Datenschutzerklärung für OneDrive

(5 Bewertungen, 3.60 von 5)

Was ist OneDrive?

OneDrive ist ein Cloud-Speicher von Microsoft. Unternehmen können über den Dienst Dateien online ablegen und bearbeiten. Oftmals nutzen Unternehmen OneDrive in Kombination mit Microsoft Office. Sie erstellen dabei im Cloud-Speicher beispielsweise Dokumente und teilen und bearbeiten diese mit anderen Personen. Wie bei jeder Cloud sind alle online abgelegten Dateien jederzeit und ortsunabhängig zugänglich. Welche datenschutzrechtlichen Vorgaben müssen Unternehmen beachten, wenn sie OneDrive verwenden?

Der Punkt "OneDrive" muss Bestandteil Ihrer Datenschutz­erklärung sein!

Ihre Nutzer müssen in Ihrer Datenschutz­erklärung bei Verwendung dieses Dienstes informiert werden.

Datenschutz­erklärung kostenlos erstellen

Mit dem eRecht24 Datenschutz-Generator erstellen Sie im Handumdrehen eine DSGVO-konforme Datenschutz­erklärung.

 

Warum ist OneDrive datenschutzrechtlich relevant?

Speichern Unternehmen Kundendaten in OneDrive, kann Microsoft diese einsehen. Denn: Microsoft scannt gespeicherte Daten, um – eigenen Angaben zufolge – Schadcode zu identifizieren. Und: Es scannt Dateien, um Auflagen des US-Gesetzgebers zu erfüllen. Das erklärt der Konzern in seinen Nutzungsbedingungen. Microsoft kann daher – je nach Art der Daten – auf personenbezogene Daten zugreifen. Die Server, auf denen die Daten bei OneDrive liegen, befinden sich in den USA. Damit geben Unternehmen ihre Kundendaten an einen Dritten außerhalb der EU weiter. Sie müssen daher besondere datenschutzrechtliche Pflichten erfüllen.

Wie können Seitenbetreiber OneDrive datenschutzkonform verwenden?

Um bei der Verwendung von OneDrive die Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) einzuhalten, müssen Unternehmen diesen Pflichten nachkommen:

Nutzer-Einwilligung einholen

Microsoft nutzt Cookies, um Unternehmen seinen Dienst OneDrive bereitzustellen. Die Cookies erheben Daten von Usern. Dabei ist derzeit unklar, ob Unternehmen für diese Art der Datenerhebung eine Einwilligung von Nutzern benötigen. Denn: Es ist nicht klar, welche Daten die Cookies erheben. Um sich rechtlich abzusichern, sollten Unternehmen User daher vorher um die Erlaubnis in die Datenerhebung bitten. Dafür können sie auf ein Cookie Consent Tool setzen. Dies holt die Nutzer-Einwilligung datenschutzkonform ein und passt die Datenströme auf der Webseite entsprechend an.

Vertrag zur Auftragsverarbeitung abschließen

Artikel 28 DSGVO schreibt vor: Geben Unternehmen personenbezogene Daten an einen Dritten zur weisungsgebundenen Verarbeitung weiter, müssen sie mit diesem einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen. Nutzen Unternehmen also OneDrive, um personenbezogene Kundendaten abzulegen, müssen sie mit Microsoft einen derartigen Vertrag eingehen. Darin sollten sie erklären,

  • welche personenbezogenen Daten sie an Microsoft weitergeben,
  • wie lange Microsoft diese Daten speichert,
  • warum Microsoft diese Daten speichert und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Datenschutzerklärung anpassen

Verarbeiten und speichern Unternehmen über OneDrive personenbezogene Daten, geben sie diese an Microsoft und damit an einen Dritten weiter. Darauf müssen sie in ihrer Datenschutzerklärung hinweisen. In diesem Kontext sollten sie erwähnen, dass sie für die Datenweitergabe mit Microsoft einen AV-Vertrag geschlossen haben. Dabei sollten sie angeben,

  • warum sie über OneDrive personenbezogene Daten erheben,
  • wie lange sie die personenbezogenen Daten speichern,
  • welche Rechtsgrundlage ihnen das ermöglicht (Art. 6 Abs. 1 lit. a DSGVO) und
  • dass User der Datenerhebung und -speicherung jederzeit widersprechen können.

Um Nutzern einen tieferen Einblick in die Verarbeitung ihrer Daten zu geben, sollten Unternehmen in ihrer Datenschutzerklärung auch auf die Datenschutzbestimmungen und Nutzungsbestimmungen von Microsoft aufmerksam machen. Nutzer können dann selbst überprüfen, was Microsoft mit ihren Daten macht.

Standardvertragsklauseln prüfen

Microsoft sitzt in den USA. Zwar verfügt das Unternehmen auch über Server-Standorte in Europa. Es ist jedoch nicht auszuschließen, dass Microsoft aus den USA auf die Daten in Europa zugreifen kann. Das bedeutet: Unternehmen müssen mit Microsoft Standardvertragsklauseln abschließen. Diese stellen sicher, dass beide Parteien die Daten so schützen, wie die DSGVO das für die EU vorschreibt.

Zusätzlich müssen Unternehmen das Risiko der Datenübertragung in die USA prüfen und dokumentieren. Dazu müssen sie eine sogenannte Risikoabschätzung durchführen. Diese legt offen,

  • welche Art von Daten Unternehmen über OneDrive an Microsoft weitergeben,
  • welche Rechtsvorschriften in den USA zum Schutz von Daten gelten und
  • ob Microsoft zusätzliche Maßnahmen unternimmt, um Nutzerdaten zu schützen.

Kritik der Datenschutzaufsichtsbehörden an OneDrive

Im Juli 2020 stellte die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) mit einer knappen Mehrheit (9 zu 8 Stimmen) fest: Unternehmen können Microsoft Office 365 nicht datenschutzkonform verwenden. Das gilt damit auch für OneDrive. Die DSK führte das unter anderem auf fehlende Details in den Online Service Terms und in der Auftragsverarbeitung sowie auf schwammig formulierte vertragliche Vorbehalte für die Weitergabe von Daten zurück. Es ist nicht bekannt, ob und wie Microsoft die datenschutzrechtlichen Mängel bereits angepasst hat.

Rechtsprechung zu OneDrive

Zu OneDrive liegt bisher – soweit ersichtlich – keine Rechtsprechung vor. Für den Einsatz des Cloud-Speichers sind jedoch diese Urteile und Einschätzungen relevant:

Datenschutzbehörde Hamburg zum AV-Vertrag

Die Datenschutzbehörde Hamburg belegte im Dezember 2018 ein Versandunternehmen mit einer Strafe von 5250 Euro. Der Grund: Das Unternehmen hatte mit einem beauftragten Dienstleister, der Zugriff auf personenbezogene Daten erhielt, keinen AV-Vertrag geschlossen. Grundsätzlich ist bei einem derartigen Verstoß ein Bußgeld von bis zu 10 Millionen Euro oder alternativ bis zu 2 Prozent des Jahresumsatzes möglich.

Datenschutzbehörde Baden-Württemberg zum AV-Vertrag

Der Fußball-Bundesligaclub VfB Stuttgart hatte zwischen 2016 und 2018 Dienstleister beauftragt, mehrere tausend Daten seiner Mitglieder weisungsgebunden zu verarbeiten. Die Datenschutzbehörde Baden-Württemberg stellte fest: Der Verein hatte dafür keinen AV-Vertrag mit den Dienstleistern geschlossen. Die Behörde sprach daher ein Bußgeld in Höhe von 300.000 Euro gegen den Verein aus.

Europäischer Gerichtshof zur Verwendung von Cookies

Cookies, die nicht essenziell für den Seitenbetrieb sind, benötigen eine Erlaubnis der User. Seitenbetreiber können diese nur über eine aktive Einwilligung der Nutzer einholen. Zu diesem Ergebnis kam der Europäische Gerichtshof (EuGH) am 01.10.2019 (Az. C-673/17).

Bundesgerichtshof zur Verwendung von Cookies

Nicht-essenzielle Cookies benötigen das Einverständnis von Nutzern. Um dies einzuholen, dürfen Seitenbetreiber keine vorangekreuzte Checkbox verwenden. Stattdessen müssen Nutzer selbst ein Häkchen setzen können, um ihre Einwilligung auszusprechen. Zu diesem Schluss kam der Bundesgerichtshof am 28.05.2020 (I ZR 7/16).

eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details
Datenschutzerklärung kostenlos erstellen
Erstellen Sie kostenlos eine Datenschutzerklärung für Ihre Website
  • Rechtssichere Datenschutzerklärung - in nur 3 Minuten
  • Kostenlos und anonym
Datenschutzerklärung erstellen
(5350 Bewertungen, 4.35 von 5)