Handreichung der Aufsichtsbehörden zu M365

By René Floitgraf

Worum geht es?

Mehrere Aufsichtsbehörden, darunter das LDI NRW, haben eine Handreichung zum datenschutzkonformen Einsatz von Microsoft 365 veröffentlicht.

Im Rahmen dieser Handreichung wird darauf hingewiesen, dass die teilnehmenden Aufsichtsbehörden den von Microsoft zur Verfügung gestellten Vertrag zur Auftragsverarbeitung (DPA) für nicht datenschutzkonform erachten.

Vor allem wird darauf hingewiesen, dass sich Microsoft eigene Zwecke an den erhobenen Daten einräume, was im Rahmen der Weisungsbindung der Auftragsverarbeitung nicht zulässig ist.

Dazu das LDI auf der eigenen Webseite: „Insofern sollten auch nicht-öffentliche Stellen vertraglich ausschließen, dass Microsoft personenbezogene Daten für eigene Zwecke nutzt, um datenschutzrechtlich auf der sicheren Seite zu sein.“

Bewertung

Was nach einer guten Idee klingt, scheitert nach unserem Dafürhalten allerdings daran, dass es kaum einem Kleinst- oder Kleinunternehmen und auch den meisten mittleren Unternehmen nicht möglich sein wird, eigene individuelle Verträge mit Microsoft auszuhandeln.

Handlungsempfehlung

Insofern können wir als Handlungsempfehlung nur auf unsere Orientierungshilfe zu Office 365 in unserer Dateiablage verweisen, worin wir einige mögliche Basismaßnahmen benannt haben, die zumindest in den lokal installierten Anwendungen für eine gewisse Datensparsamkeit sorgen und auch einige datenschutzfreundliche Einstellungen für die Cloudprodukte enthalten.

Fazit

Ein rechtssicherer Betrieb wird aus Sicht der Aufsichtsbehörden auch mit unseren Maßnahmen nicht möglich sein, denn diese bewirken keine Anpassungen am Vertrag. Aber zumindest haben Sie damit argumentativ „etwas in der Hand“, dass Sie bemüht waren einen datenschutzfreundlichen Betrieb der Lösungen zu realisieren.

Abschließend möchten wir zu Vollständigkeit darauf hinweisen, dass die Handreichung die Meinung der Aufsichtsbehörden widerspiegelt. Urteile in Bezug auf die Konformität des AV-Vertrages von Microsoft sind nach unserem Wissenstand bis heute nicht vorhanden.

Andersherum könnte es allerdings funktionieren: Möglicherweise greift Microsoft diese Kritikpunkte auf und verändert den eigenen AV-Vertrag entsprechend der von den Aufsichtsbehörden geforderten Konkretisierungen.

Quellen

Microsoft 365: Handreichung für Verantwortliche zum Abschluss einer Auftragsverarbeitungsvereinbarung mit Microsoft für den Einsatz von „Microsoft 365“ | LDI – Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (nrw.de)

https://www.ldi.nrw.de/system/files/media/document/file/handreichung_ms_365_clean_formatiert_stand-24.08.2023.pdf

Jetzt Kontakt aufnehmen!

Bei Fragen und Anmerkungen stehen wir Ihnen gerne zur Verfügung.

Start typing and press Enter to search

pexels-sharefaith-1231230
Erinnerung an BetroffenenrechteBetroffenenrechte, Datenschutz
pexels-mikhail-nilov-7583935
Auffrischung: Verzeichnis der VerarbeitungstätigkeitenDatenschutz