Der neue Landesbeauftragte für den Datenschutz (LfD) Niedersachsen, Denis Lehmkemper, hat gemeinsam mit sechs weiteren deutschen Datenschutzaufsichtsbehörden eine Handreichung zum Umgang mit der Standard-Auftragsverarbeitungsvereinbarung von Microsoft für den Einsatz von Microsoft 365 erarbeitet, die Ende September veröffentlicht wurde. Diese enthält praktische Tipps zur datenschutzkonformen Nutzung von Microsoft 365-Produkten sowie Empfehlungen für Anpassungen des Standardvertrags zur Auftragsdatenverarbeitung.

Neben Vorgaben zur Löschfristenanpassung ist ein weiterer wichtiger Aspekt der Handreichung der Umgang mit der Verarbeitung durch Microsoft zu eigenen Geschäftszwecken. Gemäß Art. 29 DSGVO verarbeitet der Auftragsverarbeiter die personenbezogenen Daten ausschließlich nach Weisung des Verantwortlichen, es sei denn, dieser ist nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet.

Nicht Gegenstand der Handreichung sind die Themen internationaler Datentransfer (Datenübermittlung in Drittstaaten) und extraterritorialer Anwendungsbereich von US-Gesetzen, da bei diesen Punkten noch offen ist, wie die Rechtmäßigkeit entsprechender Datenverarbeitungen durch eine vertragliche Gestaltung beeinflusst werden könnte.

Hintergrund

Die Datenschutzkonferenz (DSK) hatte im November 2022 festgestellt, dass die für den Einsatz von Microsoft 365 vorgesehene Standard-Auftragsverarbeitungsvereinbarung von Microsoft (Products and Services Data Protection Addendum, kurz „DPA“) nicht den Anforderungen des Art. 28 Abs. 3 DSGVO entspricht. Auch schon dessen Vorgängerversion wurde 2020 als „unzulässig“ bewertet, da auf Basis dieser Unterlagen kein datenschutzgerechter Einsatz von Microsoft 365 möglich sei. Daraufhin fanden weitere Gespräche zwischen Microsoft und der Arbeitsgruppe „Microsoft-Onlinedienste“ der DSK statt, die schließlich zum Beschluss vom November 2022 führten.

In Anknüpfung an die Problemfelder des DPA haben nun sieben Datenschutzaufsichtsbehörden gemeinsam eine Handreichung für die Verantwortlichen erarbeitet, um diese dabei zu unterstützen, auf entsprechende vertragliche Änderungen hinzuwirken. Die Verantwortlichen, an die sich diese Handreichung richtet, sind sowohl öffentliche Stellen (z. B. Behörden) als auch nicht-öffentliche Stellen (z. B. Unternehmen), die Microsoft 365 einsetzen.

Löschfristen

Feststellung

Nicht im DPA geregelt sind speziellere Löschprozesse und -fristen, z. B. wenn Daten auf Verlangen (Art. 17 DSGVO) oder beim Auflösen eines einzelnen Nutzerkontos gelöscht werden müssen.

To-do

Konkret müssen der Handreichung zufolge die Löschfristen vertraglich angepasst, also i. d. R. gekürzt, werden. Der Verantwortliche muss ggf. vertragliche Anpassungen vornehmen, um Microsoft als Auftragsverarbeiter in eigene Löschprozesse zu integrieren.

Zwecke

Feststellung

Microsoft verarbeitet personenbezogene Daten zu eigenen Geschäftszwecken, so z. B. zur Berechnung von Mitarbeiterprovisionen oder für die interne Berichterstattung. Dies ist als Auftragsverarbeiter jedoch nicht zulässig.

To-do

Hinsichtlich der Zwecke der Verarbeitung muss der Verantwortliche überprüfen, inwiefern er selbst eine Rechtsgrundlage hat, um personenbezogene Daten zu den im DPA genannten Zwecken des Verantwortlichen zu verarbeiten.

Fazit

Das Dokument dient als gute Anleitung, die notwendigen vertraglichen Änderungen und Maßnahmen umzusetzen, da sie als einzelne To-dos kompakt dargestellt sind. Jedoch ersetzt das Papier nicht die Betrachtung einzelner Anwendungen, die dem jeweiligen Anwender und somit Verantwortlichen potenziell zur Verfügung stehen. Daher muss die datenschutzrechtliche Bewertung dieser Anwendungen und technischen Funktionen durch den Verantwortlichen im Einzelfall und in Abhängigkeit davon erfolgen, welche Funktionen für die Verarbeitung welcher personenbezogenen Daten tatsächlich eingesetzt werden. Hierbei unterstützen wir Sie gerne.