Wir warten auf den Angemessenheitsbeschluss der EU-Kommission
Die Datenschutzkonferenz hat mit Festlegung vom 24.11.2022 unter Bezugnahme auf die Zusammenfassung des Berichts der Arbeitsgruppe „Microsoft-Onlinedienste“ (abrufbar unter: Zusammenfassung des Berichts der Arbeitsgruppe Microsoft-Onlinedienste (datenschutzkonferenz-online.de) ) festgestellt, dass eine datenschutzkonforme Nutzung von Microsoft 365 auf Grundlage des Datenschutznachtrags von Microsoft, der am 15. September 2022 erbracht wurde, derzeit nicht möglich sei.
Die Kritik der DSK: Da Microsoft nicht im Einzelnen offen lege, welche Verarbeitungen konkret stattfinden, könnten Verantwortliche ihrer Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO nicht im geforderten Maße nachkommen. Auch sei anhand der Vertragsunterlagen nicht ausreichend nachvollziehbar, welche Verarbeitung im eigenen Interesse und welche für den Kunden durchgeführt werden.
Im öffentlichen Bereich (insbesondere an Schulen) fehle es aufgrund der Verwendung personenbezogener Daten der Nutzenden im Anbieterinteresse an einer zulässigen Rechtsgrundlage für den Einsatz von MS365.
Als weitere Kritikpunkte werden unter anderem angeführt, dass
die Weisungsbindung Microsofts nicht den gesetzlichen Mindestanforderungen gemäß Art. 28 Abs. 3 S. 2 lit.a DSGVO genüge,
die eigene Verantwortlichkeit Microsofts im Rahmen der als „Geschäftstätigkeiten“ bezeichneten Verarbeitung intransparent in den Verträgen dargestellt werde (u.a. fehlt es an der Angabe einer Rechtsgrundlage der Weiterverarbeitung),
die Ausgestaltung der Rückgabe- und Löschverpflichtung unzureichend sei und
für den Fall des Datenexports in die USA, bisland keine hinreichenden Schutzmaßnahmen, wie Verschlüsselung, identifiziert werden konnten.
Die Stellungnahme von Microsoft
Microsoft selbst sieht dies in seiner Stellungnahme anders (abrufbar unter: https://news.microsoft.com/de-de/microsoft-erfuellt-und-uebertrifft-europaeische-datenschutzgesetze/ ): Demnach würde MS365 den Anforderungen der EU-Datenschutzgesetze nicht nur entsprechen, sondern diese sogar übertreffen. Eine andere Einschätzung ergebe sich nur daraus, dass die Datenschutzkonferenz Missverständnissen hinsichtlich der Funktionsweise von MS365 und der von Microsoft bereits getroffenen Maßnahmen unterliege.
Wir warten auf den Angemessenheitsbeschluss der EU-Kommission!
Es bleibt abzuwarten, ob Microsoft und die Datenschutzkonferenz sich weiter annähern und wie sich die Aufsichtsbehörden gerade hinsichtlich Auslegung der Verwendung der personenbezogenen Daten im Unternehmen entwickelt.
Beeinflusst werden wird die Haltung durch das für 2023 geplante EU-US Data Privacy Framework, der Angemessenheitsbeschluss ist gerade in Vorbereitung.
Falls Datenschutzauditoren oder Datenschutzaufsichtsbehörden vor Ort prüfen, werden Sie auf das schwebende Verfahren hinweisen und Aussetzung dieser Prüfbereiche verlangen.
Auch dürfte sich die Praxisrelevanz dieser DSK-Stellungnahme für Unternehmen hoffentlich (noch) in Grenzen halten. Denn ein Verbot und striktes Vorgehen gegen den Einsatz von MS365 in Unternehmen durch die Aufsichtsbehörden würde aufgrund des flächendeckenden Einsatzes einem wirtschaftlichen Black-out gleichkommen. Dies muss eine Behörde berücksichtigen.