Wir berichteten kürzlich über die Datenschutzproblematik von Microsoft Office 365. Nun gibt es eine zweite Stellungnahme des Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) Micheal Ronellenfitsch.

Was ist das Problem mit Microsoft Office 365?

Bei Microsoft Office 365 gibt es aus datenschutzrechtlicher Sicht gleich mehrere Probleme. Einerseits sammelt Microsoft zahlreiche Telemetriedaten über z.B. das Nutzerverhalten und Sicherheitseinstellungen seiner Nutzer. Andererseits dürfen US-Behörden unter bestimmten Bedingungen auf die gesammelten Informationen zugreifen.

Dadurch können Schulen die Sicherheit der Datenverarbeitung- und Speicherung bei Office nicht garantieren. Der Hessische Beauftragte für Datenschutz und die Informationsfreiheit (HBDI) Michael Ronellenfitsch kam daher zu dem Schluss, dass die Software datenschutzrechtlich unzulässig sei und daher nicht mehr von deutschen Schulden benutzt werden dürfe.

Was steht in der zweiten Stellungnahme?

In der zweiten Stellungnahme wird beschrieben, dass die technische und rechtliche Überprüfung von Office 365 sehr komplex ist und noch andauern wird. Eine endgültige Entscheidung über die datenschutzrechtliche Zulässigkeit von Office gibt es daher zurzeit noch nicht.

Herr Ronellenfitsch erklärt, dass in der Zwischenzeit intensive Gespräche mit Microsoft stattgefunden hätten, aufgrund derer viele Bedenken ausgeräumt werden konnten und der Einsatz von Office 365 ab Version 1904 von den Schulen, die die Software bereits erworben haben bzw. bei denen der Erwerb haushaltsrechtlich gesichert ist, geduldet wird.

Außerdem müssen Schulen die Übermittlung von Diagnosedaten unterbinden und sich bezüglich der Cloudnutzung an die Anleitung handeln, die von Microsoft herausgebracht werden wird.

Was sollten Schulen tun?

Am besten wäre momentan die Abkehr der Nutzung von Office 365 bzw. US-Clouds. Doch das ist schwierig. Einerseits gibt es kaum vergleichbare Konkurrenzsoftware, die nicht aus den USA kommt und andererseits ist das auch ein finanzieller Faktor.

Die Schulen sollten also Office 365 so nutzen, dass möglichst wenig Daten übermittelt werden. Dazu gehört das Abschalten der Option „Informationen an Microsoft senden, um Office zu verbessern“ und der verbundenen Services. Wenn möglich, sollten Cloud-Dienste vermieden werden und stattdessen lokal gearbeitet werden.

Wie wird es weitergehen?

Einerseits arbeitet Microsoft an der Verbesserung der Transparenz der Datenverarbeitung. Dann bliebe aber noch das Problem des Zugriffs der US-Behörden. Entweder muss Microsoft wieder eine den europäischen Datenschutzvorschriften entsprechende Cloud einrichten oder die EU mit den USA eine entsprechende Vereinbarung treffen, dass das europäische Datenschutzniveau eingehalten werden kann. Ob das gelingen wird, ist unsicher. Dies ist gerade auch in Hinblick darauf fraglich, dass bereits „Safe Harbor“ gekippt wird und der aktuellen Vereinbarung „Privacy Shield“ eventuell dasselbe Schicksal droht. Darüber berichteten wir bereits letzten Monat.

Wenn Sie Fragen zur DSGVO haben, können Sie sich gerne an unsere Kanzlei wenden. Wir haben viel Erfahrung mit dem Datenschutzrecht und helfen Ihnen gerne, die Vorgaben der DSGVO einzuhalten.