Microsoft 365 (ehemals Office 365) ist eine Softwarelösung der Microsoft Corporation, die verschiedene Office-Anwendungen wie Mailprogramm, Textverarbeitung, Tabellenkalkulation, Präsentationssoftware, Datenbanksoftware, Videokonferenzen u.a.m. umfasst.

Hinsichtlich des technischen Betriebs bestehen verschiedene Ausprägungen. So existieren Versionen, die den Betrieb auf der eigenen IT-Infrastruktur des Verantwortlichen oder eines Dienstleisters erlauben sowie Versionen auf der Grundlage von Webanwendungen; beides in Kombination mit integrierten Cloud-Funktionalitäten.

Der Einsatz von Softwareprodukten wie Microsoft 365 geht mit der Übermittlung personenbezogener Daten in die USA einher, für welche ein angemessenes Datenschutzniveau entsprechend der DS-GVO sichergestellt sein muss. Seit dem 10. Juli 2023 liegt ein neuer Angemessenheitsbeschluss zum Datentransfer in die USA auf der Grundlage des „EU-US Data Privacy Framework“ vor, welcher als Rechtsgrundlage herangezogen werden kann.

Unabhängig vom Angemessenheitsbeschluss obliegt es jedoch jedem Verantwortlichen, die technischen und organisatorischen Maßnahmen zu treffen, die im Interesse der Datensparsamkeit eine Übermittlung personenbezogener Daten in ein Drittland reduzieren. Hierzu wird weiterhin insbesondere empfohlen:

• Der Betrieb von Microsoft 365 auf eigenen IT-Strukturen des Verantwortlichen („on-Premises-Lösung“) oder bei Stellen innerhalb der EU/des EWR ist vorzugswürdig.
• Die Nutzung produktseitig vorhandener Konfigurationsmöglichkeiten, um die Übertragung von Diagnose-/Telemetriedaten weitest gehend zu unterbinden. Dies bezieht sich auch auf das verwendete Betriebssystem.
• Eine Filterung bei der Übermittlung personenbezogener Telemetriedaten über eine entsprechende Infrastruktur (Firewall) soweit diese nicht durch Konfigurationsvorgaben unterbunden werden kann.
• Die Verwendung dienstlicher pseudonymer Mailadressen/Accounts (idealerweise temporär aus einem Pool) und das Verbot der Nutzung privater Microsoft Accounts.
• Die Nutzung über einen vorkonfigurierten und abgesicherten Browser mit integrierten Schutzmaßnahmen zur weitest gehenden Anonymisierung/Gleichschaltung der Metadaten.
• Die Zwischenschaltung entsprechend vorkonfigurierter Terminal-Clients zur weitest gehenden Anonymisierung/Gleichschaltung der Metadaten.
• Bei der cloudbasierten Dateiablage ist der Einsatz einer (zwischengeschalteten) Inhaltsverschlüsselung nach dem Stand der Technik zu prüfen.

Ein weiteres wichtiges Element ist die Anpassung der Auftragsverarbeitungsvereinbarung mit Microsoft. Hierzu gibt es eine durch eine Arbeitsgruppe der DSK erarbeitete Handreichung für die Verantwortlichen zum Abschluss einer Auftragsverarbeitungsvereinbarung gem. Art. 28 Abs. 3 DSGVO mit Microsoft für den Einsatz von „Microsoft 365“.