Het gebruik van Microsoft Office 365 door overheden, bedrijven en onderwijsinstellingen is in strijd met de Algemene Verordening Gegevensbescherming (AVG). Het Amerikaanse hard- en softwarebedrijf is niet transparant genoeg om welke gegevens het verzamelt en verwerkt. Toezichthouders dringen er op aan om zo snel mogelijk verbeteringen aan te brengen.
Dat vertelden Duitse regionale toezichthouders tijdens de Datenschutzkonferenz (DSK), die afgelopen week plaatsvond (1).
De toezichthouders wilden een antwoord op de vraag of de verwerking van gebruikersgegevens met Microsoft Office 365 aan de Europese privacywetgeving voldoen en zodoende rechtmatig zijn. Daarvoor hebben de toezichthouders diverse documenten van het Amerikaanse technologiebedrijf bestudeerd, waaronder het privacybeleid en de dataverwerkingsovereenkomst.
“Op basis van deze documenten was het niet mogelijk om Microsoft Office 365 te gebruiken op een manier die voldeed aan de vereisten inzake gegevensbescherming”, zo concluderen de regionale toezichthouders. Uit de bestudeerde documenten is onduidelijk welke gegevens Microsoft voor welke doeleinden verzamelt en verwerkt. Omdat Microsoft geen openheid van zaken geeft over deze onderwerpen, kunnen de toezichthouders niet anders dan concluderen dat Microsoft in strijd handelt met de AVG.
Hoewel het techbedrijf een nieuwe dataverwerkingsovereenkomst heeft geïntroduceerd, blijkt ook daar niet uit welke data Microsoft verzamelt voor welke doeleinden. Een werkgroep onder leiding van de Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) heeft in een gesprek met Microsoft geadviseerd om “snel verbeteringen aan te brengen die in overeenstemming zijn met de [Europese] gegevensbescherming”.
Microsoft is het niet eens met het standpunt van de Duitse regionale toezichthouders. In een Duitstalige blog schrijft het Amerikaanse hard- en softwarebedrijf dat ze de Europese regels over gegevensbescherming overtreft (2).
“De bezorgdheid van de DSK houdt onvoldoende rekening met de wijzigingen die we al hebben aangebracht en is gebaseerd op verschillende misverstanden over de werking van onze diensten en de maatregelen die we al hebben genomen. We zijn ook van mening dat het DSK-rapport geen rekening houdt met belangrijke wetswijzigingen die een betere privacybescherming bieden voor het EU-VS-gegevensverkeer”, aldus Microsoft.
Het techbedrijf zegt de oproep van de regionale toezichthouders voor meer transparantie uiterst serieus te nemen. Microsoft belooft om meer informatie te verstrekken over de gegevensstromen van haar Office 365-klanten. “We zullen ook meer transparantie creëren over de locaties en verwerking door onderaannemers en Microsoft-medewerkers buiten de EU”, zo belooft het bedrijf.
https://datenschutzkonferenz-online.de/media/dskb/2022_24_11_festlegung_MS365_zusammenfassung.pdf
https://news.microsoft.com/de-de/microsoft-erfuellt-und-uebertrifft-europaeische-datenschutzgesetze/
