Microsoft Office 365 – datenschutzkonforme Nutzung im Unternehmen

Im Juli 2021 stellte Microsoft „Cloud-Windows“ vor, ein Angebot, was sich insbesondere an Unternehmen und Schulen richtet. Nach dem Versprechen von Microsoft soll durch Windows 365 das gesamte System des Büro-PCs in eine Cloud verlagert werden. Der Mitarbeiter loggt sich über den Browser ein und hat von zu Hause aus Zugriff auf E-Mails, Office-Anwendungen und das firmeneigene Intranet. Der physische Rechner wird auf einen Bildschirm reduziert, die eigentliche Datenverarbeitung und Datenspeicherung findet in einem Rechenzentrum von Microsoft statt. Mit diesem Angebot will Microsoft dem modernen Arbeiten Rechnung tragen, bei dem der Arbeitsplatz nicht mehr an Büroräume gebunden ist, sondern sowohl vom Homeoffice als auch vom Arbeitsplatz im Unternehmen aus gearbeitet werden kann. Zudem will Microsoft somit seinen Kunden einen höheren Schutz der Daten vor Cyberattacken durch sogenannte Ransomware bieten.


Nun ist aber auch bekannt, dass es sich bei dem Unternehmen Microsoft mit Sitz in Redmond um ein amerikanisches Unternehmen handelt und die USA aus datenschutzrechtlicher Sicht als Drittland nicht in den Schutzbereich der DSGVO unterfallen. Datenübermittlungen in ein Drittland unterliegen hohen Anforderungen. Mit dem Urteil „Schrems II“ hat der Europäische Gerichtshof am 16. Juli 2020 entschieden, dass in den USA kein mit europäischen Standards vergleichbares Datenschutzniveau besteht und den sogenannten „Privacy Shield“ – ein Abkommen, was den Datenaustausch zwischen der EU und den USA regelte – für unwirksam erklärt. Das hat zur Folge, dass Datenübermittlungen in die USA besonderen Sicherheitsvorkehrungen bedürfen, die aktuell kaum erfüllbar sind.


Einbindung von Microsoft in die Datenverarbeitung

Die Einbindung von Microsoft in die Datenverarbeitung im Unternehmen erfolgt in der Regel im Rahmen eines Auftragsverarbeitungsvertrages (Art. 28 DSGVO). Hierfür stellt Microsoft im Rahmen seiner Lizenzbedingungen sowie eines Nachtrages zum Datenschutz einen Auftragsverarbeitungsvertrag in Form von Allgemeine Geschäftsbedingungen zur Verfügung.


Dieser Auftragsverarbeitungsvertrag von Microsoft unterliegt ständigen Anpassungen. Erst Ende des Jahres 2020 hat die Datenschutzkonferenz der Länder (DSK) moniert, dass die seitens Microsofts zur Verfügung gestellten Dokumente zum Datenschutz nicht allen DSGVO-Ansprüchen genügen. Insbesondere fehle es an einer Transparenz dahingehend, welche Arten von personenbezogenen Daten erhoben und verarbeitet würden, dass Daten an Microsoft-Server in die USA übertragen und verarbeitet würden und welche technisch-organisatorischen Maßnahmen existieren. Hier hat Microsoft nachgebessert und die Inhalte des Auftragsverarbeitungsvertrages angepasst. Dennoch sind einige Landesdatenschutzbehörden damit noch nicht einverstanden und ziehen die datenschutzrechtliche Zulässigkeit von Microsoft Office 365 in Zweifel. Teilweise wird aus datenschutzrechtlicher Sicht der Verzicht auf die Nutzung von Microsoft Office 365 gefordert.


Das ist jedoch völlig unrealistisch. Denn ein Wechsel zu anderen Office-Anbietern ist für Unternehmen ohne weiteres und in kurzer Zeit ohne erhebliche Einschränkungen nicht möglich. Außerdem weisen die Alternativen (z.B. Open-Office-Lösungen) nicht die notwendigen Funktionalitäten für einen adäquaten Einsatz auf, die Unternehmen für ihre Datenverarbeitung benötigen. Kurz gesagt, eine Verpflichtung zum Verzicht auf Microsoft Office 365 würde die Wirtschaftlichkeit von Unternehmen erheblich beeinträchtigen.


Ferner hat auch Microsoft an seinen vertraglichen Bedingungen weiter nachjustiert und bietet mittlerweile weitergehende Garantien zum Datenschutz an, wie sie im Urteil „Schrems II“ durch den Europäischen Gerichtshof für die Datenübertragung in die USA gefordert werden. Mittlerweile wird seitens der EU-Kommission auch an einem Code of Conduct für Cloud-Anbieter gearbeitet, um Rechtssicherheit im Datenverkehr mit Drittstaaten zu schaffen.


Empfehlungen für den Umgang mit Cloud-Diensten im Unternehmen

Es gibt aktuell aus datenschutzrechtlicher Sicht keinen Grund auf Microsoft Office 365 zu verzichten, weil:

  • der von Microsoft verwendete Auftragsdatenverarbeitungsvertrag laufend nach europäischen Vorgaben angepasst wird,

  • zwischen Microsoft und den Datenschutzbehörden bisher immer Kompromisse in der Anwendung von Cloudbasierten Dienstleistungen gefunden wurden,

  • die Landesdatenschutzbehörden sich im Umgang mit Microsoft Office 365 uneinig sind und

  • aufgrund der unklaren Rechtslage keine Folgen in Form von Untersagungsverfügungen oder Bußgeldern drohen.

Nichtsdestotrotz muss die Entwicklung der Rechtslage ständig beobachtet werden. Das gilt insbesondere für standesrechtliche Sonderbestimmungen für Rechtsanwälte, Steuerberater, Wirtschaftsprüfer, Ärzte, etc.


Die für Microsoft Office 365 dargestellten Anforderungen an eine rechtskonforme Datenübertragung können grundsätzlich für jeden Cloud-Anbieter herangezogen werden. Sie bewegen sich als Unternehmen datenschutzrechtlich auf sicherem Terrain, wenn Ihnen seitens Ihres Cloud-Anbieters garantiert wird, dass für die Verarbeitung von personenbezogenen Daten ausschließlich Server nutzt, die in Ländern stehen, die dem Anwendungsbereich der DSGVO unterliegen.


Wussten Sie schon:

Auch in China soll es zum ersten Mal so etwas wie ein Gesetz geben, dass sich dem Schutz persönlicher Daten bereichsübergreifend widmen soll. Am 29.04.2021 hat China seinen zweiten Entwurf des Personal Information Protection Law (PPIL) vorgestellt. Im dritten Quartal 2021 soll es schließlich verabschiedet werden und den Rahmen für weitere Gesetze bilden, die den Schutz persönlicher Daten in China regeln sollen. Inwieweit diese Regelungen dann den europäischen Standards entsprechen, bleibt abzuwarten.


Bei Fragen kommen Sie gerne auf uns zu.


Ihr Team der RKM Data