Es gibt eine offizielle Stellungnahme der Datenschutzkonferenz zur Nutzung von Microsoft Office 365. Die Datenschutzkonferenz ist das höchste Gremium der Datenschutzaufsichtsbehörden, in dem u.a. der Bundesdatenschutzbeauftragte, die Landesdatenschutzbeauftragten der 16 Bundesländer und der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht vertreten sind.
Die Datenschutzkonferenz verdeutlicht, dass Microsoft in keiner Weise die Ansprüche der DSGVO an einen Auftragsverarbeiter erfüllt. Dabei werden die folgenden Punkte kritisiert:
1.) Mangelnde Transparenz in Microsofts Bedingungen (z.B. Vereinbarung zur Auftragsdatenverarbeitung, Online Service Terms) in Bezug auf die nutzerbezogenen Daten.
2.) Zweifelhafter Schutz von Nutzerdaten durch Microsoft und unklare Speicherdauer.
3.) Unklare rechtliche Grundlagen bei der Aufzeichnung und Nutzung der von Microsoft erhobenen Telemetriedaten. (Dies sind Daten, die aus der Ferne gemessen werden, z.B. Systemdaten oder anwendungsbezogene Daten wie Crashberichte für Bugfixing).
4.) Unklare behördliche Nutzung der Telemetriedaten (hier ist auch international das nun ungültige Privacy-Shield zu beachten!)
5.) Keine ausreichende Regelung der Datenweitergabe an Unterauftragnehmer. Eine Weitergabe ist ohne explizite Zustimmung (Nutzer, Auftraggeber) ohnehin unzulässig!
Da insbesondere die neue Version von Office in Kombination mit den unzureichenden Bestimmungen von Microsoft höchstproblematisch ist, führt dies dazu, dass es derzeit nicht möglich ist, cloudbasierte Versionen von z.B. Word oder PowerPoint datenschutzrechtlich legitim zu nutzen. Die Behörde kündigte an, bei Unternehmensprüfungen besonderes Augenmerk auf die Nutzung der Software im Allgemeinen und die an Office 365 kritisierten Punkte zu legen.
Microsoft hat in jüngster Zeit bereits intensiv an den eigenen Nutzungsbedingungen gearbeitet, allerdings enthält der Auftragsverarbeitungsvertrag noch immer unklare und widersprüchliche Regelungen, die die gesetzlichen Mindestanforderungen nicht erfüllen. Aus diesem Grund raten wir Ihnen weiterhin dringend von der Nutzung von Microsoft Office 365 ab.
Quelle: Bewertung des DSK-Arbeitskreises Verwaltung zur Auftragsverarbeitung bei Microsoft Office 365 vom 15. Juli 2020, abgerufen am 14.10.2020 auf https://fragdenstaat.de/anfrage/bewertung-des-dsk-arbeitskreises-verwaltung-zur-auftragsverarbeitung-bei-microsoft-office-365-vom-15-juli-2020/