Schriftzug LFD Niedersachsen Niedersachsen klar Logo

Einsatz von Microsoft 365: Praxis-Tipps für Verträge mit Microsoft

Der Landesbeauftragte für den Datenschutz Niedersachsen, Pressemitteilung Nr. 08/2023 vom 22. September 2023

Der Landesbeauftragte für den Datenschutz Niedersachsen (LfD) hat gemeinsam mit sechs weiteren Datenschutzaufsichtsbehörden eine Handreichung zum Umgang mit der Standard-Auftragsverarbeitungsvereinbarung von Microsoft für den Einsatz von „Microsoft 365“ erarbeitet. Diese hat der LfD heute auf seiner Homepage veröffentlicht.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat im November 2022 festgestellt, dass die für den Einsatz von „Microsoft 365“ vorgesehene Standard-Auftragsverarbeitungsvereinbarung von Microsoft (Products and Services Data Protection Addendum, kurz „DPA“) nicht den Anforderungen des Art. 28 Abs. 3 DSGVO entspricht. Hierbei hatte die DSK bestimmte Problemfelder des DPA betrachtet und erläutert.

In Anknüpfung an diese Problemfelder haben mehrere Datenschutzaufsichtsbehörden gemeinsam eine Handreichung für die Verantwortlichen erarbeitet, um diese dabei zu unterstützen, auf entsprechende vertragliche Änderungen hinzuwirken.

So sind laut der Handreichung etwa die im DPA aufgeführten Löschfristen vertraglich anzupassen, ferner werden in der Handreichung die Anforderungen an die Information über den Einsatz von Unterauftragsverarbeitern aufgeführt. Ein weiterer wichtiger Aspekt der Handreichung ist der Umgang mit der Verarbeitung durch Microsoft zu eigenen Geschäftszwecken.

Ausgenommen von der Handreichung sind auf Grund der zum Erstellungszeitpunkt noch nicht abgeschlossenen Bewertung die Themen internationaler Datentransfer und extraterritorialer Anwendungsbereich von US-Gesetzen. Zudem ersetzt die Umsetzung der in der Handreichung enthaltenen Empfehlungen insbesondere nicht die datenschutzrechtliche Bewertung sämtlicher technischer Funktionen von „Microsoft 365“, die dem Verantwortlichen potenziell zur Verfügung gestellt werden. Eine solche Bewertung muss der Verantwortliche in Abhängigkeit davon vornehmen, welche Funktionen für die Verarbeitung welcher personenbezogenen Daten eingesetzt werden sollen.

Die Handreichung kann hier abgerufen werden:

Handreichung Microsoft 365 (PDF)


Hintergrund:

Bereits im September 2020 kam die Bewertung der DSK hinsichtlich der Vorgängerregelungen des DPA zu dem Ergebnis, „dass auf Basis dieser Unterlagen kein datenschutzgerechter Einsatz von Microsoft Office 365 möglich“ sei. Dem folgten weitere Gespräche zwischen Microsoft und der Arbeitsgruppe „Microsoft-Onlinedienste“ der DSK, die zum Beschluss aus dem November 2022 (s.o.) führten.

Der Abschlussbericht der Arbeitsgruppe „Microsoft-Onlinedienste“ der DSK und weitere Beschlüsse und Festlegungen der DSK sind auf der Webseite des LfD Niedersachsen verfügbar.

Artikel-Informationen

erstellt am:
22.09.2023
zuletzt aktualisiert am:
06.12.2023

zum Seitenanfang
zur mobilen Ansicht wechseln