Handreichung zur Auftragsverarbeitungs-Vereinbarung für Microsoft 365

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat zuletzt im November 2022 festgestellt, dass die für den Einsatz von „Microsoft 365“ vorgesehene Standard-Auftragsverarbeitungsvereinbarung von Microsoft („DPA“) nicht den Anforderungen des Art. 28 Abs. 3 DSGVO entspricht. Hierbei wurden bestimmte Problemfelder des DPA betrachtet und erläutert.

In Anknüpfung an diese Problemfelder haben mehrere Datenschutzaufsichtsbehörden gemeinsam eine Handreichung für die Verantwortlichen erarbeitet, um die Verantwortlichen dabei zu unterstützen, auf entsprechende vertragliche Änderungen hinzuwirken.

Ausgenommen wurden jedoch auf Grund der zum Redaktionsschluss noch nicht abgeschlossenen Bewertung die Themen internationaler Datentransfer und extraterritorialer Anwendungsbereich der US-Gesetze. Ferner ersetzt die Umsetzung der in der Handreichung enthaltenen Hinweise und ToDo’s insbesondere nicht die datenschutzrechtliche Bewertung sämtlicher technischer Funktionen von Microsoft 365 sowie der Spezifika der einzelnen Anwendungen. Eine solche Bewertung muss der Verantwortliche eigenständig vornehmen, auch in Abhängigkeit davon, welche Funktionen er für die Verarbeitung welcher personenbezogenen Daten einsetzen möchte.

Die Handreichung kann hier abgerufen werden:

Handreichung zum Abschluss einer Auftragsverarbeitungsvereinbarung für Microsoft 365 (PDF)