Zum Jahresbeginn hat Microsoft eine neue Version seines Products and Services Data Protection Addendum (DPA) veröffentlicht und darin den offiziellen Start der EU Data Boundary als europäische Lösung für die Microsoft Cloud gegeben. Die deutschen Datenschutzaufsichtsbehörden haben angesichts dieser Änderungen beschlossen, eine Neubewertung von Microsoft 365 vorzunehmen. Obwohl das Ergebnis noch offen ist und kein konkreter Handlungsbedarf für Verantwortliche besteht, hat die Fortsetzung des Prüfverfahrens Auswirkungen auf den Datenschutz bei Microsoft 365.
Vorgeschichte: die Kritik der DSK
Am 25. November 2022 veröffentlichte die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, eine Stellungnahme zu Microsoft 365. Darin kamen die Behörden zu dem Schluss, dass „der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben […], nicht geführt werden“ könne. Microsoft hatte umgehend auf die Einschätzung der DSK reagiert und eine eigene Stellungnahme veröffentlicht. Zum 1. Januar 2023 wurde der Datenschutz mit einem neuen DPA sowie einer aktualisierten Liste der eingesetzten Subunternehmer weiter verbessert und die EU Data Boundary als Lösung für eine europäische Microsoft Cloud auch auf vertraglicher Ebene auf den Weg gebracht. Wir hatten diese Maßnahmen als sehr positiv bewertet.
Aktueller Stand: Neubewertung durch die DSK
Dass die Kritik vom 25. November 2022 angesichts der zahlreichen (positiven) Änderungen nicht mehr haltbar ist, haben auch die deutschen Datenschutzaufsichtsbehörden inzwischen erkannt. Sie haben, wie aus dem kürzlich veröffentlichten Protokoll ihrer 1. Zwischenkonferenz 2023 hervorgeht, deshalb bereits am 31. Januar 2023 beschlossen, dass eine Neubewertung der Rechtslage erforderlich ist. Im Mittelpunkt der Neubewertung stehen das Microsoft EU Data Boundary als europäische Lösung für die Microsoft Cloud sowie das DPA vom 1. Januar 2023. Mit der Neubewertung wurde die DSK-Arbeitsgruppe „Microsoft-Onlinedienste“ beauftragt. Die Ergebnisse sollten eigentlich bis zur 105. Datenschutzkonferenz am 10. und 11. Mai 2023 vorgelegt werden. Geschehen ist dies jedoch nicht und es ist derzeit unklar, wann mit einem Ergebnis gerechnet werden kann.
Ausblick: Auswirkungen auf den Datenschutz bei Microsoft 365
Es bleibt abzuwarten, wie die Maßnahmen von Microsoft durch die Datenschutzaufsichtsbehörden bewertet werden. Es ist jedoch zu befürchten, dass die Behörden erneut zu einem negativen Ergebnis kommen. Da die von Microsoft ergriffenen Maßnahmen jedoch sehr weitreichend sind und teilweise deutlich über den Industriestandard hinausgehen, erscheint auch ein anderes Ergebnis nicht ausgeschlossen. Nicht nur hier, sondern auch bei den angekündigten Leitfäden zur Nutzung von Microsoft-Produkten dürfen Anwender daher gespannt sein und sollten eine Auseinandersetzung mit den Datenschutzaufsichtsbehörden nicht fürchten. Ein konkreter Handlungsbedarf für Verantwortliche, der über die allgemeinen Maßnahmen zur Datenschutzkonformität von Microsoft 365 hinausgeht, ergibt sich aus den neuen Entwicklungen nicht.
zurück