Kann Microsoft 365 datenschutzkonform genutzt werden?
- 22.11.2023
- Lesezeit 3 Minuten
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hatte im November 2022 festgestellt, dass die für den Einsatz von „Microsoft 365“ vorgesehene Standard-Auftragsverarbeitungsvereinbarung (im Folgenden: DPA) von Microsoft nicht den gesetzlichen Vorgaben entspricht. Nun haben mehrere Datenschutzaufsichtsbehörden gemeinsam eine Handreichung für die Verantwortlichen erstellt, damit diese eine Anpassung des Auftragsverarbeitungsvertrages mittels Zusatzvereinbarungen erzielen und so einen datenschutzkonformen Einsatz gewährleisten können.
In der Handreichung wird dem Verantwortlichen insbesondere Folgendes aufgegeben:
- In dem DPA sollten die Angaben „Kategorien personenbezogener Daten“ sowie „Kategorien betroffener Personen“ konkret bspw. durch Einbeziehung des Verzeichnisses der Verarbeitungstätigkeiten eingetragen und zur Art und zu den Zwecken der Verarbeitung zugeordnet werden können.
- Der Einsatz von Microsoft 365 zu Geschäftszwecken von Microsoft ist nur bei Vorliegen einer Rechtsgrundlage zulässig. Diese kann der Verantwortliche jedoch aufgrund von Unklarheiten bei den Verarbeitungszwecken und den erhobenen Daten nicht benennen. Daher sollte der Verantwortliche klären, welche Verarbeitungen von welchen personenbezogenen Daten in welchem Umfang zu den Zwecken von Microsoft durchgeführt werden und ob eine Rechtsgrundlage hierfür besteht. Alle Verarbeitungszwecke, für welche keine Rechtsgrundlage gefunden werden kann, sollten vertraglich ausgeschlossen und technisch unterbunden werden.
- Es soll vertraglich klargestellt werden, dass personenbezogene Daten der Nutzer durch Microsoft nur offengelegt werden dürfen, wenn eine gesetzliche Pflicht besteht.
- Der Verantwortliche soll prüfen, ob die bereits vorgesehenen Maßnahmen zum angemessenen Schutz der Verarbeitung seiner personenbezogenen Daten durch Microsoft ausreichend sind und – soweit erforderlich – zwingend notwendige zusätzliche Maßnahmen ebenfalls vertraglich vereinbaren. Alle unrechtmäßigen, nicht notwendigen oder unverhältnismäßigen Datenverarbeitungen sollten vertraglich ausgeschlossen und technisch unterbunden werden.
- Die im DPA aufgeführten Löschfristen sollten vertraglich angepasst, d. h. in der Regel gekürzt werden. Die Ausnahmen von der Löschungsverpflichtung sollten eingeschränkt und konkretisiert werden.
Ferner gibt die Handreichung dem Verantwortlichen auf, Microsoft 365 auf eigenen IT-Strukturen zu betreiben, um eine Übermittlung personenbezogener Daten an Microsoft zu eigenen Zwecken zu unterbinden. Es wird ferner empfohlen, pseudonyme Mailadressen/Accounts zu verwenden und die Nutzung privater Microsoft-Accounts zu verbieten.
Fazit
Die Handreichung weist einige Schwachstellen auf. Insbesondere erscheinen die Hinweise, pseudonyme Mailadressen zu verwenden oder die Nutzung privater Microsoft-Accounts zu verbieten, kaum praxistauglich. Außerdem bleibt abzuwarten, ob Microsoft überhaupt tatsächlich bereit ist, Zusatzverträge mit den einzelnen Unternehmen auszuhandeln und abzuschließen. Zwar ist diese Handreichung für die Unternehmen rechtlich nicht bindend, da die Datenschutzkonferenz keine Rechtssetzungskompetenz hat.
In jedem Fall ist beim Einsatz von MS 365 eine Datenschutzfolgenabschätzung empfehlenswert. Wir können Sie ferner dabei unterstützen, MS 365 möglichst datenschutzkonform zu betreiben, indem die unnötige Übertragung von Daten an Microsoft reduziert wird.
Weitere Informationen dazu finden Sie hier ››