Bereits im September 2020 war die DSK zum Ergebnis gekommen, „dass auf Basis dieser Unterlagen kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich“ sei. Die Ziele der Gespräche mit der Geschäftsleitung von Microsoft waren „datenschutzgerechte Nachbesserungen“ der DPA und die Anpassung der Regeln des Drittlandstransfers zu erreichen. Für diesen Zweck wurde sogar eine eigene Arbeitsgruppe der DSK („Microsoft-Onlinedienste“, abgekürzt „AG DSK“) gegründet. Diese führte mit Microsoft laut eigenen Angaben umfangreiche Arbeitsgespräche in 14 mehrstündigen Videokonferenzen durch.
Trotz dieser Ambitionen fiel der abschließende Bericht der AG DSK im November 2022 negativ aus. Da auf Seiten Microsoft keine elementaren Datenschutz-Zugeständnisse in Sicht sind, der Einsatz der Software allerdings weiterhin ein Problem bleibt, wird die Verantwortung wieder auf die anwendenden Institutionen bzw. Unternehmen abgewälzt.
Aus diesem Grund hat der Landesbeauftragte für den Datenschutz Niedersachsen (LfD) gemeinsam mit weiteren Datenschutzaufsichtsbehörden (u.a. BayLfD, HBDI, LfD Niedersachsen und LDI NRW) eine Handreichung zum Umgang mit der Standard-Auftragsverarbeitungsvereinbarung von Microsoft für den Einsatz von „Microsoft 365“ erarbeitet. In dieser hatte die DSK bestimmte Problemfelder des DPA betrachtet und erläutert. Die erarbeitete Handreichung soll die Verantwortlichen dabei unterstützen, auf entsprechende vertragliche Änderungen hinzuwirken. Nach Ansicht der DSK stellt der Auftragsverarbeitungsvertrag, den Microsoft derzeit anbietet, nicht sicher, dass personenbezogene Daten rechtmäßig verarbeitet werden.
Die Handreichung empfiehlt den Unternehmen zusätzlich zum DPA eine Zusatzvereinbarung mit Microsoft abzuschließen, die Microsoft zu mehr Datenschutzkonfirmität in den nachfolgenden Punkten verpflichtet:
– konkrete Benennung und Festlegung von Art und Zweck der Verarbeitung sowie Art der durch Microsoft verarbeiteten personenbezogenen Daten;
– Offenlegung der eigenen Geschäftszwecke von Microsoft und der Kategorien von Daten, die zu diesem Zweck verarbeitet werden;
– generelle Eingrenzung der Offenlegung von Nutzerdaten durch Microsoft;
– Konkretisierung der Umsetzung der technischen und organisatorischen Maßnahmen durch Microsoft bezogen auf die Datenkategorien;
– Anpassungen, Kürzungen und Konkretisierungen der vertraglichen Löschfristen und Löschprozesse;
– Transparenz in Hinblick auf den Einsatz von Unterauftragsverarbeitern;
– Hinweise zu „One-Premises-Lösung“ (Betrieb von Microsoft auf eigenen IT-Strukturen), auf privaten Endgeräten mit geschäftlicher Nutzung (BYOD) und den Einsatz in Bildungseinrichtungen.
Da es höchst unwahrscheinlich ist, dass Microsoft mit Unternehmen, die nicht zu den „großen Fischen“ zählen, gesonderte Vertragskonditionen verhandeln wird, wird ein datenschutzkonformer Einsatz nahezu unmöglich. Insbesondere die Rechenschaftspflicht des Verantwortlichen gemäß Art. 5 Abs. 2 DSGVO ist hierbei kaum zu erfüllen, da Microsoft nicht offenlegt, welche Verarbeitungen noch im Auftrag des Kunden und welche zu eigenen Zwecken stattfinden. Nach der Handreichung sollen sich die Microsoft-Kunden nun vor allem selbst auf die Verbesserung des Schutzniveaus durch weitere technisch-organisatorische Maßnahmen konzentrieren.
Quellenangaben:
– Der Landesbeauftragte für den Datenschutz Niedersachsen, Pressemitteilung Nr. 08/2023 vom 22. September 2023: „Einsatz von Microsoft 365: Praxis-Tipps für Verträge mit Microsoft“, abgerufen am 24.10.2023 unter: https://lfd.niedersachsen.de/startseite/infothek/presseinformationen/einsatz-von-microsoft-365-praxis-tipps-fur-vertrage-mit-microsoft-225722.html– Artikel „Handreichung MS 365 – Nur wenig Hilfe für Verantwortliche“, abgerufen am 25.10.2023 unter: https://www.dr-datenschutz.de/handreichung-ms-365-nur-wenig-hilfe-fuer-verantwortliche/