Einsatz von Microsoft 365- Verträge mit Microsoft

Der K(r)ampf um den datenschutzkonformen Einsatz von Microsoft 365 in Unternehmen und Behörden geht weiter. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hatte im November 2022 festgestellt, dass die für den Einsatz von „Microsoft 365″ vorgesehene Standard-Auftragsverarbeitungsvereinbarung von Microsoft (Products and Services Data Protection Addendum, kurz „DPA“) nicht den Anforderungen des Art. 28 Abs. 3 DSGVO entsprächen. Hierbei hatte die DSK bestimmte Problemfelder des DPA betrachtet und erläutert

Nun hat der Landesbeauftragte für den Datenschutz Niedersachsen zusammen mit 6 anderen Datenschutzbehörden eine Anleitung dazu vorgelegt, wie die Verträge mit Microsoft „individuell“ anzupassen seien, damit die datenschutzrechtlichen Voraussetzungen erreicht würden. Dies sei eine Unterstützung dafür, entsprechend auf Microsoft einzuwirken. Ausgenommen sei dabei noch das zentrale Thema „internationaler Datenverkehr und extraterritorialer Anwendungsbereich von US-Gesetzen. Weiter ersetze die Handreichung nicht die unternehmensinterne Bewertung sämtlicher technischer Funktionen von „Microsoft 365“, die dem Verantwortlichen potenziell zur Verfügung gestellt werden.

Worum geht es nun konkret in der Handreichung? Als erster Punkt sind die im DPA aufgeführten Löschfristen vertraglich anzupassen, ferner werden in der Handreichung die Anforderungen an die Information über den Einsatz von Unterauftragsverarbeitern aufgeführt. Ein weiterer Aspekt der Handreichung ist der Umgang mit der Verarbeitung durch Microsoft zu eigenen Geschäftszwecken. Insgesamt umfasst die Handreichung 25 Seiten und stellt einige Anforderungen an IT und Rechtsabteilung.

Ein wichtiger und sofort umzusetzender Hinweis in der Handreichung ist zum Beispiel: „Dringend empfohlen wird die Verwendung pseudonymer Mailadressen/ Accounts und ein Verbot der Nutzung privater Microsoft-Accounts sowie des „Bring your own device“ (BYOD) im dienstlichen Bereich. Grundsätzlich sollte zudem darauf geachtet werden, den Personenbezug der verarbeiteten Daten zu minimieren“.

Eine praktische Anregung ist sicher auch: „Betrieb von Microsoft 365 auf eigenen IT-Strukturen („On-Premises-Lösung“): Verantwortliche sollten prüfen, ob und inwieweit Lösungen in Betracht kommen, die einen Betrieb von Microsoft-Produkten auf eigenen IT-Strukturen vorsehen, die eine Übermittlung personenbezogener Daten an Microsoft zu eigenen Zwecken unterbinden. Denkbar könnten auch Lösungen sein, die eine Übermittlung personenbezogener Daten zumindest verringern, so z. B. die Zwischenschaltung entsprechend vorkonfigurierter Terminal-Clients“.

Zwischenzeitlich wäre eine weitere Handreichung oder Stellungnahme dazu hilfreich, wie mit dem aktuellen offensiven Angebot von KI-Anwendungen in verschiedenen Microsoft-Anwendungen umzugehen ist.

Hier der Download-Link zu der Handreichung: Handreichung Microsoft 365 (PDF)

Es bleibt das beklemmende Gefühl, das Datenschutz in erster Linie durch vertragliche Klauseln und bürokratischen Aufwand hergestellt werden soll. Offen bleibt insbesondere, wie kleine und mittlere Unternehmen auf Microsoft zur Vertragsänderung einwirken sollen.