Einer der ersten Sätze in der Stellungnahme des Beauftragten für Datenschutz und Informationssicherheit des Landes Baden-Württemberg lautet: "Alle Varianten senden standardmäßig sog. „Telemetrie“- und „Diagnosedaten“ an Microsoft, auch das Senden kompletter Speicherabbilder ist möglich."
Selbst in der Enterprise-Version lässt sich das nicht komplett abstellen - allenfalls von "versierten IT-Fachleuten" reduzieren. Dazu im Folgesatz der Hinweis: "wobei niemand eine Gewähr dafür bieten kann, dass nach Updates durch Microsoft Einstellungen nicht wieder geändert werden, sodass sich ein rechtswidriger(er) Zustand auch unbemerkt ergeben kann." Man beachte die Steigerung von rechtswidrig.

Da die Anfrage speziell die Einsatzfähigkeit in Schulen zum Ziel hatte, drehen sich viele Aussagen um diesen Punkt, wobei sich zeigt, dass die Rechtmässigkeit des Einsatzes in Schulen aus vielfältigen Gründen nicht hergestellt werden kann. Zitat: "..., kann eine solche Software nicht datenschutzkonform eingesetzt werden, ... . Nach Artikel 5 Absatz 2 DS-GVO ist die Schule hierfür rechenschaftspflichtig."

Für Unternehmen und andere Organisationen, wie die DD-eG sie als Mitglieder vertritt, ergibt sich aus dieser fachlich-technischen Einschätzung bei MS 365 ein hohes Risiko u.a. der Industriespionage ebenso wie der Überwachung von Personen. Denn zu keinem Zeitpunkt kann sichergestellt werden, dass keine sensiblen Daten in die USA abfließen und dort an Dritte, insbesondere staatlich Stellen, weitergegeben werden. Dies kann wirtschaftliche Nachteile, aber auch Einreisebeschränkungen von Mitarbeitern zur Folge haben. Genau diese Einschätzung ist auch der Tenor des EuGH-Urteils, mit dem der US Privacy Shield gekippt wurde.

Aus Sicht der DD-eG empfehlen sich für alle Office-Produkte lokal installierte und unabhängig betriebene Produkte insbesondere aus dem FOSS-Fundus (Free and Open Source Software). Unser Dank gilt den Betreibern der Webseite FragDenStaat, die diese Anfrage lanciert haben.