Auch aus Sicht von Datenschutz und Compliance erweist sich OneDrive als problematisch. Möchten Sie OneDrive geschäftlich nutzen, müssen Sie in Eigeninitiative EU-Datenschutzrichtlinien für den Schutz von Geschäfts- und Nutzerdaten umsetzen. Alle individuellen Vorkehrungen ändern jedoch nichts daran, dass es sich um ein US-Unternehmen mit internationalen Servern, intransparenter Drittlandübermittlung, Haftungsausschlüssen und Herausgabeverpflichtungen handelt. Es lässt sich daher selbst mit technischen und juristischen Vorkehrungen nicht ausschließen, dass US-Behörden Zugriff auf Ihre Daten erhalten. Auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) erklärte im Jahr 2020, dass OneDrive für Unternehmen als nicht DSGVO-konform gilt.
Unternehmen, die OneDrive dennoch nutzen, müssen in der Datenschutzerklärung folgende Informationen bereitstellen:
- Aus welchen Gründen kommt OneDrive zur Datenspeicherung zum Einsatz?
- Welche Rechtsgrundlage gilt für Speicherung und Verarbeitung der Daten?
- Wurde ein Vertrag zur Auftragsverarbeitung mit Microsoft geschlossen?
- Wie können Personen der Datenerhebung und -verarbeitung widersprechen?
- Wo lassen sich geltende Nutzungs- und Datenschutzbestimmungen von Microsoft finden?
Gemäß Artikel 28 der DSGVO müssen Unternehmen einen Vertrag zur Auftragsverarbeitung mit Microsoft abschließen, wenn Daten geschäftlich in OneDrive gespeichert werden. Darin sind folgende Aspekte zu definieren:
- Welche personenbezogenen Daten erhält Microsoft?
- Warum erfolgt die Datenweitergabe an Microsoft?
- Wie lange speichert Microsoft die Daten?
- Welche Rechte, Pflichten und Haftungsausschlüsse gelten?
Wenn Sie OneDrive DSGVO-konform und gemäß Compliance-Richtlinien verwenden möchten, halten Sie sich an folgende Punkte:
- Holen Sie eine Nutzereinwilligung per Opt-in für essenzielle und nichtessenzielle Cookies ein.
- Schließen Sie einen Vertrag zur Auftragsverarbeitung mit Microsoft ab.
- Passen Sie Ihre Datenschutzerklärung mit transparenten Informationen und Hinweisen zur Datenverarbeitung durch Microsoft an.
- Prüfen Sie Microsofts Standardvertragsklauseln.
- Dokumentieren Sie Risiken bei der Datenübermittlung und sichern Sie sich juristisch gegen Datenschutzverstöße ab.