Im November letzten Jahres veröffentlichte die Privacy Company B.V. die Ergebnisse einer im Auftrag des niederländischen Ministeriums für Sicherheit und Justiz durchgeführten Datenschutz-Folgenabschätzung (wir berichteten). Danach sammelt Microsoft zur Verbesserung der eigenen Dienste unter anderem über eine in die Office-Programme integrierte separate Software (ohne das Wissen der Administratoren) regelmäßig und in großem Umfang Telemetriedaten über die individuelle Nutzung von Word, Excel, PowerPoint und Outlook. Diese Daten wurden dann an ihre eigenen Server in die USA gesendet.

Diese Vorgehensweise von Microsoft erntete viel Kritik und ließ nicht zuletzt auch erhebliche Sanktionen befürchten. Daneben verbreitete diese Offenlegung auch in vielen Unternehmen die das Produkt einsetzen Unsicherheit, da hierdurch die bei der Verwendung der Software-Lösung ohnehin bestehenden Datenschutz-Risiken, etwa aufgrund des CLOUD-Acts, deutlich gesteigert wurden.

Kurzer Exkurs CLOUD-ACT:

Seit Ende März 2018 findet das US-Gesetz „Clarifying Lawful Overseas Use of Data Act“ (CLOUD-Act) in den USA Anwendung, das US-Behörden abseits von Rechtshilfeabkommen den Zugriff auch auf im Ausland gespeicherten Daten gestattet, soweit der die Daten speichernde IT- oder Cloud-Dienstleister seinen Sitz in den USA hat.

Im Hinblick auf die Herausgabe von Daten an Behörden eines Landes außerhalb der EU normiert Art. 48 DSGVO allerdings eine abschließende Regelung, wonach Urteile eines Gerichts eines Drittlands und jegliche Entscheidung einer Verwaltungsbehörde eines Drittlands, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, nur anerkannt oder vollstreckt werden dürfen, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind.

In der Konsequenz werden US-Unternehmen wie Microsoft dazu verpflichtet, personenbezogene Daten an US-Behörden herauszugeben, auch wenn die lokalen Bestimmungen am Ort der Speicherung, wie vorliegend, dies verbieten. Insoweit kollidieren die europarechtlichen Regelungen mit denjenigen der USA.  

Ob und wie sich dieser Widerspruch künftig auf Gesetzesebene lösen lässt, ist derzeit nicht absehbar.

Microsoft versprach seinerzeit Anpassungen, um die datenschutzrechtliche Konformität in diesem Punkt künftig gewährleisten zu können. Nach ungewissen fünf Monaten reagiert Microsoft auf die Kritik und bietet nun erstmals, zumindest in Bezug auf Office 365 ProPlus (ab Version 1904), eine Lösung unter Zuhilfenahme von Einstellungsmöglichkeiten an. Künftig können Nutzer entscheiden, ob und gegebenenfalls in welchem Umfang sogenannte Diagnosedaten durch Microsoft verwendet werden können. Weitere Informationen dazu finden sich hier.

 Die neuen Einstellungsoptionen im Einzelnen:

Die aktualisierten Einstellungsoptionen umfassen folgende Zugriffsebenen, unter denen der Nutzer auswählen kann:

  • Erforderliche Diagnosedaten

Hierbei wird die Mindestmenge erfasst, um das Produkt sicher und auf dem aktuellen Stand zu halten und die erwartete Leistung sicherzustellen.

  • Optionale Diagnosedaten

Dies betrifft darüberhinausgehende Daten, die bei Produktverbesserungen und Problembehebungen unterstützen können.

Welche Daten in beiden Fällen konkret erfasst werden, kann hier bzw. hier nachgelesen werden.

  • Weder noch

Der Nutzer kann sich auch gegen jedwede Erfassung von Diagnosedaten entscheiden.

Wichtig in diesem Zusammenhang ist jedoch, dass ohne eine entsprechende Konfiguration durch den Nutzer sowohl die erforderlichen als auch die optionalen Diagnosedaten erfasst werden.

Darüber hinaus gibt es diese neuen Einstellungsoptionen derzeit auch nur für folgende Office-Anwendungen:

Excel für Office 365, Word für Office 365, Outlook für Office 365, PowerPoint für Office 365, Excel 2019, Word 2019, Outlook 2019, PowerPoint 2019, Excel 2016, Word 2016. Outlook 2016 PowerPoint 2016.

Weitere Anpassungen wurden jedoch in Aussicht gestellt.

Fazit:

Die neuen Einstellungsmöglichkeiten stellen für viele Unternehmen endlich eine begrüßenswerte Anpassung dar, da damit zumindest ein bestehendes Nutzungsrisiko, natürlich nur auf die davon erfassten Produkte und Anwendungen eingedämmt sein dürfte.