Aufsichtsbehörde fasst Datenschutzproblematik zu Office 365 zusammen

Offie 365

Nach Auffassung de des LfDI Rheinland-Pfalz gründet die mit der Nutzung von Office 365 verbundene Problematik auf technischen und rechtlichen Faktoren. Bspw. lassen sich nach Bewertung der Aufsichtsbehörde bei der Nutzung weder eine Übermittlung bestimmter Nutzungsdaten, wie bspw. die IP-Adresse vermeiden, noch die Verwendung bestimmter Nutzungsdaten vom Anbieter für eigene Zwecke oder gar die Weitergabe an Werbepartner vermeiden, obwohl hierfür ggf. keine rechtliche Grundlage angeführt werden könne.
Auch wenn die Weitergabe aus gesetzlichen Übermittlungsbestimmungen oder über die Möglichkeit der Inanspruchnahme eines Auftragsverarbeiters nach Art. 28 Abs. 3 DS-GVO legitimieren ließe, bliebe nach dem sog. Schrems II-Urteil des EuGH als grundsätzliches Problem, dass in die USA übermittelte personenbezogene Daten unter rechtlichen Bedingungen verarbeitet werden, die nicht dem europäischen Datenschutzniveau entsprechen.

Nachfolgend geht der LfDI Rheinland-Pfalz auf folgende Fragestellungen ein:

  • Warum reicht die von Microsoft angebotene Option, Daten auf europäischen Servern zu verarbeiten, für einen datenschutzkonformen Betrieb nicht aus?
  • Warum stellt der US-amerikanische CLOUD-Act ein Datenschutzproblem dar?
  • Unter welchen Voraussetzungen ist ein datenschutzkonformer Einsatz von Microsoft Office 365 denkbar?
  • Welche ,,Nutzungsdaten“ werden bei Microsoft Office 365 übermittelt
  • Welche technisch-organisatorischen Maßnahmen können getroffen werden, um eine Übermittlung von Diagnosedaten an Microsoft zu vermeiden?
  • Wie ist die Nutzung von Microsoft Office 365 auf Tablets oder Smartphones zu bewerten?

Auch wenn die Antworten auf diese häufig gestellten Fragen letztliche keine tatsächliche Lösung für die brennenden Probleme der Verantwortlichen bringen dürften, kann die FAQ zumindest als kompakte Zusammenfassung der aktuell diskutierten Themen einen gewissen Mehrwert bieten.

LfDI Rheinland-Pfalz

(Foto: denizn – stock.adobe.com)

Letztes Update:02.07.22

  • Gemeinsame Verantwortlichkeit: Die neue Auftragsverarbeitung?

    Gemeinsame Verantwortlichkeit: Die neue Auftragsverarbeitung?

    Seminar

    794.60 € Mehr erfahren
  • Microsoft 365/Office 365 datenschutzrechtlich bändigen

    Microsoft 365/Office 365 datenschutzrechtlich bändigen

    Online-Kompaktkurs

    141.61 € Mehr erfahren
  • Neue SCCerforderlich

    Frist für Umstellung auf neue Standarddatenschutzklauseln endet bald

    Der europäische Gesetzgeber hat vor dem Hintergrund der Ausweitung des internationalen Handels die Übermittlung personenbezogener Daten an Datenempfänger in Drittländern unter besondere datenschutzrechtliche Anforderungen gestellt, um Rechte und Freiheiten von Betroffenen zu schützen. Ziel ist es, das durch die Datenschutz-Grundverordnung (DS-GVO) unionsweit gewährleistete Schutzniveau für natürliche Personen nicht zu untergraben, wenn personenbezogene Daten in ein

    Mehr erfahren
  • Kündigung auf Grund der Verletzung einer „Clean-Desk-Policy“

    Die DS-GVO fordert von Verantwortlichen und Auftragsverarbeitern in Art. 32 DS-GVO ein Schutzniveau, das dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessenen ist. Dabei sollen zur Gewährleistung der Sicherheit der insbesondere die Risiken berücksichtigt werden, die aus einer Verletzung der Verfügbarkeit, Vertraulichkeit und Integrität der personenbezogenen Daten, der an deren Verarbeitung beteiligten IT-Systeme,

    Mehr erfahren
  • Identitätsdiebstahl Handesregister

    Handelsregister mit Datenschutzmängeln

    Seit dem 1. August 2022 sind über das Portal „Handelsregister.de“ sämtliche Einträge in den Handels-, Genossenschafts-, Partnerschafts- und Vereinsregistern ohne weitere Einschränkungen kostenfrei abrufbar. Das hat auf dem ersten Blick Vorteile in punkto Transparenz. Das Handelsregister handelt es sich um die zentrale Registerplattform des Bundes für Firmen in Deutschland. Der Umstand, dass die Abrufe aus

    Mehr erfahren