Telemetriedaten microsoft 365 dsk verboten auskunft selfservice tool online

DSK verbietet (mehr oder weniger) den Einsatz von Microsoft 365

/von

Die Datenschutz-Aufsichtsbehörden in Deutschland sehen den Einsatz von Microsoft 365 im Unternehmen kritisch. Dies liegt primär daran, dass Microsoft sogenannte Telemetriedaten sammelt und diese für eigene Zwecke verwendet. Dieser Vorgang lässt sich nicht deaktivieren und ist schwer zu kontrollieren. Dadurch überschreitet Microsoft nach Auffassung der Aufsichtsbehörden seine Kompetenzen als Auftragsverarbeiter und verstößt gegen Art. 28 DSGVO. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat nun entschieden, dass Unternehmen nicht nachweisen können, dass der Einsatz von Microsoft 365 datenschutzkonform ist. Aber der Reihe nach…

Was sind Telemetriedaten und warum sammelt Microsoft sie?

Telemetriedaten sind Daten, die automatisch von einem System übertragen werden. Empfänger können beliebige Stellen sein, somit auch Dritte. Die Telemetriedaten liefern den Empfängern Informationen über den Zustand oder die Nutzung einer Anwendung, eines Geräts oder eines Netzwerks. Solche Daten können in vielen Fällen auch personenbezogen sein.

Microsoft sammelt diese Daten nach eigenen Angaben, um die Funktionalität seiner Produkte zu verbessern und um Kundenwünschen nachzukommen. Zu den Daten gehören Informationen über bestimmte Funktionen, die von den Benutzer*innen verwendet werden, Fehlermeldungen und andere Daten. Sie umfassen in vielen Fällen auch personenbezogene Daten, insbesondere die Kennungen der Nutzer*innen.

Lässt sich die Telemetriedatensammlung deaktivieren oder kontrollieren?

Kurz gesagt: Nein. Die Telemetriedatensammlung lässt sich nicht vollständig abschalten. Der einzige garantiert sichere Weg, um wirklich sicherzustellen, dass keine persönlichen Daten an Microsoft gesendet werden, ist es, die Produkte nicht zu nutzen. Es gibt zwar Möglichkeiten, mit denen die Sammlung von Telemetriedaten eingeschränkt oder in gewissem Rahmen gesteuert werden kann. Eine vollständige Kontrolle darüber erlangt man jedoch nicht. Darüber hinaus kann Microsoft mit jedem Update Änderungen an den erhobenen Daten machen, so dass Unternehmen mit jedem Update erneut prüfen müssten, was sich geändert hat und wie damit umzugehen ist. Es müssten also hohe Aufwände in den Umgang mit den Telemetriedaten investiert werden, um dauerhaft sicherzustellen, dass keine oder nur zulässige Telemetriedaten durch Microsoft verarbeitet werden. Wenn dies denn möglich wäre.

Kompetenzen als Auftragsverarbeiter überschritten

Microsoft überschreitet mit der Sammlung von Telemetriedaten die Kompetenzen eines Auftragsverarbeiters. Auftragsverarbeiter müssen gemäß Art. 28 Abs. 3 lit. a DSGVO weisungsgebunden tätig sein. Zwar wird es in gewissem Rahmen möglich sein, dass Auftraggeber einem Auftragsverarbeiter auch eine Verarbeitung personenbezogener Daten zu eigenen Zwecken erlauben. Allerdings ist hierfür stets eine Rechtsgrundlage für die dann erfolgende Übermittlung der Daten an den Dienstleister notwendig. Überdies kann bei den von Microsoft vorgegebenen und üblicherweise nicht verhandelbaren Regelungen zu den Telemetriedaten nicht mehr von Weisungen des Auftraggebers gesprochen werden. Dieser unterwirft sich letztlich den Bedingungen von Microsoft.

Verstehen Sie es bitte nicht falsch: Wir haben Vertragsfreiheit und selbstverständlich steht es Microsoft offen, Verträge abzulehnen, in denen beispielsweise eine Übermittlung von Telemetriedaten abgelehnt wird. Allerdings kann bei dem von Microsoft geforderten Umfang der Daten wohl nicht mehr von einer durch den Auftraggeber erteilten Weisung ausgegangen werden. Genauso ist es fraglich, ob es sich bei der Verarbeitung der Telemetriedaten um eine vom Auftraggeber gewünschte Verarbeitung handelt. Schließlich hat er keinen Nutzen von dieser Verarbeitung bzw. kann er diesen Nutzen aufgrund der mangelnden Transparenz nicht bewerten.

Folgt man der Argumentation der DSK, dann liegt ein Verstoß gegen Art. 28 DSGVO vor. Diese Ansicht wird unseres Wissens in dieser Form (mal deutlicher, mal etwas unterschwelliger) von allen Aufsichtsbehörden für den Datenschutz vertreten.

Nachweis des datenschutzkonformen Einsatzes muss erbracht werden

Die Konferenz der unabhängigen Aufsichtsbehörden für den Datenschutz (Datenschutz-Konferenz, DSK) hat in ihrer jüngsten Sitzung per Beschluss festgestellt, dass die Unternehmen den Nachweis, dass der Einsatz von Microsoft 365 datenschutzkonform ist, nicht erbringen können. Die Argumentation der DSK ist zwar grundsätzlich nachvollziehbar, wird durch uns aber dennoch für sehr dogmatisch erachtet. Zugegeben: Der Nachweis der Konformität dürfte aktuell schwer zu führen sein. Dennoch ist es unseres Erachtens falsch, dies kategorisch abzulehnen. Für die strenge Ansicht der DSK spricht, dass Microsoft in seinen Nutzungsbedingungen angegeben hat, dass keine Garantie besteht, dass die Telemetriedaten auf Servern in Deutschland gespeichert werden. Damit haben wir jetzt auch noch die Drittstaaten-Problematik, welche wir bereits in zahlreichen anderen Artikeln (zum Beispiel hier) besprochen haben und daher hier im Detail ausklammern.

Fazit

Die jüngste Entscheidung der DSK stellt Unternehmen vor eine große Herausforderung. Wenn sie Microsoft 365 nutzen, müssen sie den Nachweis erbringen, dass die Verarbeitung und Nutzung ihrer personenbezogenen Daten durch Microsoft datenschutzkonform ist. Da dieser Nachweis derzeit kaum (aus Sicht der DSK überhaupt nicht) zu erbringen ist, besteht ein Risiko für die Unternehmen. Wir empfehlen zumindest zu überprüfen, ob alternative Lösungen besser geeignet sind und wie ein Umstieg auf solche Lösungen zu bewältigen wäre. Hierzu gehört im ersten Schritt die Prüfung, ob andere Anbieter datenschutzkonformere Lösungen anbieten. Sie sollten auch überlegen, ob es möglich ist, Microsoft 365 in einer Weise zu nutzen, die den Datenschutzregelungen besser entspricht. Dies kann beispielsweise bedeuten, dass bestimmte Funktionen von Microsoft 365 deaktiviert werden oder dass spezielle Konfigurationseinstellungen vorgenommen werden müssen. Auch könnte entschieden werden, Microsoft 365 nur für bestimmte Verarbeitungen einzusetzen, bei denen keine sensiblen personenbezogenen Daten verarbeitet werden. Abschließend lässt sich festhalten: Die jüngste Entscheidung der DSK stellt Unternehmen vor eine große Herausforderung, die kaum so zu meistern sein wird, dass vollständige Rechtssicherheit erreicht wird.

Das könnte Sie auch interessieren
aufsichtsbehörde prüft rechtsgrundlage öffentliches interesse öffentliche gewalt hoheitliche aufgabe 6 1 e dsgvo tom passwörter bsi risikoanalyse zawas kontrollpflicht auftragsverarbeitung awareness awarenesskampagnenDer Prozess zur Auswahl angemessener Sicherungsmaßnahmen (ZAWAS)
vorabkontrolle videoüberwachung beweismittel bundesarbeitsgericht bag 4 bdsg europarechtswidrig bundesarbeitsgericht bag lag landesarbeitsgericht verwertungsverbotAktuelle Rechtsprechung zur Videoüberwachung
Einwilligung PIMS 26 ttdsg tdddg einwilligungsverwaltungsverordnung werbeanrufe opt-in generierungAnforderungen an Einwilligungen in Werbeanrufe
auftragsverarbeitung kontrolle juristische person als datenschutzbeauftragterAuftragsverarbeitung – Kontrolle der (Unter-)Auftragnehmer
Das dritte Geschlecht im Bereich des Datenschutzes
e-mail verschlüsselung ao bfdi datenschutz schulung sensibilisierung datenschutzhinweiseSensibilisierung der Beschäftigten – Pflicht oder Kür?
Umgang mit Teilnehmer*innenlisten in der Praxisbetriebsrat personal vortrag schulung seminar beschäftigungsverhältnis beschäftigte standortbestimmung dsgvo fachkunde fortbildunge-mail verschlüsselung s/mime pgp nutzung kontaktdatenKönnen Mitglieder oder Kund*innen per Mail angeschrieben werden?