Update vom 06.12.22: Die Datenschutzkonferenz (DSK) hat Microsoft-Onlinedienste bewertet. Das hat keine Auswirkungen auf unsere Stellungnahme zu Microsoft 365.
Fast jedes Unternehmen nutzt Produkte von Microsoft 365. Hierzu wurde in den vergangenen Monaten schon von vielen Seiten einiges geschrieben und gesagt. Vor Kurzem hat sich nun auch der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) zur Unzulässigkeit des Einsatzes von Microsoft 365 an Schulen geäußert. Seine Stellungnahme ist aber durchaus auch für Unternehmen von großer Relevanz, die diese Produkte nutzen. Uns ist bewusst, dass der deren Einsatz in den meisten Unternehmen nicht wegzudenken ist, um den Geschäftsbetrieb aufrecht zu erhalten. Dennoch möchten wir Sie über die aktuellen Entwicklungen und datenschutzrechtlichen Risiken bei der Nutzung von Microsoft 365 informieren. So können Sie als Verantwortlicher eine fundierte Entscheidung für Ihr Unternehmen treffen.
Wie kam es zu der aufsehenerregenden Stellungnahme zu Microsoft 365?
Der LfDI begleitete und beriet über einen langen Zeitraum das Kultusministerium Baden-Württemberg zum Einsatz von Microsoft 365 an Schulen. In diesen Prozess bezogen sie auch hochrangige Vertreter von Microsoft mit ein und wählten eine funktionell eingeschränkte und möglichst datenschutzkonforme Konfiguration der Software. So wurde z. B. die Erfassung von Telemetrie- und Diagnosedaten deaktiviert. Zwar stellte der LfDI dadurch signifikante datenschutzrechtliche Verbesserungen im Vergleich zu einer Standard-Installation fest, aber das reichte dem Landesbeauftragten nicht aus.
Welche Punkte sind bei Microsoft 365 bzgl. Datenschutz besonders problematisch?
Der Landesbeauftragte sieht zahlreiche datenschutzrechtlich problematischen Gegebenheiten. Es fände bei der Datenübermittlung an Microsoft 365 eine Verarbeitung zu eigenen Geschäftstätigkeiten und Geschäftsinteressen statt, wie z.B. die vollständige Überwachung und Protokollierung des gesamten Nutzerverhaltens und die Analyse von E-Mails.
Darüber hinaus sei es nicht möglich gewesen, die besonders problematischen Telemetrie- und Diagnosedaten vollständig zu deaktivieren, sondern nur zu reduzieren. Eine Übermittlung dieser Informationen der Nutzer an Microsoft sowie die eigennützige Weiterverarbeitung dieser Daten durch Microsoft im Wege der Beobachtung, Aufzeichnung und Auswertung des Nutzer- und Geräteverhaltens ohne erkennbare Rechtsgrundlage findet nach technischen Messungen des LfDI auch bei restriktiver Konfiguration in sehr großem Umfang statt.
Des Weiteren sei es trotz umfangreicher Bemühungen seitens des Landesbeauftragten im direkten Gespräch mit Vertretern von Microsoft nicht möglich gewesen, eine vollständige Übersicht aller Verarbeitungen personenbezogener Daten, auch zu eigenen Zwecken von Microsoft, zu erhalten.
Bei den Messungen des LfDI wurden Übermittlungen an über 500 Server von Microsoft registriert. Die Zwecke für diese Übermittlungen seien nur zum kleinen Teil dokumentiert. Es bestünden zahlreiche Datentransfers in die USA, die nicht unterbunden werden könnten. Seit der „Schrems II“ Entscheidung des EuGH ist die Zulässigkeit eines Drittstaaten-Datentransfers in die USA jedoch mit hohen Hürden verbunden. Es hätte auch keine Verschlüsselung festgestellt werden können, die einen Zugriff durch Microsoft, Beschäftigte von Microsoft oder von deren Unterauftragnehmern auf personenbezogene Daten technisch ausschließen oder signifikant reduzieren konnte. Zudem konnte nicht dargelegt werden, dass Nutzende die Kontrolle über die Schlüsselverwaltung einer eventuell vorhandenen Verschlüsslung haben.
Fazit der SiDIT GmbH
Als Unternehmen sollten Sie sich gemeinsam mit Ihrem Datenschutzbeauftragten überlegen, ob die Nutzung von Microsoft 365 Produkten weiterhin alternativlos ist. Für einzelne Tools gibt es mittlerweile brauchbare europäische Alternativen. Allerdings gilt dies noch nicht für das gesamte Leistungsspektrum von Microsoft 365 Produkten. Wägen Sie gemeinsam mit Ihrer Geschäftsführung die datenschutzrechtlichen Risiken und den Nutzen gegeneinander ab und dokumentieren Sie Ihre Erwägungen. Wir von der SiDIT GmbH unterstützen Sie gerne dabei, das Risiko für Ihr Unternehmen bei der Nutzung von Microsoft 365 drastisch zu reduzieren. Als Verantwortlicher können Sie zahlreiche Schritte unternehmen, um das Risiko für Bußgelder zumindest maßgeblich einzuschränken. Kontaktieren Sie uns unter: info@sidit.de
Quelle und weitere Informationen: https://www.baden-wuerttemberg.datenschutz.de/ms-365-schulen-hinweise-weiteres-vorgehen/
Kein Kommentar