Micro­soft 365: Reak­ti­on und Prä­ven­ti­on bei Behördenanfragen

Bis­her ist eine breit ange­leg­te Kam­pa­gne der Daten­schutz­auf­sichts­be­hör­den mit Fra­ge­bö­gen zum Ein­satz von Micro­soft 365 aus­ge­blie­ben. Ein aktu­el­les Schrei­ben der Daten­schutz­auf­sichts­be­hör­de Thü­rin­gen lässt jedoch ver­mu­ten, dass zeit­nah ein Tak­tik­wech­sel erfol­gen könn­te. Unab­hän­gig davon erhal­ten Ver­ant­wort­li­che schon heu­te regel­mä­ßig Fra­ge­bö­gen zu Micro­soft 365, wenn es zu Beschwer­den durch Betrof­fe­ne kommt. Aus­ge­hend von unse­ren Erfah­run­gen aus den von uns betreu­ten Behör­den­ver­fah­ren möch­ten wir nach­fol­gend einen Über­blick geben, auch über die Reak­ti­on auf Fra­ge­bö­gen zu Micro­soft 365 und über Mög­lich­kei­ten der Prävention.

Inhalt der bekann­ten Behördenanfragen

Die meis­ten uns bekann­ten Fra­ge­bö­gen ver­fol­gen einen infor­ma­to­ri­schen Ansatz und zie­len auf eine gemein­sa­me Erör­te­rung der Sach- und Rechts­la­ge ab. Teil­wei­se ori­en­tie­ren sich die Schrei­ben an einem Fra­ge­bo­gen der Daten­schutz­auf­sicht Ham­burg aus dem Jahr 2021 . Neben einer detail­lier­ten Beschrei­bung der kon­kre­ten Nut­zung von Micro­soft 365 ver­lan­gen die Behör­den regel­mä­ßig eine Vor­la­ge sämt­li­cher Compliance-Dokumente zu Micro­soft 365. Dies betrifft ins­be­son­de­re fol­gen­de Unterlagen:

• Aus­zug aus dem Verarbeitungsverzeichnis
• Datenschutz-Folgenabschätzung
• Daten­schutz­in­for­ma­tio­nen
• Recht­li­che Bewer­tung der Drittlandsübermittlung
• Etwa­ige Einwilligungserklärungen

Reak­ti­on: Wie soll­ten Ver­ant­wort­li­che mit Behör­den­an­fra­gen umgehen?

Ver­ant­wort­li­che müs­sen eine Dis­kus­si­on zum daten­schutz­kon­for­men Ein­satz von Micro­soft 365 nicht fürch­ten. Unab­hän­gig davon, dass die recht­li­che Argu­men­ta­ti­on der Daten­schutz­kon­fe­renz in wei­ten Tei­len nicht über­zeu­gend ist, hat Micro­soft mit dem neu­en DPA vom Janu­ar 2023 zahl­rei­che wei­te­re Ver­bes­se­run­gen beim Daten­schutz erzielt. Unse­re Erfah­rung aus der Pra­xis zeigt, dass sich mit einer aus­führ­li­chen Beant­wor­tung der Behör­den­an­fra­ge und einer offe­nen Kom­mu­ni­ka­ti­on in der Regel schon viel errei­chen lässt.
Vor der Beant­wor­tung soll­ten Ver­ant­wort­li­che ins­be­son­de­re fol­gen­de Aspek­te bedenken:

• Inhalt der Anfra­ge: Han­delt es sich um eine Anhö­rung mit Rechts­mit­tel­be­leh­rung oder um eine rein infor­ma­ti­ve Anfrage?
• Kon­text der Anfra­ge: Liegt dem Schrei­ben die Beschwer­de eines Betrof­fe­nen zugrun­de? Falls ja, lässt sich der Beschwer­de evtl. unbü­ro­kra­tisch abhelfen?
• Bereit­stel­lung von Doku­men­ten: Sind alle rele­van­ten Unter­la­gen auf dem neus­ten Stand oder soll­ten vor der Beant­wor­tung der Anfra­ge noch Aktua­li­sie­run­gen vor­ge­nom­men werden?
• Erfah­run­gen im Umgang mit Auf­sichts­be­hör­den: Gibt es Erfah­run­gen im Umgang mit der anfra­gen­den Behör­de oder sogar eine Vor­ge­schich­te zur Nut­zung von Micro­soft 365?

Prä­ven­ti­on: Wie kön­nen sich Ver­ant­wort­li­che vorbereiten?

Ver­ant­wort­li­che, die (noch) kei­ne Behör­den­an­fra­ge erhal­ten haben, soll­ten die aktu­el­le Ver­schnauf­pau­se nut­zen und anhand der bekann­ten Fra­ge­bö­gen prü­fen, wie gut ihre eige­ne Com­pli­ance beim Ein­satz von Micro­soft 365 ist. Unse­re bis­he­ri­gen Erfah­run­gen aus Behör­den­ver­fah­ren zu Micro­soft 365 zei­gen, wie wich­tig eine gute Doku­men­ta­ti­on zum Daten­schutz bei Micro­soft 365 ist. Neben inhalt­li­chen Aspek­ten soll­ten Ver­ant­wort­li­che prü­fen, wel­cher Rei­fe­grad bei der Beant­wor­tung von Behör­den­an­fra­gen bereits erreicht ist. Dar­über hin­aus kann ein gutes Manage­ment von Betrof­fe­nen­rech­ten Beschwer­den zu Micro­soft 365 von vor­ne­her­ein über­flüs­sig machen und dazu bei­tra­gen, dass die Daten­schutz­auf­sichts­be­hör­den gar nicht tätig wer­den müssen.