Aufsichtsbehörden bezweifeln weiterhin datenschutzkonformen Einsatz von Microsoft 365

Viele Verantwortliche möchten gerne Office 365 (jetzt: Microsoft 365) nutzen – jedoch sind Unternehmen wie Behörden seit Jahren mit erheblichen rechtlichen Unsicherheiten konfrontiert, was die Bewertung der datenschutzrechtlichen Zulässigkeit angeht.

Zuletzt hatte der „Arbeitskreis Verwaltung“ der DSK September 2020 festgestellt, dass „auf Basis dieser Unterlagen kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich sei“.
Mit „dieser Unterlagen“ waren die dem Microsoft 365 zu Grunde liegenden Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft-Onlinedienste (Data Processing Addendum / DPA) — jeweils Stand: Januar 2020 — hinsichtlich der Erfüllung der Anforderungen von Artikel 28 Absatz 3 Datenschutz-Grundverordnung (DS-GVO) gemeint.

Die DSK wollte das Thema konstruktiv begleiten, so dass die DSK in ihrer Sitzung am 22. September 2020 beschloss, eine Arbeitsgruppe unter Federführung Brandenburgs und des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) zu bitten, Gespräche mit Microsoft aufzunehmen, „um zeitnah datenschutzgerechte Nachbesserungen sowie Anpassungen an die durch die Schrems II-Entscheidung des EuGH aufgezeigten Maßstäbe an Drittstaatentransfers für die Anwendungspraxis öffentlicher und nicht öffentlicher Stellen zu erreichen“.

Etwas mehr als zwei Jahre und „14 mehrstündige Videokonferenzen“ später später kommt wieder „etwas Bewegung“ in die Angelegenheit. Was ist in der Zwischenzeit passiert?

Als Ergebnis der mit den Aufsichtsbehörden geführten Gespräche hat Microsoft im September 2022 einen aktualisierten „Datenschutznachtrag zu den Produkten und Services von Microsoft“ (Englisch: „Microsoft Products and Services Data Protection Addendum (DPA)“) vorgestellt. Diese neue Version bringt vor allem Änderungen im Bereich der vertraglichen Formulierung der Verantwortlichkeit Microsofts im Rahmen der Verarbeitung „für legitime Geschäftszwecke“ mit sich.
Zentrale und wiederkehrende Fragestellung der Gesprächsreihe war es, in welchen Fällen Microsoft als Auftragsverarbeiter tätig ist und in welchen als Verantwortlicher.

Die Aufsichtsbehörden sind jedoch trotz dieser „Verbesserungen“ der Meinung, dass oben genannte Fragstellungen (und andere Probleme) nkch nicht abschließend geklärt werden konnten.

Verantwortliche müssen jederzeit in der Lage sein, ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO nachzukommen. Unter diesem Aspekt sieht die DSK beim Einsatz von Microsoft 365 auf Grundlage des „Datenschutznachtrags“ weiterhin Schwierigkeiten, da Microsoft nicht vollumfänglich offenlege, welche Verarbeitungen im Einzelnen stattfinden. Zudem lege Microsoft weder vollständig dar, welche Verarbeitungen im Auftrag des Kunden noch welche zu eigenen Zwecken stattfinden. Die Vertragsunterlagen seien in der Hinsicht nicht präzise und erlaubten im Ergebnis nicht abschließend bewertbare, ggf. sogar umfangreiche Verarbeitungen auch zu eigenen Zwecken.

Eine detaillierte Begründung Ihrer Entscheidung hat die DSK auf Ihrer Internetseite veröffentlicht.

(Foto: IB Photography – stock.adobe.com)

Letztes Update:27.11.22

  • Archivieren oder Löschen

    Löschen oder Archivieren: BayLfD bietet Arbeitspapier

    Ein effektives Datenschutzmanagement erfordert vom Verantwortlichensich nicht nur Gedanken um die Zulässigkeit der Datenerhebung zu mache. Der datenschurzkonforme Umgang muss sich auf den gesamten Lebenszyklus von personenbezogenen Daten erstrecken und damit auch den Vorgang des Löschens. Generell sind personenbezogene Daten zu löschen, wenn ihre Speicherung unzulässig ist oder ihre Kenntnis für die speichernde Stelle „zur Erfüllung ihrer

    Mehr erfahren
  • Auskunft erstreckt sich auf Identität derEmpfänger

    EuGH konkretisiert Auskunftsrecht: Identität der Empfänger sind offenzulegen

    Mit dem Auskunftsrecht gem. Art. 15 DS-GVO hat der Verordnungegeber eine Grundlage dafür geschaffen, dass andere Betroffenenrechte (wie das Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung, aber auch das Widerspruchsrecht) überhaupt gezielt geltend gemacht werden können. Die praktische Wirksamkeit dieser „nachgelagerten“ Betroffenenrechte hängen oftmals davon ab, wie weit das Recht auf Auskunft verstanden wird. Möchte

    Mehr erfahren
  • Protokollierung von Cyber-Angriffen

    Mindeststandard zur Protokollierung und Detektion von Cyber-Angriffen

    Immer häufiger werden Cyber-Angriffe auf Unternehmen und Regierungen bekannt, die folgenschwere Konsequenzen für die Betroffenen auslösen. Die meisten IT-Systeme in Organisationen verfügen über Möglichkeiten, um ein Audit-Logging zu aktivieren. Bereits mit den Standardeinstellungen werden dabei in der Regel alle wichtigen Ereignisse aufgezeichnet. Damit dabei aber keine gigantischen Datenmengen entstehen, die nur mit hohem Aufwand zu verarbeiten

    Mehr erfahren