Unternehmen, Behörden und Schulen können nicht ohne zusätzliche technische Maßnahmen das Office-Paket Microsoft 365 rechtskonform eingesetzen. Dies wurde auf der 104. Datenschutzkonferenz als eine aktuelle Datenschutzbewertung der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder verabschiedet. Der Bundesdatenschutzbeauftragter Ulrich Kelber warnt, dass Anwender auf jeden Fall zusätzliche Schutzvorkehrungen treffen müssten.

Im September hat Microsoft eine neue Fassung seines Auftragsverarbeitungsvertrags veröffentlicht. Der US-Konzern hat mit dieser Version des "Microsoft Products and Services Data Protection Addendum" (DPA) unter anderem die neuen Standardvertragsklauseln der EU-Kommission übernommen. Da der Europäische Gerichtshof (EuGH) mit dem Schrems-II-Urteil den transatlantischen "Privacy Shield" und damit eine der wichtigsten Grundlagen für den Transfer von Kundendaten in die USA für ungültig erklärt hat, war dies notwendig.

Weiterhin hat Microsoft Angaben präzisiert, welche Daten zu eigenen Zwecken genutzt werden. Allerdings reichen die Korrekturen den Datenschutzbehörden nicht aus. Laut Kelber habe Microsoft habe zwar "in einzelnen Punkte Fortschritte" erzielt, die überarbeiteten Dokumente lieferten aber nicht die nötige Transparenz, welche Daten von dem Unternehmen "für eigene Zwecke verwendet werden können". Nach wie vor können die Kontrolleure "an einigen Stellen" nicht einschätzen, welche Informationen und Diagnosewerte noch erhoben und an Microsoft übertragen werden. "Ob alle Schritte rechtmäßig sind", lasse sich somit auch nicht prüfen.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE