Das Thema der datenschutzrechtlichen Zulässigkeit des Einsatzes von Office 365 ist nach wie vor außerordentlich komplex und noch lange nicht abschließend entschieden. Da die cloudbasierten Online-Dienste und Office-Webanwendungen inzwischen eine hohe Verbreitung haben, ist es für Verantwortliche im Datenschutz und in den Geschäftsführungen oft erforderlich, die zum Teil widersprüchlichen Entwicklungen der europäischen Aufsichtsbehörden im Blick zu behalten.
Ein datenschutzkonformer Einsatz der Offie365-Löungen ist, bei analoger Anwendung der Stellungnahme des Hessischen Beauftragten für Datenschutz und Informationsfreiheit und wenn überhaupt, nur bei entsprechender Parametrisierung möglich.
Datenübermittlung an Microsoft-Server in den USA
Ein wesentliches Grundproblem der Office365-Anwendungen bleibt, dass nach wie vor eine Datenübermittlung an Microsoft-Server in den USA nicht ausgeschlossen werden kann. Zwar hat die Microsoft Corporation eine aktuelle Privacy Shield Zertifizierung (aktuelle Laufzeit bis 30. Sept. 2020) sowohl für Nicht-HR- wie auch für HR-Daten, die Zulässigkeit der bislang rechtskonformen Datenübermittlung auf Basis des Privacy Shield-Abkommens liegt jedoch derzeit mit ungewissem Ausgang zur Entscheidung beim EuGH. Als weiteres Risiko kommt der Cloud Act (Clarifying Lawful Overseas Use of Data Act) hinzu, der US-Behörden Zugriff auf gespeicherte Daten von US-Unternehmen gewährt, auch wenn diese außerhalb der USA gehostet werden. Hier stünde ein Verstoß gegen Artikel 48 DSGVO im Raum.
Nachbesserungen von Microsoft ermöglichen nach wohl h.M. den Einsatz von Office365
Nachdem das Niederländische Ministerium für Justiz und Sicherheit in seiner Datenschutzfolgenabschätzung Ende 2018 zu dem Ergebnis kam, dass Office365-Anwendungen die gesetzlichen Forderungen der DSGVO nicht erfüllen, kam eine erneute Untersuchung mit Datum vom 22. Juli 2019 zu dem Ergebnis, dass Office365 ProPlus in der Version 1905 zulässig sei („there are no more known high data protection risks for data subjects related to the collection of data about the use of Microsoft Office 365 ProPlus.“). Die Zulässigkeit sei auch bereits in der Version 1904 gegeben. Für Office Online und die Mobile Office Apps kommt eine separate Untersuchung im Auftrag des Niederländische Ministerium für Justiz und Sicherheit vom 23. Juli 2019 hingegen zu dem Ergebnis, dass wegen der noch immer gegebenen Risiken ein datenschutzrechtskonformer Einsatz nicht möglich sei.
Hessische Beauftragte für Datenschutz bringt Bewegung in die Diskussion
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit hat inzwischen vor diesem Kontext sein Verbot des Einsatzes von Office365 an hessischen Schulen in seiner Stellungnahme vom 09. Juli 2019 dahingehend modifiziert, dass er mit Stellungnahme vom 02. August 2019 die Nutzung der Cloud-Anwendung Office 365 in der Version ab 1904 (Office365 ProPlus, Office365 Online und Office365 Apps) durch hessische Schulen, eine entsprechende Parametrisierung vorausgesetzt, dulde. Die Duldung beruhe auf Vertrauenserwägungen und erfolge unter Beachtung des Grundsatzes der Verhältnismäßigkeit. Sie stehe unter dem Vorbehalt neuer Erkenntnisse aus noch laufenden und zukünftigen Prüfungen. Das finanzielle Risiko, falls weitere Überprüfung zur Unzulässigkeit des Einsatzes von Office 365 führen sollten, läge indes bei den Schulen.
Parametrisierung erforderlich
Ein datenschutzkonformer Einsatz der Offie365-Löungen ist soweit, wenn überhaupt, nur bei entsprechender Parametrisierung möglich. So dürfen unter anderem (!) keine Diagnosedaten durch die Anwendungen übermittelt werden, Telemetriedaten dürfen nur soweit übermittelt werden, als dies aus IT-Sicherheitsaspekten heraus unbedingt erforderlich ist (Stufe „Sicherheit“ in Win10 Enterprise). Connected Experiences sind zu deaktivieren, da anderenfalls eine gemeinsame Verantwortung mit Microsoft anzunehmen ist (anstelle einer Auftragsverarbeitung). Social-Media-Integrationen sind zu deaktivieren und Workplace Analysen bzw. Activity Reports sollten nicht genutzt werden.
Weitere Anforderungen beachten
Der Einsatz der Office365 ‑Lösung erfordert im Weiteren den Abschluss eines Vertrags zur Auftragsverarbeitung i.S.d. Artikel 28 DSGVO. Dieser ist in den Online-Service-Terms von Microsoft enthalten und muss hierüber abgeschlossen werden. In diesem Kontext hat Microsoft Mitte November 2019 die Einführung von mehr Datenschutztransparenz für kommerziellen Cloud-Kunden durch Anpassung der kommerziellen Cloud-Verträge im Rahmen eines OST-Updates angekündigt. Auch hier lohnt es sich daher, die bevorstehenden Anpassungen im Auge zu behalten.
Fazit
Für Nicht-öffentliche Unternehmen kann eine Anwendung von Office365 ProPlus in der Version ab 1904, gestützt auf eine analoge Anwendung der Stellungnahme des Hessischen Beauftragten für Datenschutz und Informationsfreiheit, derzeit wohl in den meisten Fällen grundsätzlich begründet erfolgen. Unabdingbare Voraussetzung ist jedoch eine umfangreiche Parametrisierung der Anwendungen. Sensible personenbezogene Daten sollten über die Anwendungen nicht verarbeitet werden. Sollen / müssen (auch) solche Daten verarbeitet werden, sollten Office365 Online und Office365 Apps mit Blick auf die Ergebnisse der Untersuchungen des Niederländische Ministerium für Justiz und Sicherheit nicht eingesetzt werden.
Nach wie vor sind die Verantwortlichen in den Geschäftsführungen und IT-Abteilungen zudem gut beraten, parallel zur Einführung der Produkte eine Exit-Strategie aufzubauen, um im Fall einer negativen weiteren Entwicklung unverzüglich reagieren zu können. Die lokale Speicherung personenbezogener Daten unter Beachtung der technischen und organisatorischen Maßnahmen ist damit weiterhin die derzeit sicherste Variante bei der Verarbeitung personenbezogener Daten.
Artikel zum selben Thema:
Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung
Es begegnet uns nahezu alltäglich – das Erfordernis der Einwilligung. Im beruflichen wie auch im privaten Kontext. In der datenschutzrechtlichen […]
Interne Mitteilungen über Beschäftigte
Manche Dinge sind so trivial, man macht sie einfach. Aus Nettigkeit, aus Rücksicht, aus Freude, weil man eben muss […]
EU-US Data Privacy Framework – was lange währt wird endlich gut?
Am 10.07.2023 verabschiedete die EU-Kommission den neuen Angemessenheitsbeschluss für die USA – das Transatlantic Data Privacy Framework, kurz TADPF. […]