Im 15. Tätigkeitsbericht, der am 26. März 2019 veröffentlicht wurde, nimmt der Landesbeauftragte für den Datenschutz Stellung zum Sachstand der Microsoft Cloud Dienste. Bereits im vorangegangenen Tätigkeitsbericht informierte er über seine rechtlichen Bedenken der Speicherung von Daten außerhalb der EU und möglicher Zugriffe Dritter auf diese Daten. Bereits seit 31. August 2018 werden keine neuen Kunden für die Dienste der Microsoft Cloud Deutschland (MCD) zugelassen.

Auch wenn neue Rechenzentren für die Microsoft Cloud Dienste ab 2020 in Berlin und Frankfurt geplant sind und sich Microsoft auch zur Einhaltung der DS-GVO bekennt, sieht der Landesbeauftragte derzeit die Nutzung der Microsoft Cloud Dienste unter dem Aspekt der Anforderung nach Art. 28 DS-GVO für kritisch. „Wichtig aus Sicht der Aufsichtsbehörden, dass der Auftraggeber als Kunde ‚Herr’ über des Verfahrens bleibt und Datenzugriffe und –übertragungen nur auf Weisung des Kunden erfolgen.“ Er schließt seine Einschätzung mit der Feststellung: „Die rechtliche Bewertung von Cloud-Produkten wie Microsoft Office 365 ist noch nicht abgeschlossen.“ (vgl. https://datenschutz.sachsen-anhalt.de/fileadmin/Bibliothek/Landesaemter/LfD/PDF/binary/Informationen/Veroeffentlichungen/Taetigkeitsberichte/TB_15/LfD_ST_-_15._Taetigkeitsbericht_-_2018.pdf)

Wir können uns der Meinung des Landesdatenschutzbeauftragten nur anschließen und empfehlen aktuell keinen Einsatz von Microsoft Cloud Diensten. In diesem Zusammenhang sei auch auf den aktuell bekanntgewordenen Datenschutz-Verstoß bei Mircosofts Online E-Mail-Dienst „Outlook.com“ hingewiesen. Dort hatten Unbefugte drei Monate lang Zugriff auf Kundendaten. (vgl. https://www.golem.de/news/microsofts-outlook-com-unbefugte-hatten-drei-monate-lang-zugriff-auf-kundendaten-1904-140664.html)