BfDI: Rundschreiben zum Neuen Outlook
Das Outlook-Update scheint nicht datenschutzkonform zu sein. Nun hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ein Rundschreiben vom 08.12.2023 zum neuen Outlook an alle Bundesministerien und obersten Bundesbehörden veröffentlicht.
Kurze Zusammenfassung
Das “Neue Outlook” von Microsoft verspricht eine benutzerfreundliche Verwaltung von Postfächern und ermöglicht die Synchronisation mit verschiedenen Anbietern. Die neue Anwendung sieht sich gerade deshalb allerdings seit Wochen heftiger Kritik wegen Verstößen gegen die Datenschutzgrundverordnung (DSGVO) ausgesetzt. Das Programm soll nämlich unteranderem Zugangsdaten für E-Mail-Konten an die Microsoft-Cloud übermitteln. Bereits am 15.11.2023 hatte sich der BfDI hierzu besorgt geäußert und angekündigt die irische Datenschutzbehörde hierzu um Stellungnahme zu bitten. Im weiteren Verlauf gab es auch von anderen Seiten diverse kritische Stellungnahmen, wie etwa vom Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI), der seine Pressemitteilung mit „Vorsicht !!!“ begann.
Rundschreiben des BfDI
Laut der jüngsten Mastodon-Meldung des BfDI hat er in den letzten Wochen „viele Anfragen zum Thema der Speicherung von Zugangsdaten durch das neue Outlook erhalten“. Da Microsoft den zahlreichen kritischen Berichterstattungen nicht widersprochen habe, habe sich der BfDI nun entschieden ein Rundschreiben für Bundesministerien und oberste Bundesbehörden zu erstellen. Dadurch wolle er herausfinden, ob und in welchem Maße Outlook eingesetzt werde.
In seinem Rundschreiben zum neuen Outlook schildert der BfDI zunächst die Ausgestaltung des neuen Outlooks und seine Funktionen. Dabei weist er insbesondere darauf hin, dass nicht transparent erklärt wird, dass für die Nutzung Benutzername und Passwort an die Cloud übermittelt werden. Hierdurch erlange Microsoft Zugriff auf die gesamten Inhalte der in den Postfächern befindlichen E-Mails samt Anhängen. Auch bezüglich des Zwecks der Datenübertragung gebe es keine Erläuterung. Zwar gebe es einen Hinweis über die Synchronisierung der E-Mails in der Cloud mit einem Verweis auf weiterführende Informationen. Allerdings lege Microsoft weder in dem Hinweis noch in den weiterführenden Informationen transparent dar, dass die Zugangsdaten in der Cloud gespeichert werden. Zuletzt stellt der BfDI fest, dass insofern eine ordnungsgemäße Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO fehle.
Abschließend erklärt der BfDI, dass deshalb „ein datenschutzkonformer Einsatz der App aktuell nicht möglich“ sei. Das Rundschreiben des BfDI endet mit der Aufforderung an die Adressaten, innerhalb von vier Wochen mitzuteilen, ob sie die neue Outlook-App in ihren Einrichtungen verwenden oder ob ein Umstieg geplant ist.
Fazit
Die Nutzung des “Neuen Outlooks” von Microsoft wirft erhebliche Datenschutzfragen auf. Die Übermittlung von Zugangsdaten in die Cloud, ohne klare Transparenz und wirksame Einwilligung, stellt ein potenzielles Risiko dar. Der datenschutzkonforme Einsatz der App erscheint aktuell nicht gegeben. Laut Rundschreiben des BfDI ist der datenschutzkonforme Einsatz des Programms aktuell nicht möglich. Deshalb liegt es nahe, dass in Zukunft diesbezüglich auch Bußgelder verhängt werden könnten. Sie sollten deswegen dringend klären, ob ihr Unternehmen Microsoft Outlook ordnungsgemäß nutzt. Gerne stehen wir ihnen beratend zur Seite.