MS 365 datenschutzkonform?

Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) Dr. Lutz Hasse hat dies zum Anlass genommen, in einer Pressemeldung darauf hinzuweisen, dass der Einsatz von Microsoft 365-Produkten jedenfalls in Schulen derzeit nicht rechtskonform möglich sei. Der TLfDI führt aus, dass Microsoft nicht hinreichend transparent darstelle, welche personenbezogenen Daten zu eigenen Zwecken verarbeitet würden. Damit sei unklar, welche dieser Daten konkret zu welchen Zwecken durch wen verarbeitet würden.

Unter den Beratern, die sich schwerpunktmäßig mit Datenschutz befassen, wird diese Auffassung der Datenschutzaufsichtsbehörden nicht uneingeschränkt geteilt. Ein rechtmäßiger Einsatz sei durchaus möglich. Schwerpunktmäßig geht es den Datenschutzaufsichtsbehörden, wie dem TLfDI, wohl um die Telemetriedaten, also Nutzungs- und Diagnosedaten. Diese benötigt Microsoft auch zur Sicherung und Verbesserung des Dienstes. Die Frage, ab welcher Intensität der Nutzung dieser Daten eine eigenständige Verantwortlichkeit durch Microsoft beginnt, ist bislang noch nicht geklärt.

Da es sich bei den Landesdatenschutzbeauftragten um Behörden handelt, die kein Letztentscheidungsrecht haben, werden Gerichte diese Frage klären müssen. Gerichtliche Entscheidungen existieren aber noch nicht und sind auch nicht in der nächsten Zeit zu erwarten.

Stand: 16. August 2023