Datenschutzaufsichtsbehörden veröffentlichen „Praxis-Tipps“
Der Landesbeauftragte für den Datenschutz Niedersachsen hat Ende September 2023 gemeinsam mit sechs weiteren Datenschutzaufsichtsbehörden eine „Handreichung für die Verantwortlichen zum Abschluss einer Auftragsverarbeitungsvereinbarung gem. Art. 28 Abs. 3 DSGVO mit Microsoft für den Einsatz von Microsoft 365“ veröffentlicht. Mit dieser Handreichung sollen „Praxis-Tipps“ für die Verträge mit Microsoft, insbesondere dem Products and Services Data Protection Addendum (DPA), gegeben werden. Welche Auswirkungen die Handreichung hat und warum die „Praxis-Tipps“ wenig praxistauglich sind, erläutern wir in diesem Artikel.
Handreichung zu Microsoft 365
Die Diskussion um Microsoft 365 geht weiter. Um die Zeit bis zu einer Neubewertung der Sach- und Rechtslage durch die Datenschutzkonferenz (DSK) zu überbrücken, haben die Datenschutzaufsichtsbehörden der Länder Niedersachsen, Bayern, Hessen, Nordrhein-Westfalen, Rheinland-Pfalz, Schleswig-Holstein und Thüringen eine Handreichung zu Microsoft 365 erstellt. Neben der Prüfung der Zulässigkeit des Einsatzes von Microsoft 365 im konkreten Einzelfall wird den Verantwortlichen der Abschluss einer „Zusatzvereinbarung zum DPA“ empfohlen, um ihrer Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO nachkommen zu können. Die Handreichung enthält im Wesentlichen sechs „To-dos“, die sich auf eine gewünschte Vertragsverhandlung mit Microsoft unter Verweis auf die Kritikpunkte der DSK vom November 2022 beziehen. Im Einzelnen werden insbesondere die folgenden Vertragsanpassungen gefordert:
- Konkrete Beschreibung der Verarbeitungsvorgänge, z. B. mit Hilfe einer Tabelle, die vom Verantwortlichen auszufüllen ist;
- Mehr Transparenz und vertragliche Vereinbarungen zu der Verarbeitung durch Microsoft zu eigenen Zwecken;
- Strikte Weisungsbindung und Beschränkung der Offenlegung von Daten durch Microsoft;
- Präzisierung der technischen und organisatorischen Maßnahmen sowie der damit verbundenen Verarbeitungsvorgänge;
- Kürzung der Löschfristen und Einschränkung der Ausnahmen der Löschverpflichtungen von Microsoft;
- Konkretisierung der Angaben zu den Unterauftragsverarbeitern sowie Vereinbarung einer proaktiven Benachrichtigung über Änderungen.
In einem letzten Handlungshinweis werden zudem allgemeine Empfehlungen gegeben, wonach unter anderem der Betrieb von Microsoft 365 auf den eigenen IT-Strukturen, die Verwendung pseudonymer Mailadressen sowie ein Verbot der Privatnutzung (BYOD) erfolgen sollten. Ausdrücklich nicht Bestandteil der Handreichung ist die Thematik der Datenübermittlung in die USA einschließlich der Frage des extraterritorialen Geltungsbereichs der US-Gesetze sowie die Bewertung der technischen Funktionen von Microsoft 365.
„Praxis-Tipps“ wenig praxistauglich und veraltet
Die meisten To-dos aus der Handreichung zeigen, dass sich die Datenschutzaufsichtsbehörden mit der Thematik des datenschutzkonformen Einsatzes von Microsoft 365 rein theoretisch befassen und den Bezug zur Praxis weitgehend verloren haben. Neben dem Umstand, dass viele Punkte eher einen Wunsch der Datenschutzaufsichtsbehörden widerspiegeln, diese aber nicht gesetzlich gefordert sind, ist auf Praxisseite zu beachten, dass einige Aspekte überhaupt nicht umsetzbar sind. Beispielsweise wird der Betrieb von Microsoft 365 auf der eigenen IT-Struktur nicht mehr am Markt angeboten. Auch erscheint es fraglich, ob Microsoft mit allen Kunden seine Verträge verhandeln und die empfohlenen Zusatzvereinbarungen abschließen wird. Dies gilt umso mehr, als die Handreichung auf der Bewertung der DSK vom September 2022 und damit auf einer überholten Sach- und Rechtslage beruht. Zwar wird in der Handreichung auf das aktuelle DPA von Januar 2023 hingewiesen, doch werden in einzelnen To-dos Maßnahmen empfohlen, die Microsoft mit der letzten Aktualisierung seines DPA bereits hinreichend umgesetzt hat.
Fazit
Ein auf einer veralteten Sach- und Rechtslage beruhender Maßnahmenkatalog einzelner Datenschutzaufsichtsbehörden schafft keine Rechtssicherheit für die Praxis. Auch wenn die Datenschutzaufsichtsbehörden mangels Zuständigkeit für Microsoft nun den Fokus auf die Verantwortlichen legen, sollten sich diese nicht von den „Praxis-Tipps“ abschrecken lassen. Mit einer umfassenden Dokumentation und einer Risikobewertung sowie geeigneten Abhilfemaßnahmen unter Berücksichtigung der aktuellen Dokumente und Informationen von Microsoft ist eine DSGVO-konforme Nutzung von Microsoft 365 sowohl für öffentliche Stellen als auch für Unternehmen weiterhin gut umsetzbar.
Unseren Onepager zur Datenschutz-Compliance bei Microsoft 365 finden Sie hier.
zurück