Datenschutzkonferenz 2023 (DSK) -Neue Handreichung zur Auftragsverarbeitung von Microsoft-Onlinediensten

Die Datenschutzkonferenz (DSK) hat im September 2023 eine neue Handreichung zur Auftragsverarbeitung von Microsoft-Onlinediensten veröffentlicht. Die Handreichungen enthalten Empfehlungen, um den Standardvertrag zur Auftragsverarbeitung (im Englischen DPA) von Microsoft anzupassen. Die Bewertung beruht auf der zum Abschluss des Berichts am 10. Oktober 2022 bestehenden Sach- und Rechtslage. Dies beutet, dass eine Berücksichtigung des Data Privacy Frameworks nicht vorgenommen wurde.

Zusammenfassung der Handreichung

Die Handreichung der Aufsichtsbehörden zum Umgang mit dem DPA zu Microsoft 365 (M365) ist sehr umfangreich und besteht aus drei Teilen. Der erste Teil der Handreichung beschäftigt sich mit der Auftragsverarbeitungsvereinbarung und den Anforderungen an eine rechtskonforme Auftragsverarbeitungsvereinbarung. Der zweite Teil der Handreichung befasst sich mit der Minimierung der personenbezogenen Daten, die in Microsoft 365 verarbeitet werden. Der dritte Teil der Handreichung befasst sich mit der datenschutzrechtlichen Prüfung von technischen Funktionen der Plattform und Details einzelner Anwendungen des Office-Pakets.
Die Vorbemerkung der Handreichung bringt dann allerdings auf den Punkt, was die zentrale Botschaft der Handreichung ist:

Zusatzvereinbarung zum Data Processing Addendum

Der Verantwortliche muss mit Microsoft eine Zusatzvereinbarung zum Data Processing Addendum (DPA) zu M365 abschließen, in welchem die von den Aufsichtsbehörden bemängelten Schwachstellen dieses Vertrags zur Auftragsverarbeitung behoben werden. Unabhängig davon müssen Verantwortliche eigene Maßnahmen umsetzen, um die in Microsoft 365 verarbeiteten personenbezogenen Daten zu minimieren, und technische Funktionen der Plattform und Details einzelner Anwendung des Office-Pakets datenschutzrechtlich prüfen. Darüber hinaus muss der Verantwortliche auch die Umsetzung der im Zusatzvertrag vereinbarten Regelungen im Rahmen seiner Rechenschaftspflichten gem. Art. 5 DS-GVO nachweisen können.

Was bedeutet das für Unternehmen und Behörden?

Auch wenn die Handlungshinweise der DSK nun konkreter formuliert wurden, müssen sich Unternehmen und öffentliche Stellen der Realität stellen. Microsoft wird nicht auf Wunsch eines Einzelnen sein eigenes DPA anpassen oder eine Zusatzvereinbarung abschließen. Dafür ist Microsoft ein zu großer Konzern mit Monopolstellung. Es bleibt nur zu hoffen, dass Microsoft sein DPA selbst anpasst und in der Zwischenzeit bleibt für uns das Gleiche zu tun wie nach der der ersten Handreichung. M365 Einstellung so datenschutzkonform wie möglich konfigurieren und eine Datenschutzfolgenabschätzung für die Bereiche durchzuführen, die  nicht von uns beeinflussbar sind.

Es ist schade, dass diese Handreichung keine klaren Aussagen in Bezug auf das Data Privacy Framework trifft, dies hätte sicher zu einer Erleichterung bei Unternehmen und Behörden führen können. Auch hier können wir wieder nur warten. Zum Schluss sei gesagt, dass diese Themen immer heißer gekocht, als gegessen werden. 

Unser Ziel ist es, Ihnen den Datenschutzprozess so einfach wie möglich zu machen, sodass Sie sich auf Ihr Kerngeschäft konzentrieren können. Wir bieten maßgeschneiderte Lösungen, die Ihren individuellen Anforderungen entsprechen, und unterstützen Sie mit unserem Fachwissen und unserer Erfahrung.

Und auch bei allen weiteren Fragen rund um das Thema DSGVO stehen wir Ihnen gerne zur Verfügung. Einfach per E-Mail unter dsb@fly-tech.de oder per Telefon: 0821 207 111 17. 

Bildnachweis: Fotos von canva