Reuschlaw

Hand­rei­chung zu Micro­soft 365

Daten­schutz­auf­sichts­be­hör­den ver­öf­fent­li­chen „Praxis-Tipps“

Der Lan­des­be­auf­trag­te für den Daten­schutz Nie­der­sach­sen hat Ende Sep­tem­ber 2023 gemein­sam mit sechs wei­te­ren Daten­schutz­auf­sichts­be­hör­den eine „Hand­rei­chung für die Ver­ant­wort­li­chen zum Abschluss einer Auf­trags­ver­ar­bei­tungs­ver­ein­ba­rung gem. Art. 28 Abs. 3 DSGVO mit Micro­soft für den Ein­satz von Micro­soft 365“ ver­öf­fent­licht. Mit die­ser Hand­rei­chung sol­len „Praxis-Tipps“ für die Ver­trä­ge mit Micro­soft, ins­be­son­de­re dem Pro­ducts and Ser­vices Data Pro­tec­tion Adden­dum (DPA), gege­ben wer­den. Wel­che Aus­wir­kun­gen die Hand­rei­chung hat und war­um die „Praxis-Tipps“ wenig pra­xis­taug­lich sind, erläu­tern wir in die­sem Artikel.

Hand­rei­chung zu Micro­soft 365

Die Dis­kus­si­on um Micro­soft 365 geht wei­ter. Um die Zeit bis zu einer Neu­be­wer­tung der Sach- und Rechts­la­ge durch die Daten­schutz­kon­fe­renz (DSK) zu über­brü­cken, haben die Daten­schutz­auf­sichts­be­hör­den der Län­der Nie­der­sach­sen, Bay­ern, Hes­sen, Nordrhein-Westfalen, Rheinland-Pfalz, Schleswig-Holstein und Thü­rin­gen eine Hand­rei­chung zu Micro­soft 365 erstellt. Neben der Prü­fung der Zuläs­sig­keit des Ein­sat­zes von Micro­soft 365 im kon­kre­ten Ein­zel­fall wird den Ver­ant­wort­li­chen der Abschluss einer „Zusatz­ver­ein­ba­rung zum DPA“ emp­foh­len, um ihrer Rechen­schafts­pflicht aus Art. 5 Abs. 2 DSGVO nach­kom­men zu kön­nen. Die Hand­rei­chung ent­hält im Wesent­li­chen sechs „To-dos“, die sich auf eine gewünsch­te Ver­trags­ver­hand­lung mit Micro­soft unter Ver­weis auf die Kri­tik­punk­te der DSK vom Novem­ber 2022 bezie­hen. Im Ein­zel­nen wer­den ins­be­son­de­re die fol­gen­den Ver­trags­an­pas­sun­gen gefordert:

  1. Kon­kre­te Beschrei­bung der Ver­ar­bei­tungs­vor­gän­ge, z. B. mit Hil­fe einer Tabel­le, die vom Ver­ant­wort­li­chen aus­zu­fül­len ist;
  2. Mehr Trans­pa­renz und ver­trag­li­che Ver­ein­ba­run­gen zu der Ver­ar­bei­tung durch Micro­soft zu eige­nen Zwecken;
  3. Strik­te Wei­sungs­bin­dung und Beschrän­kung der Offen­le­gung von Daten durch Microsoft;
  4. Prä­zi­sie­rung der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men sowie der damit ver­bun­de­nen Verarbeitungsvorgänge;
  5. Kür­zung der Lösch­fris­ten und Ein­schrän­kung der Aus­nah­men der Lösch­ver­pflich­tun­gen von Microsoft;
  6. Kon­kre­ti­sie­rung der Anga­ben zu den Unter­auf­trags­ver­ar­bei­tern sowie Ver­ein­ba­rung einer pro­ak­ti­ven Benach­rich­ti­gung über Änderungen.

In einem letz­ten Hand­lungs­hin­weis wer­den zudem all­ge­mei­ne Emp­feh­lun­gen gege­ben, wonach unter ande­rem der Betrieb von Micro­soft 365 auf den eige­nen IT-Strukturen, die Ver­wen­dung pseud­ony­mer Mail­adres­sen sowie ein Ver­bot der Pri­vat­nut­zung (BYOD) erfol­gen soll­ten. Aus­drück­lich nicht Bestand­teil der Hand­rei­chung ist die The­ma­tik der Daten­über­mitt­lung in die USA ein­schließ­lich der Fra­ge des extra­ter­ri­to­ria­len Gel­tungs­be­reichs der US-Gesetze sowie die Bewer­tung der tech­ni­schen Funk­tio­nen von Micro­soft 365.

„Praxis-Tipps“ wenig pra­xis­taug­lich und veraltet

Die meis­ten To-dos aus der Hand­rei­chung zei­gen, dass sich die Daten­schutz­auf­sichts­be­hör­den mit der The­ma­tik des daten­schutz­kon­for­men Ein­sat­zes von Micro­soft 365 rein theo­re­tisch befas­sen und den Bezug zur Pra­xis weit­ge­hend ver­lo­ren haben. Neben dem Umstand, dass vie­le Punk­te eher einen Wunsch der Daten­schutz­auf­sichts­be­hör­den wider­spie­geln, die­se aber nicht gesetz­lich gefor­dert sind, ist auf Pra­xis­sei­te zu beach­ten, dass eini­ge Aspek­te über­haupt nicht umsetz­bar sind. Bei­spiels­wei­se wird der Betrieb von Micro­soft 365 auf der eige­nen IT-Struktur nicht mehr am Markt ange­bo­ten. Auch erscheint es frag­lich, ob Micro­soft mit allen Kun­den sei­ne Ver­trä­ge ver­han­deln und die emp­foh­le­nen Zusatz­ver­ein­ba­run­gen abschlie­ßen wird. Dies gilt umso mehr, als die Hand­rei­chung auf der Bewer­tung der DSK vom Sep­tem­ber 2022 und damit auf einer über­hol­ten Sach- und Rechts­la­ge beruht. Zwar wird in der Hand­rei­chung auf das aktu­el­le DPA von Janu­ar 2023 hin­ge­wie­sen, doch wer­den in ein­zel­nen To-dos Maß­nah­men emp­foh­len, die Micro­soft mit der letz­ten Aktua­li­sie­rung sei­nes DPA bereits hin­rei­chend umge­setzt hat.

Fazit

Ein auf einer ver­al­te­ten Sach- und Rechts­la­ge beru­hen­der Maß­nah­men­ka­ta­log ein­zel­ner Daten­schutz­auf­sichts­be­hör­den schafft kei­ne Rechts­si­cher­heit für die Pra­xis. Auch wenn die Daten­schutz­auf­sichts­be­hör­den man­gels Zustän­dig­keit für Micro­soft nun den Fokus auf die Ver­ant­wort­li­chen legen, soll­ten sich die­se nicht von den „Praxis-Tipps“ abschre­cken las­sen. Mit einer umfas­sen­den Doku­men­ta­ti­on und einer Risi­ko­be­wer­tung sowie geeig­ne­ten Abhil­fe­maß­nah­men unter Berück­sich­ti­gung der aktu­el­len Doku­men­te und Infor­ma­tio­nen von Micro­soft ist eine DSGVO-konforme Nut­zung von Micro­soft 365 sowohl für öffent­li­che Stel­len als auch für Unter­neh­men wei­ter­hin gut umsetzbar.

Unse­ren One­pager zur Datenschutz-Compliance bei Micro­soft 365 fin­den Sie hier.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.