Den tyska dataskyddskonferensen (”DSK”), en styrgrupp som består av Tysklands samtliga dataskyddsmyndigheter, har beslutat att det för nuvarande inte är möjligt att använda Office 365 på ett sätt som är förenligt med dataskyddsförordningen (”GDPR”). Beslutet fattades den 22 september 2020. DSK har hittills inte publicerat beslutet men innehållet har läckt till den tysk datatidningen Heise Online.
Som ett viktigt skäl för varför användning Office 365 inte är förenlig med GDPR anges att det saknas en rättslig grund för den omfattande insamling och bearbetning av användardata som genomförs av Microsoft. Med detta menas data som Microsoft samlar in om användarnas användning av tjänsten, till exempel genom att samla in diagnosdata eller telemetridata. Detta innebär bland annat att Microsoft samlar in omfattande information om hur medarbetare i en organisation som använder Office 365 nyttjar tjänsten. Eftersom denna information är kopplad till enskilda individer utgör sker en behandling av personuppgifter. Microsoft behandlar denna information för egna ändamål som inte styrs av organisationen som köpt Office 365. För att denna personuppgiftsbehandling ska vara laglig krävs en giltig rättslig grund (som enligt DSK:s uppfattning saknas).
Ytterligare ett skäl som anges är att Microsoft kan tvingas att dela information som hanteras i Office 365 med myndigheter i tredjeländer (länder utanför EU/EES) enligt lagstiftningen i det tredjelandet. Sådana typer av delningar får dock endast ske i enlighet med gällande EU-rätt eller särskilda rättsliga överenskommelser med det aktuella tredjelandet. I samband med detta anser DSK att det finns ett fortsatt utredningsbehov avseende CLOUD Act. En analys av konsekvenserna av Schrems-II målet ingick inte i DSK:s beslut men det är sannolikt att beslutet även kommer att uppdateras utifrån detta.
Vidare anser DSK att Microsoft inte tillhandahåller tillräckligt med information för att en organisation som vill använda Office 365 ska kunna bedöma vilka säkerhetsrisker som kan uppstå i samband med användningen av tjänsten. DSK kritiserar även att Microsoft inte raderar personuppgifter som Microsoft samlar in och behandlar för egna ändamål.