Der Einsatz von Microsoft 365 (ehemals Office 365) und Teams ist datenschutzrechtlich anspruchsvoll, da umfangreiche Beschäftigtendaten verarbeitet werden.
Auftragsverarbeitung und gemeinsame Verantwortlichkeit: Microsoft verarbeitet Daten teilweise als Auftragsverarbeiter (Art. 28 DSGVO), teilweise aber auch zu eigenen Zwecken (Telemetrie, Diagnostik, Produktverbesserung). Soweit Microsoft Daten zu eigenen Zwecken verarbeitet, liegt keine reine Auftragsverarbeitung vor. Die DSK-OH Videokonferenzsysteme (2020) betont: Wenn der Online-Dienst-Anbieter Daten zu eigenen Zwecken verarbeitet, ist für jede Datenübermittlung eine eigene Rechtsgrundlage erforderlich.
Telemetrie und Diagnosedaten: Microsoft sammelt umfangreiche Telemetriedaten. Die DSK empfiehlt, die Telemetrieeinstellungen auf das Minimum zu reduzieren und die Datenabflüße genau zu prüfen.
Drittlandstransfer: Microsoft hat Rechenzentren in der EU, verarbeitet aber Daten auch in den USA. Der Drittlandstransfer muss den Anforderungen der Art. 44 ff. DSGVO genügen. Das EU-US Data Privacy Framework kann als Grundlage dienen, sofern Microsoft unter dem Framework zertifiziert ist.
Beschäftigtendatenschutz: Die Auswertung von Aktivitätsdaten der Mitarbeiter (z.B. Productivity Score, Anwesenheitsstatus, Kommunikationshäufigkeit) ist nach Paragraph 26 BDSG nur zuläßig, soweit sie für die Durchführung des Beschäftigungsverhältnisses erforderlich ist. Die Nutzung zur Leistungs- und Verhaltenskontrolle ist kritisch und unterliegt der Mitbestimmung des Betriebsrats.
DSFA: Bei umfangreichem Einsatz von Microsoft 365 mit Beschäftigtendaten ist eine DSFA nach Art. 35 DSGVO regelmäßig erforderlich.
Praktische Empfehlung: Betriebsvereinbarung abschließen, Telemetrie minimieren, Productivity-Features deaktivieren oder einschränken, AV-Vertrag prüfen und ggf. durch Art. 26-Vereinbarung ergänzen, Drittlandstransfer absichern, DSFA durchführen, Beschäftigte transparent informieren.