Teil 1: Microsoft 365: Aufsichtsbehörden im Fokus – Was sagen die Datenschützer?

 

Dies ist der Auftakt einer Beitragsreihe zur rechtskonformen Nutzung von Anwendungen und Diensten der cloudbasierten „Produktivitätsplattform“ Microsoft 365 (Word, Excel, Powerpoint, Outlook, OneDrive, Teams, Sharepoint etc.).

Große Aufmerksamkeit hat die am 3. Mai 2024 veröffentlichte Mitteilung des Landesbeauftragten für den Datenschutz Niedersachen (LfD) zur Nutzung von Microsoft Teams in der niedersächsischen Landesverwaltung gefunden. Der LfD äußert sich darin zu der datenschutzrechtlichen Vereinbarung, auf die sich das Landesministerium für Inneres und Sport mit Microsoft im April 2024 geeinigt hat. Die erzielte Ausgestaltung der Auftragsvereinbarung hält der LfD für „akzeptabel“. Nachdem frühere Stellungnahmen von Datenschutzaufsichtsbehörden in Teilen der Fachöffentlichkeit so wahrgenommen wurden, als sei ein DSGVO-konformer Einsatz von Microsoft 365 kaum möglich, sehen sich nun jene Stimmen bestärkt, die diese Äußerungen vor allem als hilfreiche Sensibilisierung für die Risiken der Microsoft-Produkte verstanden haben, um hieraus risikominimierende Lösungen für den konkreten Anwendungsfall abzuleiten.

Dieser einführende Beitrag skizziert die bisherigen Stellungnahmen der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) zu Microsoft 365. Die weiteren Teile der Beitragsreihe sind mit dem Fokus auf die Nutzung von Mikrosoft 365 in Behörden und öffentlichen Stellen den folgenden Themen gewidmet:

Teil 1: Leitungsverantwortung

Teil 2: BayLfD (u.a.), Microsoft als Auftragsverarbeiter beim Einsatz von „Microsoft 365“. Handreichung (1. September 2023).

Teil 3: Europäischer Datenschutzbeauftragter, Beschluss über die Untersuchung der Nutzung von Microsoft 365 durch die EU-Kommission (8. März 2024).

Teil 4: § 203 StGB Verletzung von Privatgeheimnissen

Teil 5: Personalakten

Teil 6: Datenschutz-Folgenabschätzung

Teil 7: Verzeichnis von Verarbeitungstätigkeiten

Teil 8: Informationspflichten

Teil 9: Cloud-Richtlinie

Teil 10: Exit-Strategie

Teil 11: Basiskonfiguration

Teil 12: Mitbestimmung.

2. Stellungnahmen der DSK

2.1  DSK-Festlegung vom 24. November 2022

Wie die DSK in ihrem Beschluss vom 24. November 2022 zur Arbeitsgruppe DSK „Microsoft-Onlinedienste“ feststellte, konnte von Verantwortlichen der Nachweis, Microsoft 365 datenschutzkonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht – wie von Art. 5 Abs. 2 DSGVO („Rechenschaftspflicht“) gefordert – geführt werden. Insbesondere erfüllte diese Standard-Auftragsverarbeitungsvereinbarung (Products and Services Data Protection Addendum – „DPA“) nicht die Anforderungen nach Art. 28 Abs. 3 DSGVO. Nach Feststellung der DSK stellte Microsoft weder die erforderliche Transparenz der Verarbeitung personenbezogener Daten für eigene Zwecke her, noch belegte Microsoft deren Rechtmäßigkeit.

2.2  Dritte Zwischenkonferenz der DSK vom 27. September 2023

Mit dem geänderten DPA vom 1. Januar 2023 (und den entsprechenden Erläuterungen in den Produktbestimmungen) wurde der offizielle Beginn der Microsoft EU Data Boundary (zunächst nur für „Kundendaten“) für die Microsoft Cloud vollzogen.

Die EU-Datengrenze, die für die „Data Boundary Online Services“ im DPA vom 2. Januar 2024 allgemein auf personenbezogene Daten erweitert wurde, soll in ihrer Endausbaustufe eine weitgehende Datenspeicherung und -verarbeitung innerhalb der Länder der EU und der Europäischen Freihandelsassoziation (EFTA) gewährleisten.

Auf Grund der Einführung der EU Data Boundary beschloss die DSK Ende Januar 2023, das DPA vom 1. Januar 2023 einer Prüfung zu unterziehen. Wie das Bayerische Landesamt für Datenschutzaufsicht auf der 3. Zwischenkonferenz der DSK am 27. September 2023 (TOP 7, S.4) ausführte, gelangte man im Laufe der Prüfung zu der Einschätzung, dass die EU Data Boundary letztlich nichts an der Bewertung ändere, die die DSK im November 2022 zum Auftragsverarbeitungsvertrag von Microsoft beschlossen hatte. Eine abschließende DSK-Bewertung des DPA vom 1. Januar 2023 ist bis heute nicht veröffentlicht worden.

Die letzte Aktualisierung des DPA datiert vom 2. Januar 2024. Neben der bereits erwähnten Ausdehnung der EU Data Boundary auf personenbezogene Daten stellt das neue DPA u.a. klar, dass sämtliche Übermittlungen in ein Drittland den Bedingungen der Standardvertragsklauseln der EU-Kommission von 2021 unterliegen.

Insidas berät Sie umfassend zu allen datenschutzrechtlichen Fragen der Nutzung von Microsoft 365 und unterstützt Sie mit speziell auf Ihren Bedarf zugeschnittenen Cloud-Check-Paketen wirkungsvoll bei der rechtskonformen Umsetzung.

    Verpassen sie keine Beiträge mehr!

    Wenn Ihnen dieser Beitrag gefällt, abonnieren Sie unsere Newsletter. Dann entgeht Ihnen kein Insidas Artikel mehr.

    Datenschutzhinweis

    Mit dem Abonnement des Newsletters messen wir auch Reichweite und Erfolg, um diesen noch interessanter zu gestalten. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Ausführliche Hinweise erhalten Sie in unserer Datenschutzerklärung.

    Diese Beiträge könnten Sie auch interessieren

    Tipps zur Nutzung der Webanalytik-Plattform Matomo

    Tipps zur Nutzung der Webanalytik-Plattform Matomo

    Tipps zur Einstellung Matomo ermöglicht das Tracking von Webseitenbesucherinnen und -besuchern mittels Cookies oder JavaScript. Auch im Hinblick auf die zunehmende Verbreitung von Schutzmechanismen in Webbrowsern ist ein Tracking per JavaScript dem Tracking durch...

    read more
    Datenschutzkonforme Veröffentlichung von Sitzungsunterlagen

    Datenschutzkonforme Veröffentlichung von Sitzungsunterlagen

    Grundsätzlich müssen über die Sitzungen der Gemeinderäte, der Kreistage und ihrer beschließenden Ausschüsse Niederschriften gefertigt werden siehe (Art. 54 Abs. 1 Satz 1, Art. 45 Abs. 2 Satz 2 Gemeindeordnung (GO) sowie Art. 48 Abs. 1 Satz 1, Art. 40 Abs. 2 Satz 2...

    read more
    Datenschutz bei Veranstaltungen

    Datenschutz bei Veranstaltungen

    Einladungen, Veranstaltungsbilder, Videoaufnahmen – öffentliche Veranstaltungen zu organisieren bergen viele Herausforderungen, vor allem aus datenschutzrechtlicher Sicht. Gerade im Rahmen der Öffentlichkeitsarbeit werden von Gemeinden verschiedenste Veranstaltungen...

    read more