Immer wieder steht Microsoft in der Kritik nicht datenschutzkonform mit den Daten seiner Nutzer umzugehen. Somit ist es nichts neues, dass auch das neue Update für das Microsoft E-Mailprogramm Outlook in der Kritik steht, gegen die aktuell geltenden Datenschutzvorschriften zu verstoßen. Insbesondere erhält Microsoft durch das Update nun über Outlook einen umfassenden Zugriff auf dort erhobene Nutzerdaten. Die Landesbeauftragte für Datenschutz (LDI) NRW hat deshalb die Empfehlung ausgesprochen, „die neue Version vor der Nutzung genau zu prüfen. Bleiben die Bedenken bestehen, sollte das Update – sofern möglich – nicht durchgeführt werden.“ Auch der Bundesbeauftragte für Datenschutz und Informationssicherheit sprach in seiner Empfehlung im Dezember 2023 den Hinweis aus, dass eine datenschutzkonforme Nutzung aktuell nicht möglich sei.

Dieser Blogbeitrag soll einen kurzen Überblick über die, aus datenschutzrechtlicher Sicht, kritischen Punkte über das Outlook Update geben.

Überblick über die neuen Funktionen des Outlook-Updates:

Das Update ist bereits im Microsoft Store verfügbar und wird mit dem Funktionsupdate 23H2 von Windows 11 vorinstalliert. Microsoft bewirbt, dass mit jenem Update unter anderem eine besonders benutzerfreundliche Anwendung des Programms gewährleistet wäre. Insgesamt soll die neue Version von Outlook – laut Aussage von Microsoft – als eine Arbeitserleichterung angesehen werden. Insbesondere soll künftig die Verwaltung des E-Mailpostfaches durch automatische Priorisierung der E-Mails für den Nutzer verbessert und vereinfacht werden.

Tatsächlich können die neuen Funktionen von Outlook eine Erleichterung des Arbeitsalltages mit sich bringen. Dennoch sollten die damit verbundenen datenschutzrechtlichen Risiken nicht außer Acht gelassen werden. Denn jedes neue Feature kann seinen (datenschutzrechtlichen) Preis haben.

Unzureichende datenschutzrechtliche Informationen an die Nutzer seitens Microsoft

Der Nutzer wird nicht vollständig über die Verarbeitung seiner Daten durch Microsoft aufgeklärt, obwohl durch das neue Update alle Nutzer-Accounts (inklusive dazugehöriger Passwörter), E-Mails sowie deren Anhänge analysiert und innerhalb der Microsoft Cloud gespeichert werden. Dies stellt einen Verstoß gegen den Transparenzgrundsatz nach Art. 5 Abs. 1 lit. a DSGVO dar. Denn demnach muss die betroffene Person über die Verarbeitung ihrer personenbezogenen Daten umfassend und in einer für die betroffene Person nachvollziehbaren Weise aufgeklärt werden. Seitens Microsoft erhält der Nutzer bei der Installation des neuen Updates jedoch lediglich die Mitteilung, dass E-Mails künftig mit der Microsoft Cloud synchronisiert werden:

„Die Synchronisierung Ihres Kontos mit der Microsoft Cloud bedeutet, dass eine Kopie Ihrer E-Mails, Kalender und Kontakte zwischen Ihrem E-Mail-Anbieter und Microsoft-Rechenzentren synchronisiert wird. Wenn Sie Ihre Postfachdaten in der Microsoft Cloud haben, können Sie die neuen Features des Outlook-Clients (Neues Outlook für Windows, Outlook für iOS, Outlook für Android, Outlook.com oder Outlook für Mac) genau wie bei Ihren Microsoft-Konten mit Ihrem Nicht-Microsoft-Konto verwenden. Ihre Erfahrung in Ihrem nativen Konto und in allen Apps dieses Anbieters bleibt unverändert.“

Wie und zu welchen konkreten Zwecken die einzelnen Daten an die Cloud übermittelt werden, teilt Microsoft nicht t mit. Des Weiteren wird der Nutzer nicht darüber informiert, dass weitere Daten (wie bspw. seine Zugangsdaten) auch in der Microsoft-Cloud gespeichert werden. Genau diese Intransparenz der Datenverarbeitung stellt aus datenschutzrechtlicher Sicht ein großes Problem dar. Denn der Nutzer muss über jede Datenverarbeitung entsprechend informiert werden (vgl. Art. 5 Abs. 1 lit. a, Art. 13, Art. 14 DSGVO).

Dass Microsoft sehr sparsam mit Informationen über die Verarbeitung der Nutzerdaten sowie deren Verarbeitungszwecke ist, ist keine bahnbrechende Neuigkeit. Zum Thema Microsoft und Datenschutzkonformität – insbesondere zum Thema fehlende Transparenz der Datenverarbeitung seitens Microsoft – hat sich bereits die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder geäußert. Es ist somit wenig überraschend, dass auch im Falle des neuen Outlook -Updates die seitens Microsoft bereitgestellten Informationen über die Verarbeitung der Nutzerdaten nicht ausreichend und konsequent intransparent sind.

Warum Microsoft eine so umfassende Datenverarbeitung vornimmt, wird nicht aufgeklärt. Auch die LDI NRW bemängelt dies in ihrer Stellungnahme vom 20.12.2023. Mit folgendem Satz wurde hierzu Stellung bezogen: „Es bleibt unklar, zu welchen konkreten Zwecken die Verarbeitung dieser Daten erfolgt.“

Fehlende Rechtsgrundlage der Datenverarbeitung

Eine datenschutzkonforme Verarbeitung der Nutzerdaten bedarf stets einer Rechtsgrundlage aus der DSGVO oder einem Spezialgesetz. Der umfangreichen Datenverarbeitung durch Microsoft mit Hilfe des neuen Outlook-Updates fehlt es jedoch an einer Rechtsgrundlage.

Im vorliegenden Fall basiert die umfassende Verarbeitung der Nutzerdaten weder auf dem berechtigten Interesse von Microsoft nach Art. 6 Abs. 1 S. 1 lit. f DSGVO, noch auf dem Zweck der Vertragserfüllung gem. Art. 6 Abs. 1 S. 1 lit. b DSGVO. Folglich kommt damit als Rechtsgrundlage nur eine explizite Einwilligung seitens des Nutzers in die jeweiligen Datenverarbeitungen (Nutzeraccounts, Passwörter, etc.) nach Art. 6 Abs. 1 S. 1 lit. a DSGVO in Betracht. Eine solche wird aber von Microsoft bisher nicht eingeholt. Die Informationen, die von Microsoft dem Nutzer bereitgesellt werden, sind – auch nach Ansicht des Bundesbeauftragten für Datenschutz – nicht ausreichend.

Fazit:

Der Einsatz von Microsoft Produkten oder Apps ist aus datenschutzrechtlicher Sicht weiterhin bedenklich. Dies zeigt sich auch wieder anhand des neuen Updates von Outlook. Obwohl das neue Update den (Arbeits-) Alltag vereinfachen kann, indem bspw. Mails priorisiert werden, sollte man sich dennoch der umfassenden Datenverarbeitung durch Microsoft bewusst sein. Denn jedes neue Feature hat bei Microsoft auch seinen Preis. Ob man bereit ist für den neuen Komfort eine umfassende Datenverarbeitung zu zulassen, muss jeder für sich selbst entscheiden. Viele Landesbeauftragen für Datenschutz sowie der Bundesbeauftragte für Datenschutz raten von einem weiteren Einsatz von Microsoft Outlook nach der Installation des neuen Updates ab.