Aufsichtsbehörden und Microsoft äußern sich
Am 25. November 2022, hat die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, eine Stellungnahme zu Microsoft 365 veröffentlicht. Die Stellungnahme ist das Ergebnis einer Reihe von gemeinsamen Gesprächen zwischen der DSK und Microsoft, nachdem bereits im September 2020 die DSK eine erste Bewertung von Microsoft Office 365 (jetzt: Microsoft 365) vorgenommen hatte. Nachdem die DSK im Jahr 2020 zu dem Ergebnis gekommen war, dass „kein datenschutzrechtlicher Einsatz von Microsoft Office 365 möglich“ sei, sollen nunmehr lediglich „geringfügige Verbesserungen“ zu erkennen sein. In diesem Artikel stellen wir die wesentlichen Streitpunkte dar und bewerten diese. Am Ende können Sie eine ausführliche Gegenüberstellung der Positionen und unsere Einschätzung herunterladen.
Die Bewertung der DSK
Grundlage der aktuellen Bewertung der DSK ist der „Datenschutznachtrag zu den Produkten und Services von Microsoft“ (auf engl.: „Microsoft Products and Services Data Protection Addendum“ („DPA“)) in der Version vom 15. September 2022. Die DSK betont, dass neben der Bewertung des Vertragswerkes keine technische Untersuchung der Verarbeitungsvorgänge und auch keine Evaluierung der Umsetzung der vertraglichen Vereinbarungen stattgefunden hat. Wesentliche Kritikpunkte sind unter anderem die aus Sicht der DSK intransparente Verarbeitung von Daten durch Microsoft zu eigenen Zwecken sowie die Datenübermittlung in die USA, wobei hier die neue Executive Order des US-Präsidenten vom 07.10.2022 ausdrücklich noch keinen Eingang in die Bewertung gefunden hat.
Stellungnahme durch Microsoft
Microsoft hat bereits am gleichen Tag auf die Bewertung der DSK reagiert und eine eigene Stellungnahme veröffentlicht. Darin erklärt das Unternehmen, dass die Microsoft 365-Produkte „die strengen EU-Datenschutzgesetze nicht nur erfüllen, sondern oft sogar übertreffen“. Die von der DSK geäußerten Bedenken berücksichtigen nach Ansicht des Unternehmens die bereits vorgenommenen Änderungen nicht angemessen und würden auf mehreren Missverständnissen hinsichtlich der Funktionsweise der Dienste beruhen.
Gegenüberstellung der wesentlichen Aussagen
Hier finden Sie unsere erste Einschätzung zu der Stellungnahme der DSK. Wir kommen darin zu dem Ergebnis, dass weiterhin ein datenschutzkonformer Einsatz von Microsoft 365 möglich ist. Die anschließende Gegenüberstellung der wesentlichen divergierenden Aussagen der beiden Stellungnahmen soll zudem eine Hilfestellung für die (rechtliche) Bewertung des Einsatzes von Microsoft 365 geben. Unseren Onepager zur Datenschutz-Compliance bei Microsoft 365 finden Sie hier.
zurück