Tyskland: Användning av Office 365 inte förenligt med GDPR

Den tyska dataskyddskonferensen (”DSK”), en styrgrupp som består av Tysklands samtliga dataskyddsmyndigheter, har beslutat att det för nuvarande inte är möjligt att använda Office 365 på ett sätt som är förenligt med dataskyddsförordningen (”GDPR”). Beslutet fattades den 22 september 2020 (läs mer om detta här). DSK har hittills inte publicerat beslutet men innehållet har läckt till den tysk datatidningen Heise Online. Tidningen har analyserat beslutet och sammanställt skälen i en nyligen publicerad artikel (du kan hitta artikeln här).

Som ett viktigt skäl för varför användning Office 365 inte är förenlig med GDPR anges att det saknas en rättslig grund för den omfattande insamling och bearbetning av användardata som genomförs av Microsoft. Med detta menas data som Microsoft samlar in om användarnas användning av tjänsten, till exempel genom att samla in diagnosdata eller telemetridata. Detta innebär bland annat att Microsoft samlar in omfattande information om hur medarbetare i en organisation som använder Office 365 nyttjar tjänsten. Eftersom denna information är kopplad till enskilda individer utgör sker en behandling av personuppgifter (vi har skrivit mer om detta här). Microsoft behandlar denna information för egna ändamål som inte styrs av organisationen som köpt Office 365. För att denna personuppgiftsbehandling ska vara laglig krävs en giltig rättslig grund (som enligt DSK:s uppfattning saknas).

Ytterligare ett skäl som anges är att Microsoft kan tvingas att dela information som hanteras i Office 365 med myndigheter i tredjeländer (länder utanför EU/EES) enligt lagstiftningen i det tredjelandet. Sådana typer av delningar får dock endast ske i enlighet med gällande EU-rätt eller särskilda rättsliga överenskommelser med det aktuella tredjelandet. I samband med detta anser DSK att det finns ett fortsatt utredningsbehov avseende CLOUD Act. En analys av konsekvenserna av Schrems-II målet ingick inte i DSK:s beslut men det är sannolikt att beslutet även kommer att uppdateras utifrån detta.

Vidare anser DSK att Microsoft inte tillhandahåller tillräckligt med information för att en organisation som vill använda Office 365 ska kunna bedöma vilka säkerhetsrisker som kan uppstå i samband med användningen av tjänsten. DSK kritiserar även att Microsoft inte raderar personuppgifter som Microsoft samlar in och behandlar för egna ändamål.

Vill du lära dig mer om GDPR och informationssäkerhet kan du läsa om våra aktuella kurser här.

Vill du ha hjälp med rådgivning i frågor om IT och dataskydd kan du läsa mer här.

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

06 OKT

Säkerhet för
icke-tekniker

Få en övergripande introduktion till säkerhet vid behandling av personuppgifter.

13 OKT

Privacy by Design
& Privacy by Default

Öka dina kunskaper om GDPR:s krav på inbyggt dataskydd och dataskydd som standard.

10 NOV

Artificiell intelligens & personuppgifter

Få en genomgång av de viktigaste reglerna för AI ur ett dataskyddsperspektiv.