Datenschutz-Minenfeld Microsoft 365?
Auslegungssache – der c't-Datenschutz-Podcast - Ein Podcast von c't Magazin - Freitags
Kategorien:
Kaum ein Thema ist in der Datenschutzwelt so umstritten wie der Einsatz von Microsoft 365. Kritiker sehen in der kaum überschaubaren Produktwelt von Microsoft jede Menge Reibungspunkte mit der DSGVO, zumal Kernprodukte wie Sharepoint und Teams reine Clouddienste sind und damit personenbezogene Daten auf Microsofts Servern in Irland oder gar in den USA lagern. Europäische Datenschutzbehörden arbeiten sich seit Jahren an den Datenschutzerklärungen und Vertragsgestaltungen ab, die Microsoft anbietet. Die deutsche Datenschutzkonferenz (DSK) hatte sich zuletzt Ende 2022 nach langen Untersuchungen darauf festgelegt, dass sie zu diesem Zeitpunkt einen datenschutzkonformen Betrieb von Microsoft 365 nicht nachweisen konnte. Der niedersächsische Landesdatenschutzbeauftragte dagegen attestierte dem Landesinnenministerium im April 2024 eine akzeptable Vereinbarung mit Microsoft, sodass die Landesbehörden zumindest Microsoft Teams einsetzen können, ohne Konflikte mit der zuständigen Datenschutzbehörde befürchten zu müssen. I, Episode 118 beschäftigen sich Holger und Joerg mit dem gesamten Komplex aus Datenschutzperspektive. Ziel ist es, zu Antworten zu kommen, die Behörden und Unternehmen einen Weg weisen können. Dafür haben sie mit Dr. Olaf Koglin eine ausgesprochenen Spezialisten für genau diese Thematik hinzugezogen. Jurist Olaf berät mit seinem Unternehmen Legal Check Behörden und Unternehmen in Sachen Datenschutz, die Microsoft 365 rechtssicher einsetzen möchten. Zunächst definieren die drei mögliche Knackpunkte, die immer wieder angesprochen sind: Microsofts Verarbeitungsvertrage, das Data Protection Addendum (DPA), und die darin aufgeführten Zwecke, Verantwortlichkeiten und Datentransfers. Kritiker monieren unter anderem, dass Daten in die USA abfließen, die Verwendung von Telemetriedaten ungenügend geklärt ist, die IT-Sicherheit nicht ausführlich beschrieben ist und Microsoft die Verarbeitungszecke nicht abschließend darstellt. Dann geht es um die Stellungnahmen von Aufsichtsbehörden, an denen Olaf teilweise einiges auszusetzen hat. Er erklärt außerdem, worum es bei einem gerade laufenen Verfahren zum Thema in der EU selbst geht. Generell ist sich Olaf aber sicher, dass man die gesamte Microsoft-365-Produktwelt datenschutzkonform einsetzen kann. Neue Probleme enstünden allerdings gerade mit der allmählichen Einführung der KI-Copiloten in die Produkte.