Microsoft stellt mit seinen Produkten um Microsoft365 (vormals Office365) eine Vielzahl unterschiedlicher Softwareanwendungen für die Anwender der Software zur Verfügung. Auch wenn der Einsatz von Microsoftprodukten weltweit üblich und bewährt ist, sind die Datenschutzanforderungen nach DSGVO zu berücksichtigen. Ein probates Prüfmittel zur Bewertung der Risiken ist dabei die Datenschutzfolgeabschätzung nach Art.35 DSGVO. Das Ergebnis einer Datenschutzfolgeabschätzung bewertet die Datenverarbeitung in Bezug auf das anzunehmende Risiko der Betroffenen (Anwender der Software). Dazu wurde im Jahr 2019 eine Datenschutzfolgeabschätzung der niederländischen Regierung in Auftrag gegeben, die zu dem Ergebnis kam, dass Microsoft gegen geltendes Datenschutzrecht verstößt. In dem Ergebnis konnte detailliert dargestellt werden, dass Microsoft Diagnose- und Funktionsdaten für eigene Zwecke verarbeitet. Nach der Veröffentlichung reagierten die deutschen Behörden sehr kritisch und ein Einsatz von Microsoft Produkten an bspw. Schulen wurde in Hessen untersagt.
Seitdem hat Microsoft seine Produkte weiterentwickelt und Möglichkeiten geschaffen, um den Ergebnissen der Datenschutzfolgeabschätzung entgegenzuwirken. Microsoft365 Produkte zu Office (Outlook, Word, Excel etc.) ab dem Build 1904 und Windows 10 ab dem Build 1909 stellen Konfigurationsmöglichkeiten bereit, um datenschutzfreundliche Voreinstellungen zu treffen. Diese können durch den Administrator der IT-Systeme entweder lokal auf dem jeweiligen Gerät oder zentral über das Adminportal von Microsoft365 (Complianceeinstellungen) verwaltet werden. Hierzu sind die Systemeinstellungen der Funktionen „Diagnose und Feedback“ ausschlaggebend und diese sind anhand unterschiedlicher Level auszuwählen. Eine umfangreiche Beschreibung zur datenschutzfreundlichen Voreinstellung stellt Microsoft auf seinen Supportseiten online mit dem Suchwort „Datenschutz“ unter https://support.office.com/de-de/ für das jeweilige Produkt bereit. Dem Verantwortlichen ist die Erstellung eines Konzeptes der Datenschutzeinstellungen zu Microsoft zu empfehlen, das im Zuge der Beschreibung dieser Tätigkeit im Verarbeitungsverzeichnis zu dokumentieren ist.
Das bayerische Landesamt für Datenschutzaufsicht kam im 9. Tätigkeitsbericht für das Jahr 2019 unter Punkt 3.4 zum Ergebnis das unter Berücksichtigung datenschutzfreundlicher Einstellungen ein Betrieb von Windows 10 kein datenschutzrechtlicher Hinderungsgrund darstellt. Weitere Ausführungen der Aufsichtsbehörden zur datenschutzkonformen Nutzung der Officeprodukte sind abzuwarten.
Meiner Auffassung nach ist ein datenschutzkonformer Einsatz von Microsoftprodukten unter Einhaltung der erforderlichen Datenschutzeinstellungen möglich. Diese Auffassung beinhaltet auch eine einhergehende Analyse und Bewertung der einzusetzenden Produkte, denn bspw. das Produkt „MyAnalytics“ beinhaltet Funktionen zur Nutzungsanalyse der Anwender und dies steht in einem Widerspruch zu den Anforderungen des Mitarbeiterdatenschutzes.