Office365 Online und Office365 Apps mit Blick auf die Ergeb­nis­se der Unter­su­chun­gen des Nie­der­län­di­sche Minis­te­ri­um für Jus­tiz und Sicher­heit nicht ein­ge­setzt werden.
Nach wie vor sind die Ver­ant­wort­li­chen in den Geschäfts­füh­run­gen und IT-Abteilungen zudem gut bera­ten, par­al­lel zur Ein­füh­rung der Pro­duk­te eine Exit-Strategie auf­zu­bau­en, um im Fall einer nega­ti­ven wei­te­ren Ent­wick­lung unver­züg­lich reagie­ren zu kön­nen. Die loka­le Spei­che­rung per­so­nen­be­zo­ge­ner Daten unter Beach­tung der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men ist damit wei­ter­hin die der­zeit sichers­te Vari­an­te bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten.

Artikel zum selben Thema:

Autor des Artikels:

Matthias Herkert

Leiter Fachbereich Consulting und externer Datenschutzbeauftragter