Aufsichtsbehörden bezweifeln weiterhin datenschutzkonformen Einsatz von Microsoft 365

Viele Verantwortliche möchten gerne Office 365 (jetzt: Microsoft 365) nutzen – jedoch sind Unternehmen wie Behörden seit Jahren mit erheblichen rechtlichen Unsicherheiten konfrontiert, was die Bewertung der datenschutzrechtlichen Zulässigkeit angeht.

Zuletzt hatte der „Arbeitskreis Verwaltung“ der DSK September 2020 festgestellt, dass „auf Basis dieser Unterlagen kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich sei“.
Mit „dieser Unterlagen“ waren die dem Microsoft 365 zu Grunde liegenden Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft-Onlinedienste (Data Processing Addendum / DPA) — jeweils Stand: Januar 2020 — hinsichtlich der Erfüllung der Anforderungen von Artikel 28 Absatz 3 Datenschutz-Grundverordnung (DS-GVO) gemeint.

Die DSK wollte das Thema konstruktiv begleiten, so dass die DSK in ihrer Sitzung am 22. September 2020 beschloss, eine Arbeitsgruppe unter Federführung Brandenburgs und des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) zu bitten, Gespräche mit Microsoft aufzunehmen, „um zeitnah datenschutzgerechte Nachbesserungen sowie Anpassungen an die durch die Schrems II-Entscheidung des EuGH aufgezeigten Maßstäbe an Drittstaatentransfers für die Anwendungspraxis öffentlicher und nicht öffentlicher Stellen zu erreichen“.

Etwas mehr als zwei Jahre und „14 mehrstündige Videokonferenzen“ später später kommt wieder „etwas Bewegung“ in die Angelegenheit. Was ist in der Zwischenzeit passiert?

Als Ergebnis der mit den Aufsichtsbehörden geführten Gespräche hat Microsoft im September 2022 einen aktualisierten „Datenschutznachtrag zu den Produkten und Services von Microsoft“ (Englisch: „Microsoft Products and Services Data Protection Addendum (DPA)“) vorgestellt. Diese neue Version bringt vor allem Änderungen im Bereich der vertraglichen Formulierung der Verantwortlichkeit Microsofts im Rahmen der Verarbeitung „für legitime Geschäftszwecke“ mit sich.
Zentrale und wiederkehrende Fragestellung der Gesprächsreihe war es, in welchen Fällen Microsoft als Auftragsverarbeiter tätig ist und in welchen als Verantwortlicher.

Die Aufsichtsbehörden sind jedoch trotz dieser „Verbesserungen“ der Meinung, dass oben genannte Fragstellungen (und andere Probleme) nkch nicht abschließend geklärt werden konnten.

Verantwortliche müssen jederzeit in der Lage sein, ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO nachzukommen. Unter diesem Aspekt sieht die DSK beim Einsatz von Microsoft 365 auf Grundlage des „Datenschutznachtrags“ weiterhin Schwierigkeiten, da Microsoft nicht vollumfänglich offenlege, welche Verarbeitungen im Einzelnen stattfinden. Zudem lege Microsoft weder vollständig dar, welche Verarbeitungen im Auftrag des Kunden noch welche zu eigenen Zwecken stattfinden. Die Vertragsunterlagen seien in der Hinsicht nicht präzise und erlaubten im Ergebnis nicht abschließend bewertbare, ggf. sogar umfangreiche Verarbeitungen auch zu eigenen Zwecken.

Eine detaillierte Begründung Ihrer Entscheidung hat die DSK auf Ihrer Internetseite veröffentlicht.

(Foto: IB Photography – stock.adobe.com)