Office365 bzw. Microsoft365: wie ist die Einsetzbarkeit im öffentlichen Bereich datenschutzrechtlich zu bewerten?

Grundproblem:

•Microsoft hat seinen Sitz in den USA.

•Datenschutzbestimmungen USA ≠ DSGVO, deshalb braucht man mit Anbietern außerhalb der EU eine gesonderte Rechtsgrundlage. Bis 2020 war das das Privacy Shield, das aber weggefallen ist.

•Microsoft setzt seitdem auf Standarddatenschutzklauseln

•Die DSK hat 2020 in einer Stellungnahme erklärt, dass Office 365 rechtswidrig ist, weil es nicht datenschutzkonform genutzt werden kann.

•Es gibt viele Datenschützer, die das differenziert sehen.

Stellungnahmen verschiedener Länder:

•BayLDA: die DSK hat zu allgemein gearbeitet. Office 365 arbeitet mit vielen verschiedenen Apps, es kommt darauf, was man davon für welche Daten einsetzt. Derzeit verhandelt Microsoft mit den europ. Datenschützern über einen rechtskonformen Einsatz von Office 365.

Pressemitteilung vom 02.10.2020

Pressemitteilung LFD Niedersachsen

Fazit: Es ist noch nichts entschieden, v.a. kann der Einsatz von Office 365 nicht als per se rechtswidrig angesehen werden. Empfehlung: nachfolgende Fragen klären und dokumentieren

Office 365 – Folgende Frage klären und dokumentieren:

•Prüfen Sie, ob es evtl. europäische Alternativen für MS 365 gibt

•Zerlegen Sie MS 365 in die relevanten Apps und nehmen Sie nur das, was Sie wirklich brauchen

•Buchen Sie Azure Europe/Deutschland •Sperren Sie „gefährliche Apps“, wie z.B. Delve, Graph, Yammer

•Überprüfen Sie kontinuierlich nach relevanten Änderungen •Deaktivieren Sie Administrator Auswertungsmöglichkeiten der Benutzeraktivitäten

•Stellen Sie die Übermittlung von Telemetriedaten ab (GPO)

•Implementieren Sie Sicherheitsmaßnahmen (v.a. Verschlüsselung)

•Erlassen Sie verbindliche schriftliche Regelungen (DA, BV, Richtlinie …)

•Schulen Sie die Mitarbeiter

•Sorgen Sie für datenschutzkonforme Verträge (AVV, SCC)

•Tragen Sie MS 365 in das VVT ein (Block oder modular)?

•Dokumentieren Sie Ihre Entscheidungen und Maßnahmen

Stand: 16.03.2022