LfD: Auftragsverarbeitung bei Microsoft Office 365 weiterhin nicht DS-GVO-konform

Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2021, S. 43.

In meinem Tätigkeitsbericht 2020 habe ich ausführlich über die datenschutzrechtlichen Herausforderungen beim Einsatz von Microsoft Office 365-Produkten berichtet. Im Jahr 2021 wurden die Gespräche zwischen der von den unabhängigen Datenschutzaufsichtsbehörden
des Bundes und der Länder (DSK) eingesetzten Arbeitsgruppe und Microsoft fortgesetzt; gleichzeitig erreichten mich weiterhin viele Anfragen von Verantwortlichen zum datenschutzkonformen Einsatz.


Angesichts der Anfragen der Verantwortlichen prüfte ich (parallel zur Fortführung der Gespräche zwischen Microsoft und der DSK) die Standard-Datenschutzbestimmungen (Data Protection Addendum „DPA“) von Microsoft aus dem Dezember 2020 daraufhin, ob die von der DSK 2020 kritisierten Punkte eine Verbesserung erfahren hatten. Leider konnte ich in den meisten Punkten keine wesentlichen Verbesserungen feststellen.


Noch immer erfüllen die Office 365 Produkte Anforderungen der Datenschutz-Grundverordnung (DS-GVO) nicht vollständig. Mängel bestehen insbesondere bei:
• den Vorgaben zur Auftragsverarbeitung gem. Art. 28 DS-GVO sowie
• der Transparenz und Abgrenzung bei der Verwendung von Daten durch
Microsoft zu eigenen Zwecken.

Ich kann nachvollziehen, dass diese Situation für die Verantwortlichen unbefriedigend ist. Jedoch liegt die Verantwortung dafür nicht beim Datenschutz. Stattdessen sind die Verantwortlichen gefordert, sich mit der Datenverarbeitung, die im Rahmen der Nutzung bestimmter Produkte geschieht, genau zu befassen und ggf. nach datenschutzfreundlichen Alternativen zu suchen. Gleichzeitig ist Microsoft gefordert, auf die Bedürfnisse des europäischen Marktes einzugehen, wenn die Microsoft-Produkte in der EU Absatz finden
sollen. Umso bedauerlicher ist es, dass Microsoft die Gesprächsangebote der DSK offenbar nicht dazu genutzt hat, um in der nächsten DPA-Fassung die festgestellten Mängel zu beheben.

Am 15. September 2021 veröffentlichte Microsoft ein neues DPA, mit welchem ich mich ebenfalls befassen werde. Gleichzeitig werden auch die Konsequenzen des „Schrems II“-Urteils des Europäischen Gerichtshofs und die Frage der Übermittlung von Telemetriedaten bei der Beurteilung der Einsatzfähigkeit von Microsoft-Produkten eine wesentliche Rolle spielen.

Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2021, S. 43.