Ist Office 365 datenschutzrechtlich zulässig?

Nach einer Bewertung des Arbeitskreises Verwaltung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) vom 15.07.2020 ist ein datenschutzkonformer Einsatz von Office 365 auf Grundlage der zu Grunde liegenden Online Service Terms (OST) sowie der Datenschutzbestimmungen für Microsoft-Onlinedienste (Data Processing Addendum / DPA) (jeweils Stand: Januar 2020) nicht möglich.

Allerdings betonten die Datenschutzaufsichtsbehörden Baden-Württembergs, Bayerns, Hessens und des Saarlands in einer Pressemeldung vom 02.10.2020 die Bewertung des Arbeitskreises Verwaltung vom 15.07.2020 zwar als relevante Arbeitsgrundlage, aber noch nicht als entscheidungsreif.

Zu welchem Ergebnis ist der Arbeitskreis Verwaltung der DSK gekommen?

–        Aus den Online Service Terms und dem Data Processing Addendum wird nicht ausreichend klar, welche personenbezogenen Daten von Nutzern in welcher Art und Weise und für welchen Zweck verarbeitet werden.

–        Es ist unklar, auf welcher Rechtsgrundlage Microsoft Telemetriedaten aufzeichnet und nutzt.

–        Ob Microsoft personenbezogene Daten von Nutzern ausreichend schützt ist nicht klar. Ferner ist unklar, für welchen Zeitraum diese gespeichert werden.

–        Die Übermittlung von personenbezogene Daten von Nutzern an Unterauftragnehmer ist nicht ausreichend geregelt. Soweit Microsoft aufgrund von Programmerweiterungen weitere Unterauftragnehmer nach Vertragsschluss beauftragt, liegt eine ausdrückliche Zustimmung der Nutzer offenbar nicht vor.

Die Entscheidung des Arbeitskreises Verwaltung der DSK fiel mit einer knappen Mehrheit von 9 zu 8 Stimmen aus.

Wieso kommt Kritik aus den eigenen Reihen?

Datenschutzaufsichtsbehörden Baden-Württembergs, Bayerns, Hessens und des Saarlands haben die Bewertung des Arbeitskreises Verwaltung vom 15.07.2020 zwar als relevante Arbeitsgrundlage, aber als nicht als entscheidungsreif eingestuft.

Folgende Kritik wurde geübt:

–        Der Arbeitskreis Verwaltung der DSK hat seine Bewertung auf der Grundlage von Vertragsbestimmungen getroffen, die Microsoft seitdem bereits zweimal überarbeitet hat.

–        Bei seiner Bewertung hat der Arbeitskreis Verwaltung der DSK die Entscheidung des Gerichtshofs der Europäischen Union (EuGH) vom 16.07.2020 (Verbot der Datenübermittlung in die USA auf Basis des EU-US-Privacy-Shields) nicht berücksichtigt.

–        Der Arbeitskreis Verwaltung der DSK hat Microsoft zu seiner Bewertung bislang noch nicht angehört. Dies gehöre aber zu einem fairen und rechtsstaatlichen Verfahren.

Wie geht es weiter?

Arbeitskreis Verwaltung der DSK hat einstimmig eine Arbeitsgruppe eingesetzt, die unter Leitung der Landesbeauftragten für den Datenschutz Brandenburg und des Bayerischen Landesamts für Datenschutzaufsicht Gespräche mit Microsoft zeitnah aufnehmen soll. Ziel müsse es sein, dass Microsoft die (noch) bestehenden Bedenken kurzfristig und umfassend ausräumt. Ferner müsse man mit Microsoft besprechen, wie die Rechtsprechung des EuGH vom 16.07.2020 umgesetzt werden kann.

Was bedeutet die Bewertung des Arbeitskreis Verwaltung der DSK für Sie?

Zunächst muss man leider feststellen, dass die Bewertung des Arbeitskreis Verwaltung der DSK die Rechtsunsicherheit in Sachen Office 365 vermutlich eher vergrößert, als verringert hat.

Es bleibt zunächst abzuwarten, welches Ergebnis die geplante Anhörung von Microsoft bringt.

Was können Sie bereits jetzt tun, um Office 365 weiterhin einzusetzen?

Allen voran sollten Sie beim Einsatz von Office 365 (sowie bei jeder anderen Software, mit der Sie personenbezogene Daten verarbeiten) die wesentlichen Grundsätze aus Art. 5 DSGVO beherzigen:

–        Dürfen Sie die betreffenden personenbezogenen Daten überhaupt verarbeiten (Rechtmäßigkeit und Zweckmäßigkeit nach Art. 5 Abs. 1 lit. a) und b) DSGVO)?

–        Verarbeiten Sie so viel Daten wie nötig und so wenig wie möglich (Datenminimierung nach Art. 5 Abs. 1 lit. c) DSGVO.

–        Erarbeiten Sie ein Löschkonzept (Speicherminimierung nach Art. 5 Abs. 1 lit. e) DSGVO).

Nachfolgend haben wir einige Tipps für Sie, damit Sie beim Einsatz von Office 365 die datenschutzrechtlichen Bedenken zumindest abmildern können

Kein Einsatz von älteren Office 365 Produkten

Setzen Sie Office 365 mindestens in der Version ProPlus 1094 ein. Die Vorgängerversionen dürfen wegen erheblicher Intransparenz, Nichteinstellbarkeit der Übermittlung von Diagnosedaten sowie wegen einer exzessiven Nutzung der gesammelten Daten zu eigenen Zwecken durch Microsoft nicht eingesetzt werden.

Verzichten Sie möglichst auf die Office 365 Webanwendung und/oder Office 365 Mobile-Apps

Setzen Sie Office 365 Webanwendung und/oder Office 365 Mobile-Apps nach Möglichkeit nicht ein. Nach einer Stellungnahme des Niederländischen Ministeriums für Justiz und Sicherheit aus Juli 2019 übermittelt jedenfalls die iOS Variante von drei Office 365 Mobile-Apps personenbezogene Daten zur Marketingzwecken unzulässig an US-amerikanische Unternehmen. Ferner ist es technisch nicht möglich die sogenannten „Connected Experiences“ in den Office 365 Webanwendung und in den Office 365 Mobile-Apps zu deaktivieren. Die „Connected Experiences“ übermitteln in erheblichem Umfang personenbezogenen Daten an Microsoft zu dessen eigenen Zwecken.

Prüfen Sie Ihre Windows Einstellungen

Das Level der Telemetrie- und Diagnosedatenübermittlung von Windows 10 Enterprise muss auf „Sicher“ eingestellt werden. Ansonsten übermittelt Windows 10 bei jeder höheren Einstellung als „Sicher“ auch Informationen über die Nutzung von Office ProPlus Anwendungen. Ferner sollten Sie Ihre Aktivitäten mit der Zeitachsen-Funktion von Windows 10 nicht synchronisieren, weil sonst ebenfalls Informationen über die Nutzung von Office ProPlus Anwendungen übermittelt werden.

Programm zur Verbesserung der Benutzerfreundlichkeit deaktivieren

Deaktivieren Sie die Funktion zur Datenübermittlung an das Microsoft-Programm zur Verbesserung der Benutzerfreundlichkeit von Anwendungen. Dadurch verhindern Sie eine etwaige unnötige Übermittlung von personenbezogenen Daten an Microsoft.

Deaktivieren Sie „Connected Experiences“

Bei den „Connected Experiences“ handelt es sich um Funktionalitäten wie die Rechtschreibprüfung, Übersetzungen oder der Office Hilfe. Microsoft hält sich für die Bereitstellung einiger dieser Funktionen für einen Auftragsverarbeiter. Jedoch sieht sich Microsoft bei den 14 nachfolgenden Connected Experiences als eigenständiger Verantwortlicher an, wodurch die Begrenzung der Verwendungszwecke des DPA nicht mehr greift. Die Verwendungszwecke von Microsoft als eigener Verantwortlicher umfassen bspw. die Nutzung zur Personalisierung, Werbung oder Produktentwicklung.

Die nachfolgend aufgelisteten Connected Experiences sind daher zu deaktivieren:

–        3D Maps

–        Insert online 3D Models

–        Map Chart

–        Office Store

–        Insert Online Video

–        Research

–        Researcher

–        Smart Lookup

–        Insert Online Pictures

–        LinkedIn Resume Assistant

–        Weather Bar in Outlook

–        PowerPoint QuickStarter

–        Giving Feedback to Microsoft

–        Suggest a Feature

Unterbinden Sie die Linked-In-Integration

Eine Integration von Linked-In Accounts Ihrer Mitarbeiter muss unterbunden werden.

Die LinkedIn-Integration stellt eine der „Connected Experiences“ dar, für die Microsoft sich als eigener Verantwortlicher sieht. Der LinkedIn Resume Assistant prüft dabei u.a. Word-Dokumente, um festzustellen ob es sich um einen Lebenslauf handelt, der mit LinkedIn veröffentlicht werden soll. Dabei werden offenbar Diagnosedaten ausgelesen, die z.B. die E-Mail-Adresse des Nutzers, eine eindeutige ID sowie Geräteinformationen enthalten. Diese Datenübermittlungen finden selbst dann statt, wenn die Übersendung von Diagnosedaten auf die Stufe „Keine“ eingestellt ist.

GoldbergUllrich Rechtsanwälte 2020

Julius Oberste-Dommes LL.M. (Informationsrecht)

Rechtsanwalt und Fachanwalt für Informationstechnologierecht