Office 365 – DSGVO-konforme Verwendung im Unternehmen?

Microsoft Office hat sich über Jahrzehnte hinweg als Standardanwendung für Bürotätigkeiten etabliert und eine Verzicht auf den Einsatz der Microsoft-Programme ist für viele Unternehmen einfach undenkbar.

Aus Datenschutzsicht ist der Einsatz der cloud-basierten Büroanwendungen Office 365 jedoch nicht unbedenklich. Zum einen wird vermutet, dass US-Geheimdienste Zugriff auf Anwenderdaten auch in der Europäischen Union haben. Zum anderen können zB Office-365-Administratoren exakt sehen, welche Aktionen einzelne Anwender in ihren E-Mail-Konto ausführten.

Microsoft Office 365 ist eine Kombination bestehend aus einem Online-Dienst, einer Office-Webanwendung und einem Office-Software-Abonnement. Enthalten sind dabei bekannte Programme wie Outlook, Word, Excel, PowerPoint, Access und Publisher, sowie der Cloud-Speicher-Dienst OneDrive. Microsoft bietet Office 365 in mehreren Tarifen und Editionen an, wobei die Varianten für Non-Profit-Organisationen und Behörden jenen der Business-Essentials-, Business-Premium- und der Enterprise-Varianten entsprechen:

Datenschutz-Folgenabschätzung für Office 365

Das Niederländische Ministerium für Justiz und Sicherheit gab zum Einsatz von Office 365 eine Datenschutz-Folgenabschätzung in Auftrag. Darin stellte das beauftragte Unternehmen Ende 2018 fest, dass der Einsatz von Office 365 nicht mit dem geltenden Datenschutzrecht in Einklang gebracht werden könne.

Dabei kritisierte man acht Punkte, zu denen unter anderem die Intransparenz und Nichteinstellbarkeit der Übermittlung von Diagnosedaten gehörten, sowie eine exzessive Nutzung der gesammelten Daten zu eigenen Zwecken durch Microsoft. [1]

Nach erneuten Verhandlungen hat das Niederländische Ministerium nun eine aktualisierte Version der Datenschutz-Folgenabschätzung veröffentlicht. Es handelt sich dabei ausschließlich um eine Bewertung der Office 365 ProPlus Version 1905 als Installation. Die mobilen Anwendungen und Web-Zugänge für Office wurden in einer gesonderten Prüfung als datenschutzrechtlich unzulässig erachtet.

Die neuerliche Datenschutz-Folgenabschätzung zu Office 365 ProPlus Version 1905 hingegen kam zu dem Ergebnis, dass dessen Einsatz in Hinblick auf die im konkrten Einzelfall zwischenzeitlich getroffenen Maßnahmen zur Minimierung des hohen Datenschutzrisikos wohl zulässig sein wird.

Quelle:

[1] Datenschutz & Office 365: DSGVO-konformer Einsatz im Unternehmen?
https://www.datenschutzbeauftragter-info.de/datenschutz-office-365-dsgvo-konformer-einsatz-im-unternehmen/

Aktualisierte Version der Datenschutz-Folgenabschätzung für Office 365 ProPlus; https://www.government.nl/documents/publications/2019/07/22/dpia-office-365-proplus-version-1905

Anmerkungen

  • Der standardmäßige Einsatz von Office 365 Installationen im Unternehmen ist aus datenschutzrechtlicher Sicht mit hoher Wahrscheinlichkeit unzulässig;
  • Ein datenschutzkonformer Einsatz von einer Office 365 Installation im Unternehmen ist im Einzelfall immer abhängig von den – nach einer Datenschutz-Folgenabschätzung – getroffenen Maßnahmen zur Reduktion des Datenschutzrisikos;
  • Empfehlungen für den DSGVO-konformen Betrieb einer Office 365 Installation sind den oa Quellen zu entnehmen;
  • Die mobilen Anwendungen und Web-Zugänge für Office werden als datenschutzrechtlich unzulässig erachtet.