10.11.2023
Sieben Datenschutzaufsichtsbehörden veröffentlichten am 22. September 2023 eine neue Handreichung hinsichtlich der Nutzung von Microsoft 365. Darin stellen sie insbesondere Vorschläge für eine vertragliche Zusatzvereinbarung mit Microsoft dar. Der Beitrag gibt einen Überblick über die Handreichung und ihre Auswirkungen.
Im November 2022 stellte die Datenschutzkonferenz (DSK) fest, dass die Auftragsverarbeitungsvereinbarung von Microsoft (das sog. „Products and Services Data Protection Addendum“, kurz „DPA“) nicht den Anforderungen von Art. 28 Abs. 3 DSGVO entspreche. In Gesprächen einigten sich die DSK und Microsoft auf Nachbesserungen. Microsoft begann daraufhin im Januar 2023 mit der Umsetzung der ersten Phase der EU Data Boundary. Die EU Data Boundary betrifft aber lediglich den Kritikpunkt des unzulässigen Datentransfers in ein unsicheres Drittland.
Ein anderer Schwerpunkt der Kritik der DSK bezog sich darauf, dass Microsoft die Zwecke die Verarbeitung nicht hinreichend transparent darstelle. Die Krux daran ist, dass Microsoft regelmäßig als Auftragsverarbeiter agiert. Das beauftragende Unternehmen bleibt dann die verantwortliche Stelle und als solche rechenschaftspflichtig. Zur Erfüllung der Rechenschaftspflicht hat der Verantwortliche jederzeit nachweisen zu können, dass die Datenverarbeitung rechtmäßig ist. Fehlt es den verantwortlichen Stellen jedoch an transparenten Informationen, kann sich dieser Nachweis schwierig bis unmöglich gestalten. In diesen Fällen kann die fehlende transparente Information über die Verarbeitung zu einem Verstoß gegen die Rechenschaftspflicht des Verantwortlichen führen und Grundlage für ein späteres Bußgeld sein.
Zur Einhaltung der Vorgaben an die Transparenz und die daraus folgende Möglichkeit zur Einhaltung der Rechenschaftspflicht hat der Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen) am 22. September 2023 eine Handreichung veröffentlicht, die eine datenschutzkonformere Nutzung von Microsoft 365 ermöglichen soll. Interessanterweise handelt es sich um eine in Kooperation mit anderen Datenschutzbeauftragten erarbeitete Handreichung, die nicht über die DSK veröffentlicht wurde.
Dennis Göbel