Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 44f.
Die Anwendungen von Office 365 sind sowohl in öffentlichen als auch nicht-öffentlichen Stellen weit verbreitet. Die Datenschutzkonferenz prüft derzeit, ob ein datenschutzkonformer Einsatz der Microsoft-Produkte möglich ist.
Verantwortliche Datenverarbeiter traten im Berichtszeitraum vermehrt an mich mit der Frage heran, ob sie Office 365 datenschutzkonform einsetzen können. Hintergrund ist häufig der Wunsch der Verantwortlichen, die Cloud-Funktionen zu nutzen. Allerdings lässt sich diese Frage nicht pauschal beantworten.
Da die Unsicherheiten zum Einsatz von Microsoft Office 365 nicht nur mir, sondern allen Landesbeauftragten in Deutschland kommuniziert wurden, entschloss sich die Konferenz der unabhängigen Aufsichtsbehörden (DSK) einen Arbeitskreis (AK) einzusetzen, der sich unter Beteiligung meiner Behörde mit dieser Frage befasst. Auch mit Vertretern von Microsoft wurden in diesem Zusammenhang Gespräche geführt, in denen verschiedene Fragen von Bedeutung waren.
Online Service Terms auf dem Prüfstand
Zunächst handelt es sich bei der Nutzung der Cloud eines Dritten regelmäßig um einen Fall der Auftragsverarbeitung. Daher müssen die Anforderungen des Art. 28 DS-GVO erfüllt sein und ein Vertrag zur Auftragsverarbeitung geschlossen werden. Eine entsprechende Vereinbarung wird den Kunden von Microsoft in einer standardisierten Form mit den Online Services Terms (OST)
angeboten. Nach erster Prüfung dieser Vereinbarung durch den AK ergab sich eine Reihe von Fragen, zu denen der AK noch mit Microsoft im Dialog steht. Die Prüfung konnte daher 2019 nicht abgeschlossen werden. Zudem hat Microsoft angekündigt, Anfang 2020 seinen Kunden eine neue Version der OST zur Verfügung stellen zu wollen. Zum Ende des Berichtszeitraums war noch unklar, inwieweit die Anregungen der Datenschutzkonferenz darin aufgegriffen und die Regelungen zur Auftragsverarbeitung angepasst wurden.
Darüber hinaus stellt sich auch bei Office 365 – ähnlich wie bei Windows 10 (siehe dazu auch J.12.3, S. 193) – die Frage nach dem Inhalt und der Rechtmäßigkeit der Übermittlung von Telemetriedaten, die zu Servern von Microsoft übermittelt werden. Dazu gehören beispielsweise Daten zu Abstürzen, zum CPU- und Speicherverbrauch einzelner Programme, Daten zum Prozessor, Informationen zum Akkustand oder zu Downloads, Updates, und Abrufen im Windows App Store. Nach Angaben des Unternehmens werden diese Daten dazu verwendet, um Office 365 aktuell und sicher zu halten, Probleme zu erkennen und zu beseitigen und die Produkte zu verbessern (https://docs.microsoft.com/en-us/deployoffice/privacy/required-diagnostic-data).
Das von der DSK veröffentlichte Prüfschema zum Einsatz von Windows 10 dürfte entsprechend
auch auf Office 365 anwendbar sein. Nach der Prüfung der OST wird sich die DSK auch bei Office 365 mit dem Thema der Telemetriedaten befassen.
Mir ist bewusst, dass die Verantwortlichen bei der datenschutzrechtlichen Beurteilung dieser
Standard-Software Rechtssicherheit benötigen. Ich bin zuversichtlich, dass die DSK sich hierzu
2020 positionieren kann.
Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 44f.