Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, 28. Tätigkeitsbericht 2022, S. 119; online verfügbar unter: https://lfd.niedersachsen.de/startseite/infothek/tatigkeitsberichte/2022/28-tatigkeitsbericht-2022-223047.html (Abrufdatum: 2023-06-21)
Wie bereits im letzten Berichtszeitraum (Tätigkeitsbericht 2021, Kapitel E.6, S. 43) macht der Einsatz von Microsoft 365 weiterhin Schlagzeilen und ist häufig Gegenstand von Beratungs-anfragen sowohl im nicht-öffentlichen als auch im öffentlichen Bereich.
Was hat sich im Berichtszeitraum getan?
Die Datenschutzkonferenz (DSK) hat ihre Gespräche mit Microsoft fortgeführt. Dabei ging es sowohl um die Mängel des Datenschutznachtrags von Microsoft („Data Protection Addendum – DPA“) als auch die Auswirkungen des Schrems II-Urteils des Europäischen Gerichtshofs auf den internationalen Datenverkehr. Auf der Grundlage der Befunde, die die DSK bereits im Jahr 2020 veröffentlichte, wurden umfangreiche, weitere Verhandlungsrunden mit Microsoft zu den aufgezeigten Defiziten durchgeführt. Der Abschlussbericht der DSK vom 02.11.2022 hat deutlich gezeigt, dass Microsoft auch die im diesem Berichtszeitraum geführten Gespräche leider nicht dazu genutzt hat, die Mängel des DPA in der am 15.9.2022 veröffentlichten Neufassung vollständig zu beheben. Wie die DSK in ihrer Festlegung vom 25.11.2022 festgestellt hat, kann der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten DPA vom 15. September 2022 nicht geführt werden. Damit können Verantwortliche durch den Abschluss der Standardvertragsunter-
lagen von Microsoft ihrer Rechenschaftspflicht aus Art. 5 Abs. 2 DS-GVO nicht nachkommen.
Und jetzt?
Ich werde mich im kommenden Berichtszeitraum sowohl mit dem zum 01.01.2023 aktualisier-ten DPA als auch mit den Entwicklungen im Bereich des internationalen Datenverkehrs befas-sen und den Verantwortlichen im öffentlichen Bereich auch beratend zur Seite stehen. Die Verantwortlichen sehe ich weiterhin in der Pflicht, die Datenschutzkonformität als unabding-bares Kriterium im Rahmen der IT-Beschaffungsprozesse einzusetzen.