Datenschutzkonferenz: Einsatz von Microsoft 365 datenschutzwidrig
Die Konferenz der Datenschutzaufsichtsbehörden Deutschlands beurteilt den Einsatz von Microsoft 365 in Behörden, Schulen oder Unternehmen als nicht rechtskonform.
Die Datenschutzkonferenz erklärt, dass nach wie vor ungeklärt sei, welche Daten erhoben, übertragen und für eigene Zwecke verarbeitet würden. Die Arbeitsgruppe DSK Microsoft Onlinedienste hatte auf Basis von Microsoft-Unterlagen einen entsprechenden Bericht erstellt und kam zum Schluss: "Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden." Dabei geht es unter anderem um den Umgang mit Biometrie-, Diagnose und Telemetriedaten.
Microsoft reagiert in scharfer Form auf diese Einschätzung: "Ein ausufernder Aufsichtsansatz, der keinen Betroffenenschutz mehr verfolgt, macht Datenschutz zum dogmatischen Selbstzweck".
In der Schweiz betont der Eidgenössische Datenschutzbeauftragte, dass nach wie vor kein Freipass für den Einsatz von US-Clouddiensten bestehe und die Verantwortlichen bei Verstössen gegen das revidierte Datenschutzgesetz eine persönliche Busse von CHF 250'000 sowie einen Eintrag ins Strafregister riskieren.
- Festlegung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (PDF)
- Einsatz von Microsoft 365 bleibt datenschutzwidrig (golem.de)
- Kunden müssen Funktionen "nicht vollständig verstehen" (golem.de)
- Kein Freipass für «Microsoft 365» (privatim, Konferenz der schweizerischen Datenschutzbeauftragten)
- Noch immer keine Rechtssicherheit beim Einsatz von US-Clouds (aspectra-Blog)