Die Datenschutzkonferenz (DSK) hat in ihrer Bewertung zum Datenschutznachtrag von Microsoft 365 (Stand September 2022) festgestellt, dass Verantwortliche den Nachweis für einen datenschutzkonformen Betrieb von Microsoft 365 auf Grundlage dieses Nachtrags nicht erbringen können1…. Diese Einschätzung basiert im Wesentlichen auf der Nichteinhaltung der Anforderungen des Art. 28 Abs. 3 DS-GVO durch den von Microsoft bereitgestellten Standard-Auftragsverarbeitungsvertrag.
Die DSK bemängelt insbesondere die mangelnde Transparenz hinsichtlich der Verarbeitung personenbezogener Daten durch Microsoft im Rahmen der Auftragsdatenverarbeitung für eigene Zwecke, für die es nach Ansicht der DSK keine Rechtsgrundlage gibt. Es bleibt jedoch unklar, ob sich diese Bewertung grundsätzlich auf Microsoft 365 bezieht oder spezifisch auf den „Datenschutznachtrag vom 15.09.2022“.
Die DSK-Festlegungen beziehen sich ausschließlich auf den „Microsoft Products and Services Data Protection Addendum“ (DPA) vom 15.09.2022 und beinhalten keine darüber hinausgehenden Prüfungen oder eine vollständige datenschutzrechtliche Bewertung des Cloud-Dienstes Microsoft 365. Die Bewertung der DSK ist eine Untersuchung, die sich auf die vom AK Verwaltung 2020 festgestellten Mängel beschränkt und eine Bewertung, die sich auf ausgewählte rechtliche Anforderungen der DSGVO beschränkt.
Es ist wichtig zu beachten, dass die DSK kein uneingeschränktes „Verbot“ für den Einsatz von Microsoft 365 ausgesprochen hat. Die Vorgaben der Datenschutz-Grundverordnung verbieten den Einsatz von Microsoft 365 nicht. Die Festlegungen der DSK sind als Empfehlung zur Anpassung des DPA zu verstehen.
Die DSK hat die Frage zur datenschutzrechtlichen Verantwortlichkeit von Microsoft in einzelnen Fällen offengelassen. Es wird empfohlen, alle Anwendungen und Dienste zu deaktivieren, bei denen eine gemeinsame Verantwortlichkeit von Microsoft im Raum stehen könnte.
Andere Aufsichtsbehörden sehen durchaus die Möglichkeit, dass Microsoft 365 datenschutzkonform eingeführt werden kann. Einige Behörden bieten sogar Hilfestellungen und Handlungsempfehlungen für den rechtskonformen Einsatz an.
Zusammenfassend lässt sich sagen, dass die DSK die Mängel im Standard-Auftragsverarbeitungsvertrag von Microsoft kritisiert, aber keinen grundsätzlichen Ausschluss von Microsoft 365 fordert. Die Bewertung der DSK sollte als Anstoß zur Verbesserung des Datenschutzes bei der Nutzung von Microsoft 365 verstanden werden.
