In Frankreich hat der Bildungsminister Pap Ndiaye kürzlich erklärt, dass die kostenlosen Versionen von Microsoft 365 Edu nicht mehr in den Schulen des Landes eingesetzt werden sollen. Diese seien nicht mit der europäischen Datenschutzverordnung (DSGVO) konform. Weiter hiess es vom Ministerium, dass "die Einführung von Office 365 in den französischen Behörden verboten ist".

Ebenfalls letzte Woche hat sich in Deutschland die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) zu M365 geäussert, nachdem eine interne Arbeitsgruppe einen Bericht (PDF) zu den Onlinediensten von Microsoft vorgelegt hatte. Ausgehend des Berichts schreibt die DSK in einer "Festlegung", dass der Nachweis, "M365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten 'Datenschutznachtrags vom 15. September 2022' nicht geführt werden kann".

"Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmässigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden", so die DSK.

Microsoft wiederum reagierte auf die Einschätzung der DSK mit einer 7-seitigen Stellungnahme (PDF). Darin heisst es: "Einige Datenschutzbehörden in Deutschland scheinen die DSGVO übermässig risikoscheu auszulegen." Der Konzern wirft den Behörden einen "ausufernden Aufsichtsansatz" vor, der keinen Betroffenenschutz mehr verfolge und "Datenschutz zum dogmatischen Selbstzweck" mache. Dieser überfordere und lähme Verantwortliche wie zum Beispiel Schulleitungen bei der Erstellung einer Datenschutz-Folgenabschätzung.

An verantwortliche Datenverarbeitende dürften "keine übermässigen Anforderungen gestellt werden". Die technische Umsetzung könne durch die Verarbeitenden selbst in gewissem Rahmen bestimmt werden. "Kunden müssen die technische Funktionsweise von Microsoft 365 nicht vollständig verstehen", so der Konzern. Eine ausufernde Erwartung an Verantwortliche sei praxisfern und blockiere technischen Fortschritt, "selbst wenn dieser der Verbesserung der eingesetzten Technologie oder ihrer Sicherheit dient".

Microsoft aggregiere lediglich pseudonymisierte, personenbezogene Daten und berechne Statistiken bezogen auf Kundendaten. "Von 'eigenen Zwecken' Microsofts zu sprechen, ist irreführend. Die Verarbeitung für Geschäftstätigkeiten ist durch die Bereitstellung der Produkte und Dienste an den Kunden veranlasst und erfolgt auch im Interesse der Kunden", so die Stellungnahme. Die vorgesehenen Geschäftstätigkeiten seien "notwendiger Teil der Bereitstellung, Abrechnung und Planung jedes komplexen Cloud-Produktes, nicht nur bei Microsoft".

Die DSK hatte auch Bedenken wegen Datenübermittlungen in Drittstaaten geäussert. Eine Nutzung von M365 ohne Übermittlungen personenbezogener Daten in die USA sei nicht möglich. Microsoft teile diese Einschätzung der DSK nicht, heisst es dazu. "Es ist rechtlich nicht geboten, jedes theoretische Restrisiko, etwa eines behördlichen Zugriffs im Drittstaat, im Zusammenhang mit einer internationalen Datenübermittlung auszuschliessen." Zudem gehe Microsoft mit vertraglichen Zusagen über die rechtlichen Anforderungen hinaus, um die Daten seiner Kunden zu schützen.

In der Schweiz bietet der Konzern Kunden an, M365-Daten in hiesige Rechenzentren migrieren zu lassen. Doch auch hierzulande sehen Datenschützer den Einsatz von M365 kritisch. So äusserte sich die Konferenz der schweizerischen Datenschutzbeauftragten (Privatim) zu einem Entscheid der Zürcher Kantonsregierung, den Einsatz von M365 zu genehmigen. Dieser sei "kein Freipass für die Einführung von M365 in der Verwaltung". So sei die Begründung des Entscheids der Regierung keinesfalls für die Bewertung einer Cloud-Lösung wie M365 ausreichend. Die Zürcher Datenschützerin Dominika Blonski sagte gegenüer inside-it.ch, M365 sei bestimmt ein guter Weg, aber er müsse nach allen gesetzlichen Vorgaben beschritten werden.