Microsoft Office 365 ist nicht datenschutzgerecht einsetzbar?
Da hat sich die DSK (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder) mit ihrer Bewertung wohl ein Ei ins Nest gelegt!
Worum geht`s?
Die DSK hat einen Arbeitskreis mit der Aufgabe "Verwaltung zur Auftragsverarbeitung bei Microsoft Office 365" zu prüfen, eingesetzt. Beleuchtet wurde hier „die dem Einsatz des Produktes Microsoft Office 365 zu Grunde liegenden Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft-Onlinedienste (Data Processing Addendum / DPA) mit Stand von (Achtung) Januar 2020.“
Wer Microsoft kennt, weiß, dass für Microsoft Stände aus Januar 2020 Schnee aus dem letzten Jahrhundert sind. Seit Januar 2020 nimmt Microsoft nicht nur Änderungen in den Verträgen, sondern vor allem auch umfängliche und erhebliche Änderungen in der Dokumentation vor. Das heißt, ob die OST und das DPA aus 2020 einen datenschutzgerechten Einsatz ermöglichen oder nicht, ist nur noch aus rechtshistorischer Sicht interessant. Somit verunsichert die DSK Anwender und Nutzer, sowohl im privaten als auch im Unternehmensumfeld mit einer Bewertung, die nicht belastbar ist!
Und by the way, auch wenn Microsoft in Sachen Auffindbarkeit und Verständlichkeit der Dokumentationen noch Potenzial nach oben hat, entwickeln sich gerade in den letzten Monaten sämtliche Reports und Publikationen von den verschiedensten Applikationen rasant in Richtung Transparenz und weg von hochkomplexen Vertragswerken in epischer Tiefe.
Warum prüft die DSK ein Produkt, das es so gar nicht gibt?
Man weiß es nicht.
Office 365 ist eine Produktgruppe und selbst als Produktgruppe schon veraltet. Heute reden wir über die Produktgruppe Microsoft 365 zu dem die unterschiedlichsten Produkt- Pläne (E1, E3, E5 und viele mehr) mit den unterschiedlichsten Applikationen gehören.
Wir sprechen da über …
... M365 Apps,
... E-Mail und Kalenderfunktionen (Outlook),
... professionelle und moderne Besprechungs- und Anruffunktionen (Microsoft Teams),
... soziale Netzwerke
... und ein intelligentes und mobiles Intranet.
Da stellt sich Dir und mir zu Recht die Frage, was hier konkret eigentlich geprüft wurde!
Natürlich müssen alle, die von mir oben genannten Produkte aus der Familie M365 im Hinblick auf den Datenschutz und die Datensicherheit (derzeit) mit unterschiedlich guten Grundkonfigurationen und Einstellungsmöglichkeiten schon in den Default-Einstellungen DSGVO-konform sein, keine Frage. Fest steht, dass die aktuellen Produkte/Pläne in der Produktgruppe M365 überhaupt nicht geprüft wurden und somit die Bewertung der DSK sinnfrei ist. Und sorgt für eine Verunsicherung am Markt, die definitiv unangebracht ist!
Als Randnotiz sei noch zu erwähnen, dass die DSK in Summe aus 17 unabhängigen Aufsichtsbehörden des Bundes besteht und die Entscheidung Microsoft Office365 als nicht datenschutzgerecht einzustufen mit 9 zu 8 Stimmen von 17 Stimmen gefallen ist. Es gibt Bundesländer, die hier eine Einstufung als, zu Recht, nicht entscheidungsreif angesehen haben. Was dann dazu führt, dass sich die DSK einstimmig dafür entscheiden hat, eine neue Arbeitsgruppe zu gründen, die zeitnah mit Microsoft in konstruktive Gespräche einsteigen wird.
Welches Fazit kannst Du als Unternehmen und Anwender für Dich mitnehmen?
Eine klare Datenschutz-Widrigkeit beim Einsatz von Produkten aus der Produktgruppe M365 ist trotz Einschätzung der DSK NICHT klar!
Und genauso klar muss auch sein, dass Du Dich als Unternehmen leider (noch?) nicht darauf verlassen kannst, dass die Produkte und Pläne von M365 einfach ohne Konfiguration der Grundeinstellungen oder jedenfalls die Nachprüfung dieser Konfiguration datenschutzkonform genutzt werden kann. Und wie bei jedem Einsatz von Software-Lösungen und -Services ist es elementar wichtig zu wissen, was Du machst, wie Du es machst UND mit wem Du den Weg gehst.
Also Augen auf beim Eierkauf!;-)
Autorin: Sandra Dietrich, (S)Marketing, Sales Information Communication Services, SIEVERS-GROUP