Wie DSGVO-konform ist Microsoft 365?

Wie DSGVO-konform ist Microsoft 365

Microsoft 365 – vorher Office 365 genannt – ist inzwischen ein wichtiger Bestandteil vieler Büros und Privathaushalte. Es ermöglicht, verschiedene Vorgänge und Bearbeitungen in einem Produkt zu vereinen: die Verfassung von Dokumenten, die Erstellung von Präsentationen, die Kalkulation für den Geschäftsplan, den Versand von E-Mails u. v. m. Auf all diese Dokumente kann der Mitarbeiter oder das ganze Team von verschiedenen Geräten zugreifen. Das Produkt bietet also zahlreiche Annehmlichkeiten, die die Arbeit erleichtern. Einer Frage wird dabei aber oftmals nicht genügend Aufmerksamkeit geschenkt: Wie DSGVO-konform ist Microsoft 365? Wir betrachten diese Thematik aufgrund einer Auswahl der Erkenntnisse des Europäischen Datenschutzbeauftragten (kurz: EDSB; hier) näher.

Anfängliche Auffassung des Vertragsverhältnisses gemäß der DSGVO

Bei Microsoft 365 handelt es sich um ein Cloud-Produkt. Es findet ein stetiger Datenaustausch statt, der eine synchrone Speicherung der jeweiligen Änderungen ermöglicht. Alle Vorgänge, die ein Unternehmen mit einem Microsoft 365-Produkt (in diesem Fall können Mitarbeiter sich diese als Apps herunterladen) vornimmt, können hochgeladen werden. Den Inhalt eines Kalenders können Mitarbeiter zum Beispiel in der Cloud speichern. Dies macht Microsoft Corporation LLC zu einem Auftragnehmer von Unternehmen. Wer jetzt an Auftragsverarbeitung gemäß Art. 28 DSGVO denkt, hat mit uns schon etwas gemeinsam. Demzufolge wäre mit Microsoft solch ein rechtskonformer Vertrag abzuschließen. Dies stellt sich allerdings als schwierig heraus.

Den Auftragsverarbeitungsvertrag finden

Die einfachste Variante hierbei wäre, wenn Microsoft ein Dokument zur Verfügung stellen würde, welches ein Unternehmen prüfen und – sofern es Art. 28 DSGVO entspricht – unterschreiben kann. Leider ist dem nicht so. Zuallererst ist es nicht einfach, eine Vorlage zu einem Auftragsverarbeitungsvertrag von Microsoft zu finden. Diese muss ein Unternehmen bei Microsoft anfordern, sobald es eine entsprechende Möglichkeit findet, auf einfachem Weg per E-Mail mit Microsoft in Kontakt zu treten. Wenn die anfragende Person eine Antwort erhält, dann mit mehreren Dokumenten bzw. Links, die zu diesen Dokumenten führen. Ein einzelnes Dokument – in diesem Fall eines, welches einem Auftragsverarbeitungsvertrag nach Art. 28 DSGVO gleicht – gibt es nicht. Dies führt uns zum nächsten Punkt.

Angaben in mehreren Dokumenten

Aus den empfangenen Dokumenten(-Links) wählt sich ein Unternehmen die aus, die am besten auf das jeweilige Vertragsverhältnis in Bezug zu den genutzten Produkten und Leistungen zutreffen. Darunter findet ein Unternehmen unter anderem eine allgemeine Lizenzvereinbarung, die Standard-Microsoft-Vereinbarung, Produkt- und Online-Service-Vereinbarungen. All diese Dokumente beinhalten Angaben zum Datenschutz und zu den Anforderungen eines Auftragsverarbeitungsvertrags.

Einseitige Änderungen der Dokumente

Wie schon erwähnt, befinden sich die Dokumente online auf der Webseite Microsofts. Damit ist es Microsoft möglich, Änderungen vorzunehmen, die nicht zwangsläufig bemerkt werden. Die Möglichkeit für ein Unternehmen, Einfluss darauf zu nehmen, ist dabei leider gering – möglicherweise sogar nichtig. Es verschwindet der Eindruck einer Vereinbarung, die sich wie ein Vertrag gerade durch eine zweiseitige Erklärung kennzeichnet. Der Kunde kann generell keinen Einfluss nehmen, wenn Microsoft entscheidet, Angaben in den Vereinbarungen zu ändern.

Unzureichend genaue Angaben zu den Zwecken der Verarbeitung

In den zur Verfügung gestellten Dokumenten werden verschiedene Zwecke für verschiedene Produkte angegeben. Hinzu kommt aber auch, dass die Angaben nicht genau genug bzw. zu generell gehalten sind. Eine Angabe à la „zur Bereitstellung der Produkte“ ist zu unspezifisch. Des Weiteren gibt Microsoft bei den Zwecken Werbemaßnahmen an. Diesbezüglich stellt sich die Frage, ob dies gegenüber den schon existierenden oder potentiellen neuen Kunden gilt.

Microsoft als Verantwortlicher

Aufgrund dessen, dass Microsoft die Daten der Auftraggeber für Zwecke, die über das für das Vertragsverhältnis Notwendige hinausgehen, verarbeitet, agiert Microsoft auch als Verantwortlicher. Ebenso hat Microsoft die ständige Möglichkeit, die Vertragsdokumente zu ändern. Das heißt, Microsoft trifft selbst Entscheidungen und arbeitet nicht mehr als Auftragnehmer nach den Anweisungen des Auftraggebers. Genau genommen legt Microsoft die Vertragsdokumente vor, bei denen Kunden normalerweise keine Möglichkeit haben, zu verhandeln: Entweder, sie willigen ein oder eben nicht. Folglich können Kunden auch nicht Einfluss darauf nehmen, wie (un)genau die Angaben in der Vertragslizenz oder in einem sonstigen für eine Auftragsverarbeitung relevanten Dokument sind.

Die korrekte Vertragsbeziehung

Aufgrund dessen, dass Microsoft zum Teil als Verantwortlicher handelt, wäre zu überlegen, ob ein Vertrag zur gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO nicht die eigentlich zutreffendere Variante wäre. Eine weitere Option wäre, einen in einem Dokument gebündelter Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO und zusätzlich eine Vereinbarung zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO abzuschließen. So wäre einerseits die Verarbeitung nach Weisung mit all den Pflichten und Rechten geregelt, andererseits auch der Abschnitt, bei dem Microsoft als (Mit-)Verantwortlicher wirkt.

Die Einschätzung des Europäischen Datenschutzbeauftragten

Interessenten können sich gern in die komplette Analyse und Auswertung des Europäischen Datenschutzbeauftragten zu diesem Thema vertiefen. Das Dokument mit dem Titel „Outcome of own-initiative investigation into EU institutions’ use of Microsoft products and services“ finden Sie hier.

Fazit

Um Microsoft 365 möglichst datenschutzkonform nutzen zu können, gibt es verschiedene Varianten, dies zu erreichen. Welche Nachteile hat der Status Quo für Unternehmen, nach dem Microsoft 365 nicht als datenschutzfreundlich einzuschätzen ist? Nun, zum einen kann es Schadenersatzansprüche nach sich ziehen: Verlangt eine betroffene Person, Auskunft über die Verarbeitung ihrer Daten zu erhalten und ein Unternehmen kann diesem nicht ordnungsgemäß nachkommen oder lässt Zweifel bei der Person offen, ist dies negativ. Erlangt die Datenschutzaufsichtsbehörde Kenntnis davon – möglicherweise durch eine anlasslose Prüfung – kann ein Bußgeld folgen. Von einem Anwalt kann es auch eine Abmahnung geben, die eventuell zu einem Verfahren führt.

Unsere Empfehlung

Wie Sie sehen, ist es wichtig, im Einklang mit der DSGVO zu arbeiten. Die Vorteile dadurch können sich positiv für Ihr Unternehmen auswirken. Die Nachteile können die Existenz ihrer Firma gefährden. Wenn Sie Hilfe bei der Umsetzung des Datenschutzes benötigen, kontaktieren Sie uns. Wir beraten Sie gern.

 

 

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.