Microsoft 365 is onwettig, concludeert Duitsland
Een werkgroep die bestaat uit federale en nationale privacytoezichthouders in Duitsland is met een vernietigende verklaring gekomen voor het 365-aanbod van cloudleverancier Microsoft. Gebruik van die diensten schendt de wettelijke voorschriften van de GDPR (General Data Protection Regulation, Algemene Verordening Gegevensbescherming in het Nederlands). Deels komt dit door de theoretische mogelijkheid dat de regering van de Verenigde Staten data zou kunnen opvragen van Europese gebruikers. Deels komt de Duitse afkeuring ook voort uit de bevinding dat Microsofts dataverwerkingsverklaring niet goed uitlegt hoe het bedrijf data zelf gebruikt voor zijn eigen doeleinden.
Telemetrie en meer
In de gebruiksovereenkomst voor Microsoft 365 staan namelijk bepalingen opgenomen die de aanbieder het recht geven om gegevens van eindgebruikers te benutten voor verschillende bedrijfsdoeleinden. Een voorbeeld daarvan is het generiek geformuleerde doel van 'het verbeteren van de diensten die worden geboden'. Dit kan naast telemetriedata (over werking en gebruik van software en configuratie van hardware) ook persoonlijke data omvatten. Telemetrie- en diagnostische data worden door Microsoft op grote schaal vergaard, weet de werkgroep.
De kritische verklaring waarin Microsoft 365 onwettig wordt verklaard, is formeel slechts een assessment en geen daadwerkelijk besluit dat direct tot handhaving leidt. Mogelijk kan dat wel volgen, maar de vraag is wanneer, hoe en door wie. Dit soort zaken kunnen veel tijd kosten, uitvoering van eventuele corrigerende maatregelen is complex en vanwege de EU-brede aard van de GDPR kan handhaving juist 'boven' landenniveaus komen te liggen.
Diep doorgedrongen
In de praktijk is gebruik van Microsofts clouddiensten - net zoals dat van andere Amerikaanse leveranciers - diep doorgedrongen in de overheidssector, het bedrijfsleven, de onderwijswereld en de maatschappij. Verbieden en er van afstappen zou moeilijk, of zelfs praktisch onmogelijk zijn. Het is hoe dan ook een kostbare zaak.
De harde conclusie die nu is getrokken door een speciale werkgroep van de Duitse privacytoezichthouders DSK (Datenschutzkonferenz) volgt op meer dan twee jaar onderzoek. Daarbij is ook uitgebreid overleg geweest met Microsoft. Het onderzoek naar Office 365 (zoals het cloudaanbod toen nog heette) is op 22 september 2020 begonnen. De ingestelde werkgroep heeft vanaf eind dat jaar contact gehad met Microsoft. Daarbij is niet alleen overlegd, maar ook actie ondernomen. Tussen toen en nu is de cloudaanbieder overgehaald om bepaalde aanpassingen door te voeren. Deze zijn echter onvoldoende gebleken om de harde afkeuring nu door de Duitse toezichthouders af te wenden.