Mittlerweile gibt es eine aktuelle Stellungnahme des Katholische Datenschutzzentrum Dortmund (KDSZ) zum Einsatz von Microsoft 365.
Die Stellungnahme ist vom Umfang überschaubar und ein Blick herein lohnt sich für den Anwender. Das KDSZ verweist in der Stellungnahme vor allem auf die Stellungnahme der DSK über welche wir hier berichtet hatten. Hierzu heißt es:
„Die DSK äußert sich in der Festlegung kritisch zur Möglichkeit, Microsoft 365 datenschutzkonform zu nutzen. Sie legt dabei aber den Schwerpunkt nicht auf die Problematik der Drittlandsübermittlung von Daten, sondern macht darauf aufmerksam, dass Microsoft die personenbezogenen Daten der Kunden auch zu eigenen Zwecken nutze und diese Nutzung für die Verantwortlichen nicht transparent sei. In der Folge könnten die Verantwortlichen als datenverarbeitende Stellen nicht bewerten bzw. nachweisen, ob diese Verarbeitungen durch Microsoft zu eigenen Zwecken gesetzeskonform erfolgen und könnten hierzu auch nicht den gesetzlichen Transparenzerfordernissen gegenüber den betroffenen Personen nachkommen.
Mit dieser Festlegung weist die DSK auf einen Problemkreis beim Einsatz von Microsoft 365 hin, der nicht durch die derzeit laufenden Verhandlungen für eine Nachfolge des Privacy Shield gelöst würde. Auch mit einem neuen Abkommen zwischen der EU und den USA würde dieser zu klärende Punkt bestehen bleiben.„
Grundsätzlich spricht sich das KDSZ nicht gegen die Verwendung von Microsoft 365 aus, sondern legt den Fokus ebenfalls auf die datenschutzfreundlichen Ausgestaltung des Einsatzes:
»Damit Microsoft die Daten nicht mehr zu eigenen Zwecken verarbeiten kann, müsste der Zugriff auf die personenbezogenen Daten vom Verantwortlichen unterbunden werden. Neben der Nutzung pseudonymisierter Nutzerkonten könnte auch die Nutzung des Cloud-Speichers ausgeschlossen werden«.
Der Einzelfall sei zu betrachten und in einer Datenschutzfolgenabschätzung zu prüfen.
