Aufsichtsbehörden bezweifeln weiterhin datenschutzkonformen Einsatz von Microsoft 365
Viele Verantwortliche möchten gerne Office 365 (jetzt: Microsoft 365) nutzen – jedoch sind Unternehmen wie Behörden seit Jahren mit erheblichen rechtlichen Unsicherheiten konfrontiert, was die Bewertung der datenschutzrechtlichen Zulässigkeit angeht.
Zuletzt hatte der „Arbeitskreis Verwaltung“ der DSK September 2020 festgestellt, dass „auf Basis dieser Unterlagen kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich sei“.
Mit „dieser Unterlagen“ waren die dem Microsoft 365 zu Grunde liegenden Online Service Terms (OST) sowie die Datenschutzbestimmungen für Microsoft-Onlinedienste (Data Processing Addendum / DPA) — jeweils Stand: Januar 2020 — hinsichtlich der Erfüllung der Anforderungen von Artikel 28 Absatz 3 Datenschutz-Grundverordnung (DS-GVO) gemeint.
Die DSK wollte das Thema konstruktiv begleiten, so dass die DSK in ihrer Sitzung am 22. September 2020 beschloss, eine Arbeitsgruppe unter Federführung Brandenburgs und des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) zu bitten, Gespräche mit Microsoft aufzunehmen, „um zeitnah datenschutzgerechte Nachbesserungen sowie Anpassungen an die durch die Schrems II-Entscheidung des EuGH aufgezeigten Maßstäbe an Drittstaatentransfers für die Anwendungspraxis öffentlicher und nicht öffentlicher Stellen zu erreichen“.
Etwas mehr als zwei Jahre und „14 mehrstündige Videokonferenzen“ später später kommt wieder „etwas Bewegung“ in die Angelegenheit. Was ist in der Zwischenzeit passiert?
Als Ergebnis der mit den Aufsichtsbehörden geführten Gespräche hat Microsoft im September 2022 einen aktualisierten „Datenschutznachtrag zu den Produkten und Services von Microsoft“ (Englisch: „Microsoft Products and Services Data Protection Addendum (DPA)“) vorgestellt. Diese neue Version bringt vor allem Änderungen im Bereich der vertraglichen Formulierung der Verantwortlichkeit Microsofts im Rahmen der Verarbeitung „für legitime Geschäftszwecke“ mit sich.
Zentrale und wiederkehrende Fragestellung der Gesprächsreihe war es, in welchen Fällen Microsoft als Auftragsverarbeiter tätig ist und in welchen als Verantwortlicher.
Die Aufsichtsbehörden sind jedoch trotz dieser „Verbesserungen“ der Meinung, dass oben genannte Fragstellungen (und andere Probleme) nkch nicht abschließend geklärt werden konnten.
Verantwortliche müssen jederzeit in der Lage sein, ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO nachzukommen. Unter diesem Aspekt sieht die DSK beim Einsatz von Microsoft 365 auf Grundlage des „Datenschutznachtrags“ weiterhin Schwierigkeiten, da Microsoft nicht vollumfänglich offenlege, welche Verarbeitungen im Einzelnen stattfinden. Zudem lege Microsoft weder vollständig dar, welche Verarbeitungen im Auftrag des Kunden noch welche zu eigenen Zwecken stattfinden. Die Vertragsunterlagen seien in der Hinsicht nicht präzise und erlaubten im Ergebnis nicht abschließend bewertbare, ggf. sogar umfangreiche Verarbeitungen auch zu eigenen Zwecken.
Eine detaillierte Begründung Ihrer Entscheidung hat die DSK auf Ihrer Internetseite veröffentlicht.
(Foto: IB Photography – stock.adobe.com)
Letztes Update:27.11.22
Verwandte Produkte
Das könnte Sie auch interessieren
-
Folge 95: Ein „KI-Seepferdchen“ für alle – Befähigung und Schutz in der digitalen Welt
Das „KI-Seepferdchen“ wurde von der unabhängigen Expertenkommission „Kinder und Jugendschutz in der digitalen Welt“ im Juni 2026 als Maßnahme vorgeschlagen. Es geht darum, Kinder schon im Grundschulalter mit den Möglichkeiten und Risiken von KI in Form von Chatbots vertraut zu machen. Die Vermittlung von KI-Kompetenz ist eine Rechtspflicht auch für Schulen und Schulträger. Die Expertenkommission
Mehr erfahren -
Folge 94: KI-Reallabore, Kinder und Gesundheit
Die unabhängige Expertenkommission „Kinder- und Jugendschutz in der digitalen Welt“ hat am 24. Juni 2026 ihre Handlungsempfehlungen vorgelegt. Der Bericht trägt den Titel „Entwicklung stärken, Verantwortung übernehmen“ und befasst sich insbesondere mit den Auswirkungen Künstlicher Intelligenz auf Kinder und Jugendliche. Markus Beckedahl, der Gründer des Zentrums für Digitalrechte und Demokratie, diskutiert das „KI-Seepferdchen“ (HE 12),
Mehr erfahren -
Koalitionsausschuss beschließt „Vereinfachung“ des Datenschutzrechts
Koalitionsausschuss beschließt Vereinfachung des Datenschutzrechts Im Rahmen des am 2. Juli 2026 vorgestellten Reformpakets „Ein Programm für Aufschwung und Beschäftigung“ haben CDU/CSU und SPD unter Punkt 14 weitreichende Änderungen im Bereich Datenschutz angekündigt. Unter der Überschrift „Moderner Datenschutz für mehr Wachstum“ kündigt die Koalition an, den nationalen Datenschutz zu vereinfachen und die in der DS-GVO
Mehr erfahren


