Daten­schutz­kon­fe­renz star­tet Neu­be­wer­tung zu Micro­soft 365

Zum Jah­res­be­ginn hat Micro­soft eine neue Ver­si­on sei­nes Pro­ducts and Ser­vices Data Pro­tec­tion Adden­dum (DPA) ver­öf­fent­licht und dar­in den offi­zi­el­len Start der EU Data Boun­da­ry als euro­päi­sche Lösung für die Micro­soft Cloud gege­ben. Die deut­schen Daten­schutz­auf­sichts­be­hör­den haben ange­sichts die­ser Ände­run­gen beschlos­sen, eine Neu­be­wer­tung von Micro­soft 365 vor­zu­neh­men. Obwohl das Ergeb­nis noch offen ist und kein kon­kre­ter Hand­lungs­be­darf für Ver­ant­wort­li­che besteht, hat die Fort­set­zung des Prüf­ver­fah­rens Aus­wir­kun­gen auf den Daten­schutz bei Micro­soft 365.

Vor­ge­schich­te: die Kri­tik der DSK

Am 25. Novem­ber 2022 ver­öf­fent­lich­te die Daten­schutz­kon­fe­renz (DSK), das Gre­mi­um der unab­hän­gi­gen deut­schen Daten­schutz­auf­sichts­be­hör­den des Bun­des und der Län­der, eine Stel­lung­nah­me zu Micro­soft 365. Dar­in kamen die Behör­den zu dem Schluss, dass „der Nach­weis von Ver­ant­wort­li­chen, Micro­soft 365 daten­schutz­rechts­kon­form zu betrei­ben […], nicht geführt wer­den“ kön­ne. Micro­soft hat­te umge­hend auf die Ein­schät­zung der DSK reagiert und eine eige­ne Stel­lung­nah­me ver­öf­fent­licht. Zum 1. Janu­ar 2023 wur­de der Daten­schutz mit einem neu­en DPA sowie einer aktua­li­sier­ten Lis­te der ein­ge­setz­ten Sub­un­ter­neh­mer wei­ter ver­bes­sert und die EU Data Boun­da­ry als Lösung für eine euro­päi­sche Micro­soft Cloud auch auf ver­trag­li­cher Ebe­ne auf den Weg gebracht. Wir hat­ten die­se Maß­nah­men als sehr posi­tiv bewer­tet.

Aktu­el­ler Stand: Neu­be­wer­tung durch die DSK

Dass die Kri­tik vom 25. Novem­ber 2022 ange­sichts der zahl­rei­chen (posi­ti­ven) Ände­run­gen nicht mehr halt­bar ist, haben auch die deut­schen Daten­schutz­auf­sichts­be­hör­den inzwi­schen erkannt. Sie haben, wie aus dem kürz­lich ver­öf­fent­lich­ten Pro­to­koll ihrer 1. Zwi­schen­kon­fe­renz 2023 her­vor­geht, des­halb bereits am 31. Janu­ar 2023 beschlos­sen, dass eine Neu­be­wer­tung der Rechts­la­ge erfor­der­lich ist. Im Mit­tel­punkt der Neu­be­wer­tung ste­hen das Micro­soft EU Data Boun­da­ry als euro­päi­sche Lösung für die Micro­soft Cloud sowie das DPA vom 1. Janu­ar 2023. Mit der Neu­be­wer­tung wur­de die DSK-Arbeitsgruppe „Microsoft-Onlinedienste“ beauf­tragt. Die Ergeb­nis­se soll­ten eigent­lich bis zur 105. Daten­schutz­kon­fe­renz am 10. und 11. Mai 2023 vor­ge­legt wer­den. Gesche­hen ist dies jedoch nicht und es ist der­zeit unklar, wann mit einem Ergeb­nis gerech­net wer­den kann.

Aus­blick: Aus­wir­kun­gen auf den Daten­schutz bei Micro­soft 365

Es bleibt abzu­war­ten, wie die Maß­nah­men von Micro­soft durch die Daten­schutz­auf­sichts­be­hör­den bewer­tet wer­den. Es ist jedoch zu befürch­ten, dass die Behör­den erneut zu einem nega­ti­ven Ergeb­nis kom­men. Da die von Micro­soft ergrif­fe­nen Maß­nah­men jedoch sehr weit­rei­chend sind und teil­wei­se deut­lich über den Indus­trie­stan­dard hin­aus­ge­hen, erscheint auch ein ande­res Ergeb­nis nicht aus­ge­schlos­sen. Nicht nur hier, son­dern auch bei den ange­kün­dig­ten Leit­fä­den zur Nut­zung von Microsoft-Produkten dür­fen Anwen­der daher gespannt sein und soll­ten eine Aus­ein­an­der­set­zung mit den Daten­schutz­auf­sichts­be­hör­den nicht fürch­ten. Ein kon­kre­ter Hand­lungs­be­darf für Ver­ant­wort­li­che, der über die all­ge­mei­nen Maß­nah­men zur Daten­schutz­kon­for­mi­tät von Micro­soft 365 hin­aus­geht, ergibt sich aus den neu­en Ent­wick­lun­gen nicht.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.