Microsoft 365 und DSGVO
Datenschutz-Probleme bei Microsoft 365 – darf man es überhaupt noch nutzen?

Von „Word“ bis „Teams“: Microsoft 365 gehört für viele zum Arbeitsalltag. Laut Datenschutzkonferenz ist die Software jedoch nicht DSGVO-konform. Was das für Unternehmen bedeutet.

2. November 2020, 15:40 Uhr, von Kathrin Halfwassen, Redakteurin
Datenschutz Datenschutz-Grundverordnung Software
Kommentieren
Microsoft 365
© go2 / photocase.de

Was genau ist Microsoft 365?

Eine Microsoft-Office-Lizenz kaufen und die einmal installierte Software über Jahre hinweg nutzen? Das machen heute nur noch die wenigsten geschäftlichen Nutzer: Microsoft setzt bei seinen Produkten immer stärker auf Cloud- und Online-Dienste im Abonnement. Je nach Umfang können Kunden mit Microsoft 365 (früher „Office 365“) beispielsweise Web-, Mobile- und Desktop-Versionen von Programmen wie „Word“ nutzen, die Teamarbeit und -Kommunikation organisieren („Teams“ und „SharePoint“) sowie Daten in einer Cloud speichern („OneDrive“).

Laut Geschäftsbericht hatte Microsoft 365 im vergangenen Jahr 180 Millionen geschäftliche Nutzer. Deren Zahl steigt stetig: Weil mit Beginn der Corona-Pandemie immer mehr Menschen ins Homeoffice zogen, gab es im März beispielsweise beim Kommunikations-Tool „Teams“ einen solchen Nutzerzuwachs, dass Microsoft aufgrund des erhöhten Datenaufkommens einige Funktionen zeitweilig einschränken musste.

Wo genau liegt das Datenschutz-Problem bei Microsoft 365?

Microsoft-365-Nutzer erzeugen jede Menge sogenannte Telemetrie-Daten: Diese umfassen Informationen zur Funktion der Produkte, etwa zur Frage, wie oft diese abstürzen. Darüber hinaus entstehen personenbezogene Daten. Verwenden Nutzer beispielsweise den E-Mail-Dienst Exchange, kann Microsoft Informationen darüber speichern, wann elektronische Nachrichten empfangen und gesendet wurden, welche Betreffzeilen E-Mails haben und wer die Empfänger sind.

Die deutsche Datenschutzkonferenz, bei der die 17 deutschen Datenschutzbehörden von Bund und Ländern regelmäßig zusammenkommen, hat entschieden: Eine datenschutzgerechte Nutzung von Microsoft 365 gemäß DSGVO ist aktuell nicht möglich. Die genauen Gründe für diese Einschätzung erklären hochrangige Datenschützer in einer gemeinsamen Pressemitteilung.

„Die meisten Probleme könnte Microsoft über Nachbesserungen in den Vertragsbestimmungen lösen“, erklärt David Oberbeck, Rechtsanwalt mit Schwerpunkt Datenschutz und IT-Recht. „Doch ein grundsätzliches Problem wird bleiben: Microsoft ist an den sogenannten Cloud Act gebunden. Dieses Gesetz verpflichtet US-amerikanische Unternehmen, gespeicherte Kundendaten an Strafverfolgungsbehörden in den USA weiterzugeben – etwa im Fall eines Terrorverdachts. Und das widerspricht europäischen Datenschutz-Bestimmungen.“

Im Extremfall könne die Weitergabe der Informationen beispielsweise dazu führen, dass eine Person durch die Analyse personenbezogener Daten eine Sperre erhalte und nicht mehr in die USA einreisen dürfe.

Verstoßen damit alle Nutzer von Microsoft 365 gegen die DSGVO?

Privatpersonen können selbst darüber entscheiden, inwieweit sie die aktuellen Datenschutz-Lücken stören. Unternehmen aber, die Microsoft 365 verwenden, handeln gegen die Bestimmungen der DSGVO. Denn: „Nutzer haben aktuell keine Möglichkeit, personenbezogene Daten von Dritten umfassend zu schützen. Genau dazu sind Unternehmer laut DSGVO aber verpflichtet“, so Anwalt Oberbeck.

Welche Bußgelder drohen Unternehmern, die Microsoft 365 nutzen?

Theoretisch könnten Aufsichtsbehörden Unternehmen wie bei allen anderen Verstößen gegen die DSGVO sanktionieren und entsprechende Bußgelder verhängen. Deren Höhe richtet sich unter anderem danach, wie groß das Unternehmen ist und wie umfangreich der Verstoß gegen die Datenschutzbestimmungen ausfällt – im Extremfall sind es 20 Millionen Euro oder bis zu 4% des weltweiten Konzernumsatzes.

Mehr dazu hier: DSGVO-Bußgeldkonzept: Wie viel Bußgeld droht wem bei Datenschutz-Verstößen?

Wie wahrscheinlich ist ein Bußgeld für Microsoft-365-Nutzer?

Eine Sanktionswelle durch die Aufsichtsbehörden hält Experte Oberbeck aus mehreren Gründen aktuell für unwahrscheinlich:

  • Die Entscheidung unter den Mitgliedern der Datenschutzkonferenz fiel mit 9:8 sehr knapp aus. Es ist also selbst unter Experten umstritten, ob Microsoft-Produkte Datenschutz-Bestimmungen derart widersprechen, dass ihre Nutzung untersagt werden kann.
  • Der Beschluss der Datenschutzkonferenz ist unkonkret: Er klärt nicht, mit welcher Microsoft-365-Anwendung Unternehmen gegen welche Datenschutzbestimmungen genau verstoßen.
  • Der Beschluss ist veraltet: Er basiert auf Vertragsbestimmungen, die Microsoft im Januar 2020 ausgegeben hatte. Diese hat das Unternehmen inzwischen mehrfach überarbeitet.
  • Der Beschluss der Datenschutzkonferenz soll laut Pressemitteilung vor allem als Grundlage dienen für zeitnahe Gespräche mit Microsoft – mit dem Ziel, Unsicherheiten beim Datenschutz zu bereinigen.
  • Die gesamte rechtliche Grundlage zur Nutzung US-amerikanischer Produkte wie denen von Microsoft ist unklar. Insbesondere nach einem Urteil des Europäischen Gerichtshofs (EuGH, C‑311/18), mit dem dieser das sogenannte US-EU Privacy Shield gekippt hat. Das Privacy Shield bezeichnete eine Zertifizierung von US-Unternehmen, die laut EU-Beschluss ein gleiches Datenschutzniveau der Staaten garantierte. Damit war der Datentransfer in die USA grundsätzlich zulässig. Seit dem Wegfall müssen Unternehmen auf alternative Standardvertragsklauseln setzen, die auch Microsoft anbietet – deren generelle Zulässigkeit aber ebenfalls umstritten ist.

Mehr dazu hier: EuGH-Urteil: Privacy-Shield-Abkommen gestoppt – das müssen Unternehmer jetzt tun

Was sollten Unternehmen jetzt tun?

„Auch wenn es unwahrscheinlich ist – komplett ausschließen lässt sich nicht, dass Datenschutzbehörden auf Unternehmen zugehen, um die Nutzung von Microsoft 365 genauer unter die Lupe nehmen“, erklärt Anwalt Oberbeck.

Er gehe allerdings davon aus, dass dies im Zweifelsfall eher größere Unternehmen treffe oder aber solche, die bereits in den Fokus der Datenschutzbehörden gerückt seien. Etwa, weil sie Werbemails an Kunden verschickt haben ohne deren Einwilligung – oder aber einen Sicherheitsvorfall melden mussten, weil beispielsweise sensible Kundendaten zeitweise für Dritte zugänglich waren.

„Wenn Behörden Unternehmen dennoch anlasslos einen Fragebogen zur Nutzung von Microsoft-365-Produkten schicken, sollten diese sich bei der Beantwortung rechtlich begleiten lassen. Auch wenn das Risiko eines Bußgelds derzeit überschaubar ist, können Unternehmen hier durchaus Fehler machen, was weitere Maßnahmen nach sich ziehen kann“, so Oberbecks Fazit.

In eigener Sache
Power-Hour: Change-Management
Gratis Webinar für Unternehmer
Power-Hour: Change-Management
60 Minuten, 5 Lektionen, 1 Ziel: Ihr Unternehmen zielsicher durch Veränderungen führen – ohne dass jemand durchdreht.
Jetzt anmelden
Mehr lesen über
Datenschutz Datenschutz-Grundverordnung Software
Social Media Regeln
Social-Media-Regeln
So verhindern Sie, dass Mitarbeitende sensible Daten in sozialen Medien teilen
Viele Unternehmen unterstützen es, dass sich ihre Mitarbeitenden in sozialen Medien über ihre Arbeit äußern. Dabei sollten sie jedoch klare Regeln aufstellen. So klappt's.
Datenschutz Bewerbungen
Datenschutz bei Bewerbungen
Umgang mit Bewerberdaten? Das müssen Unternehmen beachten
Auch bei Bewerbungen greift die DSGVO: Wie Arbeitgeber Bewerberdaten nutzen dürfen, welche Aufbewahrungsfristen gelten und wann sie Lebenslauf und Anschreiben löschen müssen. Ein Überblick.
Beschäftigtendatenschutz
Beschäftigtendatenschutz
Speichern oder Löschen? Diese Regeln gelten für Mitarbeiterdaten
Unternehmen brauchen Daten ihrer Beschäftigten. Doch wer Daten über das Team unerlaubt sammelt, für andere Zwecke nutzt oder gar verliert, muss mit hohen Bußgeldern rechnen. Das sollten Sie wissen.
Beliebte FAQs und Anleitungen aus den 6 Feldern unternehmerischer Herausforderungen