Graph und Delve: Bremen prüft, ob Office 365 eine Daten­schutz-Folgen­abschätzung braucht

Microsoft Office 365 ist eine Kom­bi­na­tion aus Online-Dienst, Office-Web-Anwendung und Office-Soft­ware-Abonne­ment, die von vielen Unter­nehmen, Ver­wal­tun­gen und Schulen ge­nutzt wird. Im Herbst 2018 kam eine von der nieder­ländischen Regierung ver­anlasste Unter­suchung aller­dings zu dem Er­geb­nis, dass Micro­soft gegen die DSGVO verstoße.

Microsoft sammele systematisch, in großem Umfang Daten über die individuelle Nutzung von Word, Excel, PowerPoint und Outlook, ohne die Nutzer oder den Anwender ausreichend zu informieren. Microsoft biete zudem keine Wahl in Bezug auf die Datenmenge, keine Möglichkeit, die Sammlung auszuschalten, und keine Möglichkeit, zu sehen, welche Daten gesammelt werden, da der Datenstrom verschlüsselt ist.

Die Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen hat zahlreiche Nachfragen zu Office 365 zum Anlass genommen, den Einsatz der Software im Hinblick auf die Sicherheit und Rechtmäßigkeit der Verarbeitung personenbezogener Daten genauer zu betrachten. Mit den Modulen Office Graph und Delve von Microsoft Office 365 sei grundsätzlich eine (datenschutzrechtlich unzulässige) Überwachung und Kontrolle der Beschäftigten möglich. Der Senat der Freien Hansestadt Bremen hat bereits angekündigt, Microsoft Office 365 aufgrund der damit verbundenen datenschutzrechtlichen Risiken nicht einzusetzen.

Aus diesem Grund befragt die Landesdatenschutzbeauftragte nun auch Unternehmen zur Nutzung von Microsoft Office 365. Es ist danach nicht auszuschließen, dass die LfDI eine Datenschutz-Folgenabschätzung im Zusammenhang mit dem Einsatz von Office 365 für erforderlich hält.

Von Thomas Hofer, Akademischer Direktor am Rechtsinformatikzentrum der Ludwig-Maximilians-Universität München