Die AG DSK „Microsoft-Onlinedienste“ hat eine Zusammenfassung der Bewertung der aktuellen Vereinbarung zur Auftragsverarbeitung veröffentlicht. In dieser Zusammenfassung werden die jüngsten Entwicklungen dargestellt. Grundlage bildete eine Bewertung des Arbeitskreises Verwaltung zum Einsatz von Microsoft 365 (früher Office 365) aus dem September 2020. Damals kam der Arbeitskreis Verwaltung zu dem Ergebnis, „dass auf Basis dieser Unterlagen kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich“ sei.
Daraufhin hat eine Arbeitsgruppe Ende 2020 Gespräche mit Microsoft begonnen. Es fanden insgesamt 14 mehrstündige Videokonferenzen statt.
Zwischenzeitlich wurde für die Produktreihe seitens Microsoft der „Datenschutznachtrag zu den Produkten und Services von Microsoft“ veröffentlicht. Die aktuelle Version ist vom 15. September 2022 datiert.
Wie aus dem Bericht der Arbeitsgruppe hervorgeht, stellt das vorliegende Papier keine abschließende Untersuchung des Gesamtangebots Microsoft 365 dar. Vielmehr verweist das Papier auf bereits festgestellte Mängel aus anderen Veröffentlichungen (wie z.B. die Hinweise der Aufsichtsbehörde Baden-Württemberg und Berlin).
Trotz der Nachbesserungen aus dem o.g. Datenschutznachtrags sind hier aus Sicht der Arbeitsgruppe weiterhin Mängel in verschiedenen Bereichen zu erkennen. Für Verantwortliche, welche Microsoft 365 einsetzen, dürfte es nach Auffassung der Arbeitsgruppe Problem mit der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO geben, da Microsoft nicht vollständig offenlegt, welche Verarbeitungen im Einzelnen stattfinden.
Ein weiteres Problemfeld bildet die eigene Verantwortlichkeit Microsofts im Rahmen der Verarbeitung „für legitime Geschäftszwecke“. Aus Sicht der Arbeitsgruppe bestehen weiterhin gravierende Unklarheiten, welche personenbezogenen Daten im Rahmen der von Microsoft genannten legitimen Geschäftszwecke tatsächlich verarbeitet werden.
Mehr Transparenz gibt es dagegen in Bezug auf die getroffenen technisch-organisatorischen Maßnahmen. Dies können durch Interessierte nunmehr abgerufen werden.
Ein weiteres Problem sieht die Arbeitsgruppe bei der Thematik zur Löschung und Rückgabe personenbezogener Daten. Nach Auffassung der Arbeitsgruppe genügt die derzeitige Ausgestaltung nicht in jedem Fall den gesetzlichen Anforderungen aus Art. 28 Abs. 3 UAbs. 1 Satz 2 Buchstabe g DSGVO.
Unabhängig von den bisher aufgeführten Problemen bleibt letztendlich noch das bisher ungelöste Problem des Datentransfers in den Drittstaat USA. Microsoft hat eine verstärkte Verlagerung der Datenverarbeitung in die Cloud avisiert, dies ist sicher eine hilfreiche Entwicklung. Gleichzeitig bleibt die praktische Umsetzung der von US-Präsident Joe Biden und Generalstaatsanwalt Garland am 07.10.22 vorgestellten Executive Order „Enhancing Safeguards for United States Signals Intelligence Activities“ und begleitende Rechtsverordnungen des US-Justizministeriums abzuwarten.
Die komplette Veröffentlichung der DSK können Sie hier abrufen