Bisher ist eine breit angelegte Kampagne der Datenschutzaufsichtsbehörden mit Fragebögen zum Einsatz von Microsoft 365 ausgeblieben. Ein aktuelles Schreiben der Datenschutzaufsichtsbehörde Thüringen lässt jedoch vermuten, dass zeitnah ein Taktikwechsel erfolgen könnte. Unabhängig davon erhalten Verantwortliche schon heute regelmäßig Fragebögen zu Microsoft 365, wenn es zu Beschwerden durch Betroffene kommt. Ausgehend von unseren Erfahrungen aus den von uns betreuten Behördenverfahren möchten wir nachfolgend einen Überblick geben, auch über die Reaktion auf Fragebögen zu Microsoft 365 und über Möglichkeiten der Prävention.
Inhalt der bekannten Behördenanfragen
Die meisten uns bekannten Fragebögen verfolgen einen informatorischen Ansatz und zielen auf eine gemeinsame Erörterung der Sach- und Rechtslage ab. Teilweise orientieren sich die Schreiben an einem Fragebogen der Datenschutzaufsicht Hamburg aus dem Jahr 2021 . Neben einer detaillierten Beschreibung der konkreten Nutzung von Microsoft 365 verlangen die Behörden regelmäßig eine Vorlage sämtlicher Compliance-Dokumente zu Microsoft 365. Dies betrifft insbesondere folgende Unterlagen:
- Auszug aus dem Verarbeitungsverzeichnis
- Datenschutz-Folgenabschätzung
- Datenschutzinformationen
- Rechtliche Bewertung der Drittlandsübermittlung
- Etwaige Einwilligungserklärungen
Reaktion: Wie sollten Verantwortliche mit Behördenanfragen umgehen?
Verantwortliche müssen eine Diskussion zum datenschutzkonformen Einsatz von Microsoft 365 nicht fürchten. Unabhängig davon, dass die rechtliche Argumentation der Datenschutzkonferenz in weiten Teilen nicht überzeugend ist, hat Microsoft mit dem neuen DPA vom Januar 2023 zahlreiche weitere Verbesserungen beim Datenschutz erzielt. Unsere Erfahrung aus der Praxis zeigt, dass sich mit einer ausführlichen Beantwortung der Behördenanfrage und einer offenen Kommunikation in der Regel schon viel erreichen lässt.
Vor der Beantwortung sollten Verantwortliche insbesondere folgende Aspekte bedenken:
- Inhalt der Anfrage: Handelt es sich um eine Anhörung mit Rechtsmittelbelehrung oder um eine rein informative Anfrage?
- Kontext der Anfrage: Liegt dem Schreiben die Beschwerde eines Betroffenen zugrunde? Falls ja, lässt sich der Beschwerde evtl. unbürokratisch abhelfen?
- Bereitstellung von Dokumenten: Sind alle relevanten Unterlagen auf dem neusten Stand oder sollten vor der Beantwortung der Anfrage noch Aktualisierungen vorgenommen werden?
- Erfahrungen im Umgang mit Aufsichtsbehörden: Gibt es Erfahrungen im Umgang mit der anfragenden Behörde oder sogar eine Vorgeschichte zur Nutzung von Microsoft 365?
Prävention: Wie können sich Verantwortliche vorbereiten?
Verantwortliche, die (noch) keine Behördenanfrage erhalten haben, sollten die aktuelle Verschnaufpause nutzen und anhand der bekannten Fragebögen prüfen, wie gut ihre eigene Compliance beim Einsatz von Microsoft 365 ist. Unsere bisherigen Erfahrungen aus Behördenverfahren zu Microsoft 365 zeigen, wie wichtig eine gute Dokumentation zum Datenschutz bei Microsoft 365 ist. Neben inhaltlichen Aspekten sollten Verantwortliche prüfen, welcher Reifegrad bei der Beantwortung von Behördenanfragen bereits erreicht ist. Darüber hinaus kann ein gutes Management von Betroffenenrechten Beschwerden zu Microsoft 365 von vorneherein überflüssig machen und dazu beitragen, dass die Datenschutzaufsichtsbehörden gar nicht tätig werden müssen.
Hausnachricht
Für den 15.–16. Juni 2023 laden wir Sie ein, auf unserer Hybrid-Veranstaltung Digital Business Conference mit uns und mit Vertreterinnen und Vertretern aus der Wirtschaft, den Aufsichtsbehörden und der Wissenschaft über technische und rechtliche Herausforderungen und Lösungen für Cybersicherheit zu diskutieren. Neben Trends und Zukunftsthemen, wie Software-Lieferketten, Künstliche Intelligenz oder cyberphysische Ökosysteme, stehen auch die Bezüge zum Datenschutz und IT-Recht auf der Agenda.