Tyskland: Användning av Office 365 inte förenligt med GDPR

Den tyska dataskyddskonferensen (”DSK”), en styrgrupp som består av Tysklands samtliga dataskyddsmyndigheter, har beslutat att det för nuvarande inte är möjligt att använda Office 365 på ett sätt som är förenligt med dataskyddsförordningen (”GDPR”). Beslutet fattades den 22 september 2020. DSK har hittills inte publicerat beslutet men innehållet har läckt till den tysk datatidningen Heise Online.

Som ett viktigt skäl för varför användning Office 365 inte är förenlig med GDPR anges att det saknas en rättslig grund för den omfattande insamling och bearbetning av användardata som genomförs av Microsoft. Med detta menas data som Microsoft samlar in om användarnas användning av tjänsten, till exempel genom att samla in diagnosdata eller telemetridata. Detta innebär bland annat att Microsoft samlar in omfattande information om hur medarbetare i en organisation som använder Office 365 nyttjar tjänsten. Eftersom denna information är kopplad till enskilda individer utgör sker en behandling av personuppgifter. Microsoft behandlar denna information för egna ändamål som inte styrs av organisationen som köpt Office 365. För att denna personuppgiftsbehandling ska vara laglig krävs en giltig rättslig grund (som enligt DSK:s uppfattning saknas).

Ytterligare ett skäl som anges är att Microsoft kan tvingas att dela information som hanteras i Office 365 med myndigheter i tredjeländer (länder utanför EU/EES) enligt lagstiftningen i det tredjelandet. Sådana typer av delningar får dock endast ske i enlighet med gällande EU-rätt eller särskilda rättsliga överenskommelser med det aktuella tredjelandet. I samband med detta anser DSK att det finns ett fortsatt utredningsbehov avseende CLOUD Act. En analys av konsekvenserna av Schrems-II målet ingick inte i DSK:s beslut men det är sannolikt att beslutet även kommer att uppdateras utifrån detta.

Vidare anser DSK att Microsoft inte tillhandahåller tillräckligt med information för att en organisation som vill använda Office 365 ska kunna bedöma vilka säkerhetsrisker som kan uppstå i samband med användningen av tjänsten. DSK kritiserar även att Microsoft inte raderar personuppgifter som Microsoft samlar in och behandlar för egna ändamål.

Mer information

Källa: Artikel

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

14 MAR

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.

11 APR

Introduktion till Cyber Resilience Act

En genomgång av Cyber Resilience Act och hur du kan tillverka, distribuera och sälja produkter med digitala element på ett lagenligt sätt.