Office365 weiterhin nicht datenschutzkonform

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat am 24.11.2022 festgestellt, dass nach deren Auffassung unter Bezugnahme auf den Bericht ihrer Arbeitsgruppe „MicrosoftOnlinedienste“ der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann. Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.

Grundlage der Prüfung der Arbeitsgruppe ist die Veröffentlichung eines aktualisierten „Datenschutznachtrages zu den Produkten und Services von Microsoft“ (Englisch: „Microsoft Products and Services Data Protection Addendum (DPA)“) von Microsoft im September 2022. Diese neue Version bringt vor allem Änderungen im Bereich der vertraglichen Formulierung der Verantwortlichkeit Microsofts im Rahmen der Verarbeitung „für legitime Geschäftszwecke“ mit sich, kann als Ergebnis der Gespräche gesehen werden und adressiert damit einen Teil der Kritikpunkte des Arbeitskreises Verwaltung. Insgesamt konnte die Arbeitsgruppe in den vom Arbetiskreis Verwaltung benannten Kritikpunkten nur geringfügige Verbesserungen erreichen. Zentrale und wiederkehrende Fragestellung der Gesprächsreihe war es, in welchen Fällen Microsoft als Auftragsverarbeiter tätig ist und in welchen als Verantwortlicher. Dies konnte nicht abschließend geklärt werden.

Verantwortliche müssen jederzeit in der Lage sein, ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachzukommen. Beim Einsatz von Microsoft 365 lassen sich hierbei auf Grundlage des „Datenschutznachtrags“ weiterhin Schwierigkeiten erwarten, da Microsoft nicht vollumfänglich offenlegt, welche Verarbeitungen im Einzelnen stattfinden. Zudem legt Microsoft weder vollständig dar, welche Verarbeitungen im Auftrag des Kunden noch welche zu eigenen Zwecken stattfinden. Die Vertragsunterlagen sind in der Hinsicht nicht präzise und erlauben im Ergebnis nicht abschließend bewertbare, ggf. sogar umfangreiche Verarbeitungen auch zu eigenen Zwecken. Eine Verwendung personenbezogener Daten der Nutzenden (z.B. Mitarbeitenden oder Schüler:innen) zu eigenen Zwecken des Anbieters schließt den Einsatz eines Auftragsverarbeiters im öffentlichen Bereich (insbesondere an Schulen) aus. Die Rechtsgrundlage des berechtigten Interesses nach Art. 6 Abs. 1 lit. f DS-GVO ist für Behörden nicht einschlägig (vgl. Art. 6 Abs. 1 Satz 2 DS-GVO).

Aufgrund der Schwierigkeit für Verantwortliche des öffentlichen Bereichs, ihrer Rechenschaftspflicht nachzukommen, ist auch Art. 6 Abs. 1 lit. e DS-GVO i.V.m. jeweiligem Spezialrecht als Rechtsgrundlage schwer begründbar.