Die Verwendung von Microsoft Office 365 durch Regierungen, Unternehmen und Bildungseinrichtungen verstößt gegen die Datenschutz-Grundverordnung (DSGVO). Das US-Hard- und Softwareunternehmen ist nicht ausreichend transparent über die von ihm gesammelten und verarbeiteten Daten. Die Aufsichtsbehörden drängen auf schnellstmögliche Verbesserungen.
Das gesagt Deutsche regionale Regulierungsbehörden (pdf) während der Datenschutzkonferenz (DSK), die letzte Woche stattfand.
„Microsoft Office 365 erfüllt die DSGVO-Transparenzanforderungen nicht“
Aufsichtsbehörden wollten eine Antwort auf die Frage, ob die Verarbeitung von Nutzerdaten mit Microsoft Office 365 dem EU-Datenschutzrecht entspricht und damit rechtmäßig ist. Zu diesem Zweck untersuchten die Aufsichtsbehörden verschiedene Dokumente des amerikanischen Technologieunternehmens, darunter die Datenschutz-Bestimmungen und Datenverarbeitungsvertrag.
„Aufgrund dieser Unterlagen war eine datenschutzkonforme Nutzung von Microsoft Office 365 nicht möglich“, folgern die Landesaufsichtsbehörden. Aus den geprüften Dokumenten geht nicht hervor, welche Daten Microsoft zu welchen Zwecken erhebt und verarbeitet. Da Microsoft sich zu diesen Themen nicht geäußert hat, können die Regulierungsbehörden nur zu dem Schluss kommen, dass Microsoft gegen die DSGVO verstößt.
Das Tech-Unternehmen hat zwar eine neue Datenverarbeitungsvereinbarung eingeführt, zeigt aber auch nicht, welche Daten Microsoft zu welchen Zwecken sammelt. Eine Arbeitsgruppe unter Leitung des Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) in einem Gespräch mit Microsoft riet, „schnell Verbesserungen im Einklang mit dem vorzunehmen [Europese] Datenschutz“.
Microsoft: „Wir übertreffen europäische Transparenzstandards“
Microsoft ist mit der Position der deutschen Regionalregulierer nicht einverstanden. Im ein Blog auf Deutsch schreibt der amerikanische Hard- und Softwarekonzern, er überschreite europäische Datenschutzregeln.
„Die Bedenken von DSK berücksichtigen die von uns bereits vorgenommenen Änderungen nicht ausreichend und beruhen auf verschiedenen Missverständnissen über die Funktionsweise unserer Dienste und die von uns bereits ergriffenen Maßnahmen. Wir glauben auch, dass der DSK-Bericht wesentliche Gesetzesänderungen ignoriert, die einen besseren Datenschutz für den Datenverkehr zwischen der EU und den Vereinigten Staaten bieten“, sagte Microsoft.
Das Technologieunternehmen sagt, es nehme die Forderung der regionalen Regulierungsbehörden nach mehr Transparenz sehr ernst. Microsoft verspricht, mehr Informationen über die Datenflüsse seiner Office-365-Kunden bereitzustellen: „Wir werden auch mehr Transparenz über die Standorte und Verarbeitungen durch Auftragnehmer und Microsoft-Mitarbeiter außerhalb der EU schaffen“, verspricht das Unternehmen.
„Extremer Zombie-Guru. Begeisterter Web-Liebhaber. Leidenschaftlicher Bierfanatiker. Subtil charmanter Organisator. Typischer Kaffee-Ninja.“