Am 25. November 2022 veröffentlichte die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, eine Stellungnahme zu Microsoft 365 mit dem Ergebnis einer Festlegung der DSK dahingehend, dass „der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben (…), nicht geführt werden“ könne. Microsoft hatte unmittelbar auf die Bewertung der DSK reagiert und eine eigene Stellungnahme veröffentlicht. In diesem Beitrag hatten wir die wesentlichen Streitpunkte dargelegt sowie die Positionen der involvierten Akteure gegenübergestellt und rechtlich bewertet. Microsoft hat seither viel getan. Es ist jetzt Zeit für ein Update!
Update zum Datenschutz bei Microsoft 365
Nachdem die DSK zunächst lediglich eine Zusammenfassung ihrer Stellungnahme veröffentlicht hatte, wurde in der Folge auch der Abschlussbericht der Arbeitsgruppe DSK „Microsoft-Onlinedienste“ zur Verfügung gestellt. Der Abschlussbericht ermöglicht eine detaillierte Auseinandersetzung mit den einzelnen Kritikpunkten der Behörden. Darüber hinaus haben einzelne deutsche Datenschutzaufsichtsbehörden angekündigt, nunmehr auf Verantwortliche in öffentlichen Stellen und Unternehmen zuzugehen, um die Einhaltung der datenschutzrechtlichen Vorgaben beim Einsatz von Microsoft 365 zu überprüfen. Microsoft hat zum 1. Januar 2023 ein neues Products and Services Data Protection Addendum (DPA) sowie eine aktualisierte Liste der eingesetzten Unterauftragsverarbeiter veröffentlicht. Zudem hat Microsoft das EU Data Boundary for the Microsoft Cloud, eine europäische Cloud-Lösung für öffentliche Stellen und Unternehmen, seit Beginn dieses Jahres gestartet. Was sich im Detail geändert hat und wie sich diese Änderungen auf die Frage eines datenschutzkonformen Einsatzes von Microsoft 365 auswirken, finden Sie hier.
Fazit
Ob und wie die Datenschutzaufsichtsbehörden auf die Verbesserungen von Microsoft reagieren werden, bleibt vorerst abzuwarten. Mit einer umfassenden Dokumentation und Bewertung der Risiken sowie geeigneten Abhilfemaßnahmen ist eine DSGVO-konforme Nutzung von Microsoft 365 sowohl für öffentliche Stellen als auch für Unternehmen gut begründbar. Kontrovers geführte Diskussionen mit den Datenschutzaufsichtsbehörden müssen Verantwortliche dann nicht fürchten.
Unseren Onepager zur Datenschutz-Compliance bei Microsoft 365 finden Sie hier.
zurück