Office 365 – Microsoft verbessert Datenschutz

Microsoft hat seinen Auftragsverarbeitungsvertrag nachgebessert und eine neue Version veröffentlicht. In dieser übernimmt der IT-Gigant Standardvertragsklauseln und verbessert dadurch seinen Datenschutz. Zuvor hatte es viel Kritik gegeben.

Schrems-II-Urteil als Auslöser

Mit dem Schrems-II-Urteil aus dem Jahr 2020 hat der Europäische Gerichtshofs den transatlantischen „Privacy Shield“ für ungültig erklärt. Dieser stellte eine der wichtigsten Grundlagen für die Übertragung von Kundendaten in die USA dar. Als alternatives Regelwerk bleiben nun die sogenannten Standardvertragsklauseln übrig. Dadurch untersagt der Europäische Gerichtshof die Datenübermittlung in die USA zu großen Teilen. Da Microsoft 365 personenbezogene Daten bisher in die USA übermittelt hatte, war der Software-Riese direkt von dem Urteil betroffen.

Überarbeiteter Auftragsverarbeitungsvertrag

Als Antwort auf diese Urteilsverkündung hat Microsoft seinen Auftragsverarbeitungsvertrag nochmals überarbeitet. Die neueste Version des „Microsoft Products and Services Data Protection Addendum“ (DPA) vom 15. September spiegelt nun die aktuellsten Standardvertragsklauseln der EU-Kommission wider. Dieser Datenschutzerklärungs-Zusatz des Redmonder IT-Riesen beinhaltet unter anderem Punkte zur Datenverarbeitung des Office-Paket 365, das viele Unternehmen und Behörden in ihrer täglichen Arbeit nutzen.

DSGVO-konforme Office-Produkte

In seinem neuen Auftragsverarbeitungsvertrag betont Microsoft, dass etwaige Weitergaben von personenbezogenen Daten auf Grundlage der Datenschutz-Grundverordnung (DSVGO) basieren. Damit hat Microsoft den meistdiskutiertesten und umstrittensten Aspekt rund um den Datenschutz bei Microsoft 365 aus dem Weg geräumt und sich unmissverständlich zum europäischen Recht bekannt.

Rüge für Microsoft

Die Datenschutzkonferenz des Bundes und der Länder kam 2020 zu dem Entschluss, dass Microsoft 365 keinen datenschutzgerechten Einsatz erlaube. Nach einer sechsmonatigen Prüfung der beliebten Bürosoftware kam das Gremium zu der Erkenntnis, dass das cloudbasierte Softwarepaket nicht mit Artikel 28 der Datenschutz-Grundverordnung vereinbar sei. Demnach war die Verwendung der Cloud-Version von Programmen wie Word, Excel, Teams oder Powerpoint ohne Anpassungen nicht rechtskonform.

Die Arten der personenbezogenen Daten und der Zweck ihrer Verarbeitung blieben in den damals geprüften DPA unklar. Dementsprechend wurden Microsoft zu unpräzise Datenschutzbestimmungen vorgeworfen und in weiterer Folge kritisiert, dass der Software-Riese zu viel Kontrolle über die Datenverarbeitung seiner Nutzer habe. In Kombination mit US-amerikanischen Überwachungsgesetzen war dieser Umstand Kritikern bisher ein großer Dorn im Auge. In den Vereinigten Staaten bestehende Gesetze erteilen nämlich den dortigen Sicherheitsbehörden weitreichende Befugnisse, die auch die Kommunikation außerhalb der USA betreffen. Andere IT-Riesen wie Facebook kamen dadurch ebenfalls öfter ins Kreuzfeuer der Kritik. Letzteres führte den österreichischen Juristen Max Schrems dazu, vor der irischen Datenschutzbehörde die Weitergabe seiner personenbezogenen Daten an den Facebook-Mutterkonzern in den USA zu beanstanden, was wiederum zum Urteil des Europäischen Gerichtshof führte.

Datenschutzkonforme Office-Nutzung

Wenn Ihr Unternehmen cloudbasierte Programme von Office 365 nutzt und Sie sich datenschutzrechtlich absichern wollen, dann können Ihnen IT-Dienstleister zur Seite stehen. Verlassen Sie sich beim Schutz Ihrer Daten auf Experten und Expertinnen. Sie müssen als Unternehmen konform mit den Anforderungen der DSGVO handeln, aber das heißt nicht, dass Sie sich selbst Sorgen machen müssen. Das nehmen Ihnen gerne IT-Dienstleister ab, die sich tagtäglich mit der Thematik auseinandersetzen. Fachleute kümmern sich um Ihre Anliegen, damit Sie sich auf Ihr Kerngeschäft konzentrieren können.

Bilder: freepik / rawpixel