Ist Microsoft 365 GDPR-konform?

Die DSK hat gerade einen Bericht veröffentlicht, der besagt, dass Microsoft 365 in der EU nicht datenschutzkonform genutzt werden kann

 

Warum Microsoft 365 unter Beschuss ist von Dsk

Die Deutsche Datenschutzkonferenz („DSK“) ist die Aufsichtsbehörde, in der alle deutschen Aufsichtsbehörden vertreten sind, die für die Umsetzung der DSGVO zuständig sind.

Die DSK hat soeben einen Bericht veröffentlicht, der besagt, dass Microsoft 365 in der EU nicht datenschutzkonform genutzt werden kann. Das ist sicherlich eine kühne Aussage, die Microsoft schaden und die Kunden vergraulen könnte, wenn genügend Leute die Software nicht mehr nutzen.

Heute werden wir uns also ansehen, wie es zu dieser Anschuldigung (dass Microsoft die Datenschutzgesetze nicht einhält) kam und auf die Bedenken der DSK eingehen.

In den letzten zwei Jahren hat sich die DSK mit Cloud-basierten 365-Produkten befasst und sich sogar direkt an den Tech-Giganten gewandt, um ihn zur Behebung von Compliance-Problemen zu bewegen.

Das entdeckte Problem bestand jedoch nicht so sehr darin, dass Microsoft gegen die Compliance-Richtlinien verstieß, sondern vielmehr darin, dass die DSK Datenpfade fand, die Microsoft nicht ausreichend erklären konnte.

Einige der Bedenken, die die DSK vorbrachte, waren folgende:

  • Microsoft legt die Art der Verarbeitung nicht vollständig und im Detail offen.
  • Microsoft erklärt nicht, welche Verarbeitung im Auftrag des Kunden oder für eigene Zwecke erfolgt
  • Es mangelt insgesamt an Klarheit/Präzision bei Microsofts Kontakten
  • Die Änderungen an den Verträgen in einem Datenschutzzusatz ab September 2022 waren nur geringfügige Verbesserungen im Vergleich zu den festgestellten Problemen

 

Was meint Microsoft dazu? Es überrascht nicht, dass Microsoft der Meinung ist, dass die DSK sich irrt, und dem Bericht in keiner Weise zustimmt.

Sie stehen zu ihrer Software und behaupten, dass sie vollständig GDPR-konform sind. Sie nennen Beispiele für Maßnahmen, die sie ergriffen haben, um die Bedenken der DSK auszuräumen, darunter ein verbessertes Meldeverfahren für den Wechsel von Unterauftragsverarbeitern und „weitere Klarstellungen“ in Bezug auf die Verwendung personenbezogener Daten für Geschäftsvorgänge.

Microsoft behauptet auch, dass es mit der DSK voll kooperativ gewesen sei, und räumt sogar ein, dass in Zukunft mehr Transparenz erforderlich sei.

Unabhängig davon, wie konform Microsoft zu sein behauptet, hat Deutschland gerade die Verwendung der kostenlosen Version von Microsoft Office 365 in Schulen verboten, da Kinder nicht in der Lage sind, in die Erfassung ihrer Daten einzuwilligen. Die Nutzung durch Unternehmen oder Verbraucher wird davon jedoch nicht betroffen sein.

Matthias Pfau, Gründer des verschlüsselten E-Mail-Dienstes Tutanota, kommentiert die Ergebnisse der DSK und hält es für „unglaublich“, dass US-amerikanische Cloud-Dienste auch mehr als vier Jahre nach der Einführung der Datenschutzgrundverordnung (GDPR) im Mai 2018 weiterhin EU-Daten missbrauchen.

Das Geschäftsmodell des Datenhandels zur Nutzung eines kostenlosen Dienstes ist unglaublich lukrativ.

Und da Microsoft keine harten Konsequenzen zu befürchten hat, hat der Tech-Gigant offensichtlich eine andere Meinung zu diesem Thema. Es sei auch darauf hingewiesen, dass Europa den Datenschutz und die Cybersicherheit viel ernster nimmt als andere Länder. Wie Deutschland hat sich auch Frankreich gegen den Einsatz von kostenlosen Versionen von Office 365 in Schulen ausgesprochen, während es den USA anscheinend vorerst egal ist, ob die Schulen es nutzen.

Können wir jemals wirklich darauf vertrauen, dass namhafte Anbieter die Privatsphäre schützen?

Microsoft kann leicht so tun, als würde es alles richtig machen, und die Behörden können leicht so tun, als hätten sie alles in ihrer Macht Stehende getan, um Microsoft zur Einhaltung der Vorschriften zu zwingen.

Wir haben mit einem Datenschutzexperten in Deutschland gesprochen, der bezweifelt, dass Microsoft gezwungen sein wird, weitere Änderungen vorzunehmen oder ausführlichere Antworten auf die Sicherheitsbedenken der DSK zu geben.

Dies wirft die Frage nach einer noch größeren Compliance-Problematik in der Unternehmens-IT auf. Normalerweise gehen wir bei großen Namen wie Microsoft, Google oder Oracle davon aus, dass die grundlegendsten Fragen der Cybersicherheit/Compliance geklärt sind, insbesondere wenn es um die DSGVO geht.

Aber die harte Realität ist, dass die Einhaltung der Vorschriften Ihre Sache ist, und selbst die Inanspruchnahme namhafter Anbieter kann Sie nicht vor Albträumen in Bezug auf die Einhaltung der Vorschriften bewahren.

Wenn Sie also herausfinden möchten, wie gut Sie Ihre Daten handhaben und schützen, klicken Sie auf den unten stehenden Link, um noch heute eine kostenlose Datenschutzbewertung zu erhalten! Im Gegensatz zu menschlichen Beratern ist Ubiscore eine datengesteuerte Lösung, die Ihnen die FAKTEN (und nicht die Meinungen) darüber liefert, was getan werden muss, um die Privatsphäre Ihrer Kunden besser zu schützen.

Schließlich wollen wir Ubiscore auch für Verbraucher freigeben, damit sie herausfinden können, ob Unternehmen fragwürdige Geschäftspraktiken anwenden und/oder ob ihre Daten an Dritte verkauft werden.

Durch die Nutzung von Ubiscore haben Sie einen soliden Beweis dafür, dass Sie die Privatsphäre Ihrer Kunden mit größter Sorgfalt und Aufmerksamkeit behandeln, zumal Sie für die Nutzung unserer Plattform eine UBICERT-Plakette erhalten.

Wir hoffen, dass Ihnen dieser Artikel gefallen hat! Wenn Sie mehr über Cybersicherheit und den Schutz der Daten in Ihrem Unternehmen erfahren möchten, lesen Sie unsere anderen Artikel in unserem Blog oder melden Sie sich noch heute bei Ubiscore an, um eine kostenlose Datenschutzbewertung zu erhalten.