Outlook-Update und DSGVO - Riskanter Drahtseilakt in der Cloud

Mit dem neuen Microsoft Outlook steht eine technische Weiterentwicklung bereit, die insbesondere durch ihre Cloud-Zentrierung datenschutzrechtlich kritisch zu bewerten ist. Obwohl das Tool optisch und funktional überzeugt, ermöglicht es Microsoft tiefgreifende Einsicht in E-Mails, Kalenderdaten und Kontakte – selbst bei der Nutzung von Drittanbieter-Konten wie Gmail. Alle Daten laufen über die Microsoft-Cloud, was bedeutet: Auch Inhalte, die zuvor außerhalb der Microsoft-Infrastruktur lagen, werden nun zentral verarbeitet und gespeichert.

Nach europäischem Datenschutzverständnis handelt es sich dabei um personenbezogene Daten, deren Verarbeitung klaren rechtlichen Grundlagen unterfällt. Eine bloße Einwilligung der Betroffenen ist häufig nicht ausreichend. Für Unternehmen stellt sich daher die Frage, ob der Einsatz mit der DSGVO noch vereinbar ist – insbesondere mit Blick auf Datenübermittlungen in Drittländer. Zwar wurde durch das aktuell bestehende EU-US Data Privacy Framework (DPF) wieder ein sogenannter Angemessenheitsbeschluss verabschiedet, der den Datentransfer in die USA formal erleichtert. Doch es besteht derzeit ein schwebender Zustand: Die Vereinbarung steht unter der Beobachtung von Datenschutz Aufsichtsbehörden.  Zudem könnte ein potenzielles “Schrems III-Urteil” das Datenschutzniveau der USA erneut als unzureichend einstufen und damit das DPF zu Fall bringen – mit weitreichenden Folgen für Unternehmen, die auf US-Dienste wie Microsoft setzen oder sogar zwingend angewiesen sind.

Daher sollten Unternehmen unbedingt prüfen, ob ihre bestehenden Auftragsverarbeitungsverträge mit Microsoft noch den neuen Gegebenheiten standhalten, und ob zusätzliche (technische- und organisatorische) Schutzmaßnahmen erforderlich sind. Ebenso empfiehlt sich die Anfertigung einer sogenannten Datenschutz-Folgenabschätzung, um potenzielle Risiken frühzeitig zu identifizieren. Wer besonderen Wert auf Datenschutz legt, sollte zudem Alternativen in Betracht ziehen oder Microsoft-Dienste so konfigurieren, dass möglichst wenige personenbezogene Daten verarbeitet werden.

Die Lage bleibt dynamisch:

Unternehmen sollten technische Entwicklungen und rechtliche Rahmenbedingungen beobachten, um jederzeit datenschutzkonform agieren zu können – nicht zuletzt, um empfindliche Bußgelder und Reputationsrisiken zu vermeiden.

Noch Fragen? Wir helfen gerne weiter!