Microsoft 365: Datenschutzkonform nutzbar oder nicht?

MS 365

Die Frage wird, möglicherweise nicht so verwunderlich, momentan sehr unterschiedlich beantwortet. Dabei geht es leider nicht nur um Nuancen.
Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder sagt in ihrer neuesten Veröffentlichung relativ deutlich und klar:

“ Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann. Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden. „

Dem gegenüber stellt Microsoft als „Reaktion“ auf diesen Bericht die Datenschutzkonformität fest und unterstreicht die Positionen, die Microsoft bereits im August 2022 vertreten hatte.
„Wir stellen sicher, dass unsere M365-Produkte die strengen EU-Datenschutzgesetze nicht nur erfüllen, sondern oft sogar übertreffen. Unsere Kunden in Deutschland und in der gesamten EU können M365-Produkte weiterhin bedenkenlos und rechtssicher nutzen.“

Nach Auffassung von Microsoft berücksichtigen die von der DSK geäußerten Bedenken berücksichtigen die von Microsoft bereits vorgenommenen Änderungen nicht angemessneer Weise und beruhen auf mehreren Missverständnissen hinsichtlich der Funktionsweise der Microsoft-Dienste und der vonMicrosoft bereits ergriffenen Maßnahmen.

Ebenfalls unterstütze Microsoft auch das EU-US Data Privacy Framework, das Microsoft-Kunden wichtige Rechtssicherheit und mehr Klarheit über den Datenschutz bei der transatlantischen Übermittlung von Daten bieten werde und sehen einem positiven Angemessenheitsbeschluss der Europäischen Kommission im Rahmen der DS-GVO im Jahr 2023 entgegen.

Verantwortlichen, die MS 365 bereits einsetzen oder den Einsatz planen, dürften mit diesen beiden widerstreitenden Positionen von Microsoft und der DSK nicht wirklich geholfen sein.

(Foto: griangraf – stock.adobe.com)


Letztes Update:27.11.22

  • Archivieren oder Löschen

    Löschen oder Archivieren: BayLfD bietet Arbeitspapier

    Ein effektives Datenschutzmanagement erfordert vom Verantwortlichensich nicht nur Gedanken um die Zulässigkeit der Datenerhebung zu mache. Der datenschurzkonforme Umgang muss sich auf den gesamten Lebenszyklus von personenbezogenen Daten erstrecken und damit auch den Vorgang des Löschens. Generell sind personenbezogene Daten zu löschen, wenn ihre Speicherung unzulässig ist oder ihre Kenntnis für die speichernde Stelle „zur Erfüllung ihrer

    Mehr erfahren
  • Auskunft erstreckt sich auf Identität derEmpfänger

    EuGH konkretisiert Auskunftsrecht: Identität der Empfänger sind offenzulegen

    Mit dem Auskunftsrecht gem. Art. 15 DS-GVO hat der Verordnungegeber eine Grundlage dafür geschaffen, dass andere Betroffenenrechte (wie das Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung, aber auch das Widerspruchsrecht) überhaupt gezielt geltend gemacht werden können. Die praktische Wirksamkeit dieser „nachgelagerten“ Betroffenenrechte hängen oftmals davon ab, wie weit das Recht auf Auskunft verstanden wird. Möchte

    Mehr erfahren
  • Protokollierung von Cyber-Angriffen

    Mindeststandard zur Protokollierung und Detektion von Cyber-Angriffen

    Immer häufiger werden Cyber-Angriffe auf Unternehmen und Regierungen bekannt, die folgenschwere Konsequenzen für die Betroffenen auslösen. Die meisten IT-Systeme in Organisationen verfügen über Möglichkeiten, um ein Audit-Logging zu aktivieren. Bereits mit den Standardeinstellungen werden dabei in der Regel alle wichtigen Ereignisse aufgezeichnet. Damit dabei aber keine gigantischen Datenmengen entstehen, die nur mit hohem Aufwand zu verarbeiten

    Mehr erfahren