Ein kontroverses Thema ist immer wieder das Thema Datenschutz bei Microsoft Office 365. Offiziell untersagen die Datenschutz-Aufsichtbehörden die Nutzung von Office 365.
Der Kernpunkt aller Datenschützer bei Microsoft Office 365: Microsoft verarbeitet im Rahmen einer Auftragsverarbeitung personenbezogene Daten für eigene Geschäftsinteressen, ohne diese transparent und nachvollziehbar darzustellen. Auch stellt sich immer wieder die Frage, wo die Daten gespeichert sind und ob dies im Einklang mit der EU-DSGVO ist.
Stellen, die Microsoft 365 einsetzen wollen, brauchen eine „eigene Rechtsgrundlage“, um die übermittelten personenbezogenen Daten für diese Geschäftstätigkeiten verarbeiten zu lassen.(Quelle: https://www.datenschutzkonferenz-online.de/beschluesse-dsk.html)
Mit dem Microsoft Products and Services Data Protection Addendum (DPA) autorisiert der Office 365-Anwender eine Weiterverarbeitung der Daten für Geschäftstätigkeiten durch Microsoft. (https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA)
Der Nicht-Einsatz von Microsoft Office 365 wurde auch noch einmal ausdrücklich auf der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 25. November 2022 erneuert.
Die Konferenz stellt darin auf Grundlage des Berichts ihrer Arbeitsgruppe DSK „Microsoft Onlinedienste“ einstimmig fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten, Datenschutznachtrags vom 15. September 2022’nicht geführt werden kann.
Hintergrund ist das Fehlen der notwendigen Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke. (Artikel 28 DS-GVO). Ohne diese Transparenz kann die einsetzende Stelle auf Grundlage des DPA ihren Informations- und Nachweispflichten für diese Datenverarbeitung und somit ihrer Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO nicht nachkommen.