Thought Leadership
Ein neues Gutachten schafft Klarheit: Microsoft 365 kann laut hessischem Datenschutzbeauftragten datenschutzkonform eingesetzt werden – unter bestimmten Voraussetzungen.
Der Landesdatenschutzbeauftragte Alexander Roßnagel gibt hessischen Behörden und Unternehmen grünes Licht für den Einsatz der Software Microsoft 365. Deren Anwendungen wie etwa das Schreibprogramm Word, das E-Mail-Programm Outlook oder die Präsentationshilfe PowerPoint könnten nun mit den richtigen Nutzereinstellungen datenschutzkonform genutzt werden, sagte Roßnagel. Das biete den Unternehmen und Behörden in Hessen grundlegende Rechtssicherheit, wie ein neues Gutachten des hessischen Landesdatenschutzes ergebe.
Hintergrund ist, dass Microsoft 365 (MS 365) inzwischen als Cloud-Dienst angeboten wird. Dies hatte datenschutzrechtliche Probleme aufgeworfen. Im November 2022 benannte die deutsche Datenschutzkonferenz sieben Kritikpunkte. Nach Ansicht der Experten war unter anderem unklar, inwieweit die US-Firma personenbezogene Daten verarbeitet. Zudem kritisierten die Datenschützer, dass Microsoft für den Betrieb von MS 365 in unzulässiger Weise Daten in die USA transferiere. Die Kritik hatte Behörden und Unternehmen verunsichert, ob sie die Software datenschutzkonform einsetzen können.
«Grundsatzfragen des Datenschutzes zufriedenstellend gelöst.»
Seit Januar habe es rund ein Dutzend Treffen mit Vertretern von Microsoft gegeben, sagte Roßnagel. Bezogen auf die sieben Kritikpunkte der Datenschutzkonferenz sei man gemeinsam zu Lösungen gekommen, wie man MS 365 datenschutzkonform nutzen könne. Technisch untersucht habe seine Behörde die einzelnen Dienste von Microsoft nicht, ergänzte Roßnagel. «Dazu sind wir personell überhaupt nicht in der Lage, aber wir haben die Grundsatzfragen des Datenschutzes zufriedenstellend gelöst.»
Wichtig sei, dass die Nutzer Microsoft entsprechend konfigurierten, betonte der Landesdatenschutzbeauftragte. Dabei hälfen die Empfehlungen im rund 120 Seiten starken Gutachten seiner Behörde.
Microsoft passt Datenverarbeitung an
Im Bezug auf die kritisierte Datenübertragung in die USA sei – auch aufgrund europarechtlicher Änderungen – nichts mehr zu beanstanden. Microsoft habe seine Datenverarbeitung an europäische Vorgaben angepasst, erklärte Roßnagel. Das US-Unternehmen habe seine Organisation zudem so verändert, dass die Daten bis auf ganz wenige, begründete Ausnahmen in Europa verarbeitet würden. Bei der Verarbeitung personenbezogener Daten für eigene Geschäftstätigkeiten habe das Unternehmen deutlich machen können, dass es lediglich um aggregierte und dadurch anonymisierte Protokolldaten gehe.
dpa
