Microsoft 365 datenschutzkonform einsetzen

Planen Sie den Einsatz oder haben Sie bereits Microsoft 365 in Betrieb? Unter Berufung auf das sog. EU-US Data Privacy Framework (DPF) – das neue Datenschutzabkommen zwischen der EU und den USA, das am 10.07.2023 in Kraft getreten ist – sowie der Zertifizierung Microsofts nach dem DPF gilt der Einsatz von Microsoft 365 nun als rechtssicher.

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) und der Europäische Datenschutzbeauftragte (EDSB) sind jedoch weiterhin der Meinung, dass die Änderungen im Data Protection Addendum (DPA) von Microsoft, zuletzt im Januar 2024, nicht ausreichen, um einen datenschutzkonformen Betrieb von Microsoft 365 zu gewährleisten.

Sowohl die DSK als auch der EDSB sind der Ansicht, dass Stellen, die Microsoft 365 nutzen, in den Auftragsverarbeitungsverträgen mit Microsoft klar und eindeutig festlegen müssen
- wie genau im Einsatz des Tools personenbezogene Daten durch wen (einschließlich etwaiger Unterauftragnehmer) verarbeitet werden,
- inwieweit Microsoft Daten möglicherweise gar zu eigenen Zwecken Verarbeitung finden,
- wie das Weisungsrecht gegenüber Microsoft vertraglich ausgeschaltet wird,
- welche Regelungen die technischen und organisatorischen Maßnahmen (TOMs) auszugestalten sind und
- welche weiteren Risiko-Abwägungen erforderlich sind.

Wir empfehlen für den beabsichtigten Einsatz von Microsoft 365 in jedem Fall eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen, da Verantwortliche auf diesem Wege eine datenschutzkonforme Nutzung sicherstellen können. Eine Dokumentation nach Art. 5 Abs. 2 DSGVO stellt sicher, dass die Vorschriften der DSGVO gewahrt werden und die Position im Fall eines theoretisch möglichen Konflikts mit der Datenschutzaufsichtsbehörde spürbar verbessert werden.

Gerne unterstützen wir Sie bei der Durchführung der Datenschutz-Folgenabschätzung.

Ihr Ansprechpartner: Roger Palm, Telefon: 0172 249 7441