Aufsichtsbehörde fasst Datenschutzproblematik zu Office 365 zusammen
Nach Auffassung de des LfDI Rheinland-Pfalz gründet die mit der Nutzung von Office 365 verbundene Problematik auf technischen und rechtlichen Faktoren. Bspw. lassen sich nach Bewertung der Aufsichtsbehörde bei der Nutzung weder eine Übermittlung bestimmter Nutzungsdaten, wie bspw. die IP-Adresse vermeiden, noch die Verwendung bestimmter Nutzungsdaten vom Anbieter für eigene Zwecke oder gar die Weitergabe an Werbepartner vermeiden, obwohl hierfür ggf. keine rechtliche Grundlage angeführt werden könne.
Auch wenn die Weitergabe aus gesetzlichen Übermittlungsbestimmungen oder über die Möglichkeit der Inanspruchnahme eines Auftragsverarbeiters nach Art. 28 Abs. 3 DS-GVO legitimieren ließe, bliebe nach dem sog. Schrems II-Urteil des EuGH als grundsätzliches Problem, dass in die USA übermittelte personenbezogene Daten unter rechtlichen Bedingungen verarbeitet werden, die nicht dem europäischen Datenschutzniveau entsprechen.
Nachfolgend geht der LfDI Rheinland-Pfalz auf folgende Fragestellungen ein:
- Warum reicht die von Microsoft angebotene Option, Daten auf europäischen Servern zu verarbeiten, für einen datenschutzkonformen Betrieb nicht aus?
- Warum stellt der US-amerikanische CLOUD-Act ein Datenschutzproblem dar?
- Unter welchen Voraussetzungen ist ein datenschutzkonformer Einsatz von Microsoft Office 365 denkbar?
- Welche ,,Nutzungsdaten“ werden bei Microsoft Office 365 übermittelt
- Welche technisch-organisatorischen Maßnahmen können getroffen werden, um eine Übermittlung von Diagnosedaten an Microsoft zu vermeiden?
- Wie ist die Nutzung von Microsoft Office 365 auf Tablets oder Smartphones zu bewerten?
Auch wenn die Antworten auf diese häufig gestellten Fragen letztliche keine tatsächliche Lösung für die brennenden Probleme der Verantwortlichen bringen dürften, kann die FAQ zumindest als kompakte Zusammenfassung der aktuell diskutierten Themen einen gewissen Mehrwert bieten.
LfDI Rheinland-Pfalz
(Foto: denizn – stock.adobe.com)
Verwandte Produkte
Das könnte Sie auch interessieren
-
BSI veröffentlicht Methodikleitfaden für Grundschutz++
Das Bundesamt für Sicherheit in der Informationstechnik hat Anfang April 2026 die erste Version seines Leitfadens zur Methodik des Grundschutz++ veröffentlicht. Das Dokument markiert einen weiteren Schritt bei der Ablösung des klassischen IT-Grundschutzes durch den modernisierten Nachfolgestandard. Inhalt und Zielsetzung Der Leitfaden bildet einen zukunftsgerichteten Ordnungsrahmen für den systematischen Aufbau und die Weiterentwicklung eines Informationssicherheitsmanagementsystems.
Mehr erfahren -
Folge 91: KI-Kompetenz und KI-Kompetenzen
KI ist ein Werkzeug, welches vielfältig eingesetzt wird. Das erfordert Verständnis für die neue Technik und Kompetenz für den Einsatz. Allerdings kann KI auch Kompetenzen in Menschen entfalten und gezielt eingesetzt werden, um sich seiner selbst bewusster zu werden. Wie das gehen kann, erklärt die Buchautorin Céleste Spahić im DataAgenda Datenschutz Podcast. Weitere ThemenFolge 82:
Mehr erfahren -
Datenschutzkonforme Anwesenheitsübersicht im Zeiterfassungssystem
Ein Fallbeispiel aus dem sächsischen Tätigkeitsbericht 2025 zeigt, wie die flächendeckende Freischaltung einer „Anwesenheitsübersicht“ in einem elektronischen Zeiterfassungssystem gegen den Grundsatz der Datenminimierung verstoßen kann – und welche Konsequenzen drohen, wenn Verantwortliche die datenschutzrechtliche Erforderlichkeit nicht hinreichend begründen können. Ausgangslage In sächsischen Finanzämtern war die Funktion „Anwesenheitsübersicht“ eines Zeiterfassungssystems zunächst so konfiguriert, dass sämtliche Beschäftigte
Mehr erfahren
