Ist Microsoft 365 - Office Update seriös?

Abbrechen und auf eine "Lokale" Installation der Software ausweichen oder eine Alternative nutzen, die wir auch auf 3 PC's mittlerweile installiert haben

SoftMaker Office | Die DSGVO-konforme Alternative zu Microsoft Office

--> Nein

https://www.dr-datenschutz.de/datenschutz-microsoft-365-dsgvo-konformer-einsatz-moeglich/

Zitat aus der Quelle :

Bei der Nutzung von MS 365 verarbeitet Microsoft eine Vielzahl von Daten und dabei auch personenbezogene Daten. Ein Teil der Datenverarbeitungen betreffen die Funktionsdaten. Funktionsdaten werden von Anwendungen und Diensten benötigt, um bestimmte Funktionen oder Anforderungen von Benutzer*innen erfüllen zu können. Beispielsweise benötigt Microsoft den Standort eines Geräts, um die Uhrzeit zu synchronisieren oder lokale Wetterdaten bereitzustellen. Diese Daten dienen auch zur Prüfung, ob für eine App aus dem Windows Store die notwendige Lizenz vorliegt.

Die Verarbeitungen von Funktionsdaten resultieren aus der Weisung des Auftraggebers an Microsoft. Die Weisung entspricht dabei der Nutzung des Dienstes durch den Auftraggeber.

Microsoft hat die Verarbeitungszwecke der erforderlichen Diagnosedaten stark eingeschränkt (z.B. Funktionieren der Systeme) und agiert als Auftragsverarbeiter. Die optionalen Diagnosedaten können aber hinsichtlich der Datenverarbeitungszwecke problematisch sein. Microsofts exzessive Nutzung dieser Daten zu eigenen Zwecken (insbesondere zur Produktverbesserung) führte dazu, dass das Unternehmen seine Stellung als Auftragsverarbeiter verlor. Microsoft und Microsoft 365-Kunde wären damit gemeinsam Verantwortliche nach Art. 26 DSGVO gewesen. Dafür stellte Microsoft jedoch kein entsprechendes Vertragswerk zur Verfügung.

Am 24.11.2022 veröffentlichte die Arbeitsgruppe der DSK ihre langersehnten Ergebnisse. Sie besagten, dass ein datenschutzkonformer Betrieb von Microsoft 365 auf Grundlage des von Microsoft bereitgestellten Datenschutznachtrags vom 15. September 2022 nicht möglich sei. Dieser „Datenschutznachtrag“, ist die Bezeichnung von Microsoft für einen Auftragsverarbeitungsvertrag i.S.v. Artikel 28 DSGVO. Der Nachtrag umfasst die gesamten Dienste von Microsoft 365.

Begründet wird die Festlegung der DSK in der Zusammenfassung des Berichts der Arbeitsgruppe wie folgt:

1. Mangelnde Transparenz durch Microsoft:
2. Es ist nach Auffassung der DSK unklar, welche Daten Microsoft als Auftragsverarbeiter und welche für eigene Zwecke verarbeitet. Ebenso sei, soweit Microsoft personenbezogene Daten in eigener Verantwortung verarbeitet, die Rechtsgrundlage dafür unklar. Die mangelnde Transparenz habe zur Folge, dass Verantwortliche ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nicht nachkommen können.
3. Microsoft übermittle rechtswidrig personenbezogene Daten in unsichere Drittstaaten, insbesondere in die USA. Die Offenlegungen personenbezogener Daten etwa nach CLOUD Act und FISA 702 lasse sich nicht mit den gesetzlichen Vorgaben für die Auftragsverarbeitung vereinbaren.
4. Bei der Umsetzung technischer und organisatorischer Maßnahmen durch Microsoft blieben – nach Meinung der DSK – Rechtsunsicherheiten.
5. Die Ausgestaltung der Rückgabe- und Löschverpflichtungen genüge in jedem Fall nicht den Anforderungen der einschlägigen Regelungen aus Art. 28 DSGVO.
6. Die Informationen durch Microsoft über neue Unterauftragsverarbeiter sind nach dem Verständnis der DSK nicht detailliert genug.