Aktuelles & Veranstaltungen

Office 365 – Einsatz derzeit nicht datenschutzkonform möglich

Nach Ansicht der hessischen Aufsichtsbehörde ist der Einsatz von Office 365 als Cloud-Lösung derzeit nicht datenschutzkonform möglich:

 

– Es wird dabei eine sehr große Menge an Telemetrie-Daten (Funktions- und Diagnosedaten, Textausschnitte oder Betreffzeilen von E-Mails etc.) an Microsoft übermittelt, deren Verwendungszweck nicht hinreichend von Microsoft dargelegt werden konnte.

 

– Es bleibt unklar, inwiefern die Daten der anlasslosen Massenüberwachung amerikanischer Sicherheitsbehörden ausgesetzt sind.

 

Derzeit ist ein Vorlageverfahren beim EuGH anhängig, in welchem geprüft wird, ob die Instrumente zur Datenübermittlung in die USA, wie der Angemessenheitsbeschluss der EU-Kommission („Privacy Shield“), einen ausreichenden Schutz für die Rechte und Freiheiten der betroffenen Personen bewirken (vgl. EuGH: Rechtssache C-311/18: Vorabentscheidungsersuchen des High Court (Irland), eingereicht am 9. Mai 2018 — Data Protection Commissioner/Facebook Ireland Limited, Maximilian Schrems).

 

– Microsoft bietet seinen Kunden in Europa das Cloud-Modell durch die Option der deutschen Datentreuhand nicht mehr an. Dabei wurden die Zugriffe auf die Daten in der Cloud durch die T-Systems International GmbH überwacht.

 

Aufgrund dieser Punkte ist derzeit der Einsatz von Office 365 insbesondere im öffentlichen Bereich unzulässig, da „die digitale Souveränität staatlicher Datenverarbeitung“ hierdurch gefährdet würde.

 

Die Aufsichtsbehörden bemühen sich wohl, hier eine Lösung mit Microsoft zu finden. Laut der Aufsichtsbehörde in Mecklenburg-Vorpommern müssen sie jedoch „teilweise monatelang [auf Antworten von Microsoft] warten, da offenbar eine aufwendige microsoftinterne Abstimmung mit dem Hauptsitz in Redmond (USA) erforderlich“ ist (vgl. 14. TB der Aufsichtsbehörde MV, Ziffer 7.1.4, S. 30).

 

Sofern also auch namhafte Anbieter von Cloud-Lösungen sich nicht an die Vorgaben der DSGVO halten (können), werden deren Kunden ihre bereits etablierte Prozesse auch immer wieder umstellen müssen.

 

Denn, was für Microsoft gilt, gilt ebenso für die Cloud-Lösungen von Google und Apple.

 

Behörden und Unternehmen sollten dies bei der Beschaffung ihrer Technik daher immer berücksichtigen.

 

S. Kieselmann

 

Beraterin für Datenschutz

 

Dipl.sc.pol.Univ.

Back To Top